09. Jun’21
Übersetzung des Blogartikel von Autor Michele Nati, Head of Telco & Infrastructure Development, IOTA Foundation.
Die Rolle von DLTs und dezentralisierten Identitäten
Als Teil des H2020 ENSURESEC-Projekts, einer von der EU finanzierten Innovationsaktivität zur Stärkung der Sicherheit des E-Commerce-Ökosystems, haben die IOTA Foundation und ihre Partner gerade den zweiten Meilenstein des Projekts erreicht.
Nach einem Jahr Projektlaufzeit hat die Foundation die erste Implementierung von zwei neuen Tools entwickelt (verfügbar auf github), nämlich das Immutable Audit Trail Tool und die Ecommerce-SSI (Self-Sovereign Identity) Bridge. Die Tools nutzen die Protokolle IOTA Streams und IOTA Identities.
Um den potenziellen Einfluss unserer Arbeit zu messen, haben wir uns mit einer Umfrage an eine Expertengemeinschaft gewandt.
Die Umfrage zielte darauf ab, die Realisierbarkeit unserer Lösungen und ihre Relevanz für das E-Commerce-Ökosystem zu verstehen, indem Meinungen von Experten gesammelt wurden, die nicht direkt mit dem ENSURESEC-Projekt verbunden sind. Die Umfrage wurde am 16.3.21 veröffentlicht und lief drei Wochen lang. Die ursprünglichen Fragen können hier eingesehen werden.
Bevor wir in die Ergebnisse der Umfrage eintauchen, lassen Sie uns zunächst rekapitulieren, was die IOTA Foundation als Teil von ENSURESEC tatsächlich aufbaut.
Die folgende Abbildung zeigt das Konzept und die Tools zusammen mit ihrer geplanten Integration.
Bild: Architektur der E-Commerce-Tools (SSI-Bridge+Audit GW)
Wie bereits erwähnt, befinden sich derzeit zwei Tools in der Entwicklung, die bald in realen Pilotprojekten getestet werden: die Ecommerce-SSI Bridge und das Immutable Audit Trail Tool.
Ecommerce-SSI-Bridge
Bei der ersten handelt es sich um die Ecommerce-SSI Bridge für Self-Sovereign Identity. Die Bridge stellt eine Reihe von APIs zur Verfügung, mit denen Issuer verifizierbare Credentials (VCs) an eine Credential-Wallet (d.h. eine Kunden-App) exportieren können, und mit denen Verifier VCs empfangen und deren Authentizität verifizieren können, d.h., dass der Issuer eine anerkannte Organisation ist und dass das Credential tatsächlich an den Wallet-Besitzer (d.h. einen Kunden) ausgestellt wurde. Credentials sind auf einer dezentralen Identität (oder DID im W3C-Jargon) verankert. Unter der Bridge befindet sich die IOTA-Identitätsimplementierung.
Ein Beispiel dafür, wo die Bridge eingesetzt wird, ist folgendes. Eine Bank, die das Alter ihres Kunden verifiziert hat, verwendet die Bridge, um dem Kunden zu ermöglichen, einen signierten, verifizierbaren Ausweis zu erhalten, der sein Alter angibt. Der Kunde kann sich dann bei einer E-Commerce-Website anmelden und ein spezielles Medikament kaufen, für das eine Altersverifizierung erforderlich ist. Die E-Commerce-Website kann das Alter des Kunden sicher verifizieren, ohne eine Verbindung zur Bank herstellen zu müssen.
Neben anderen Anwendungsfällen erwägt die IOTA Foundation die Verifizierung von Identitäten und Berechtigungsnachweisen von Organisationen (z. B. eines autorisierten Verkäufers medizinischer Geräte) und Produkten beim Verkauf auf einer E-Commerce-Website. Dies wird dazu beitragen, die Reibungspunkte für kleine und mittlere Unternehmen beim Zugang zu E-Commerce-Marktplätzen zu beseitigen, ihre Sicherheit zu gewährleisten und das Vertrauen der Kunden zu gewinnen, was eines der Hauptziele des ENSURESEC-Projekts ist.
Unser Tool ist gut auf die jüngste EU-Ankündigung für eine digitale Geldbörse und ein dezentralisiertes Identitätsnetzwerk abgestimmt.
Immutable Audit Trail Tool
Die Bridge wurde auch mit dem zweiten Tool integriert, das die IOTA Foundation für ENSURESEC entwickelt, dem Immutable Audit Trail. Das Immutable Audit Trail Tool ist die Antwort auf eines der wichtigsten Bedürfnisse der E-Commerce-Branche: die Kommunikation und der Austausch von vertrauenswürdigen Bedrohungsinformationen, um Cyber-Angriffe zu verwalten und zu verhindern. Dieses Bedürfnis ähnelt dem, das kürzlich von der Biden-Administration in ihrer Executive Order zur Verbesserung der Cybersicherheit der Nation (Abschnitt 2) zum Ausdruck gebracht wurde. Die gemeinsame Nutzung solcher Informationen erfordert die korrekte Identifizierung ihrer Quelle, um gefälschte und bösartige Informationen zu vermeiden, sowie die Regelung, wer darauf zugreifen kann, um das Risiko einer Manipulation zu verhindern.
Das Immutable Audit Trail-Tool bietet eine API GW (Gateway) zum IOTA-Ledger, die es E-Commerce-Systemen ermöglicht, Bedrohungsinformationen zu veröffentlichen und zu abonnieren. Der Ledger garantiert Unveränderlichkeit, während das IOTA-Streams-Framework die Zugriffskontrolle ermöglicht. Die SSI-Bridge wird verwendet, um die Identität der zum Schreiben und Lesen solcher Informationen berechtigten Parteien festzustellen und zu verifizieren, um so die Integrität der Quelle zu garantieren und Missbrauch zu vermeiden. Und das alles ohne ein zentrales IdM (Identity Management System) und IAM (Identity Access Manager), die leicht selbst zum Ziel von Cyber-Attacken werden könnten.
Weitere Details zu den Werkzeugen, getesteten Anwendungsfällen und APIs werden in einem zukünftigen und technisch detaillierteren Blog-Beitrag zur Verfügung gestellt.
Angesichts all der Entwicklungen seit dem ersten Vorschlag des IF für das ENSURESEC-Projekt im Jahr 2019 war jetzt der richtige Zeitpunkt, um zu überprüfen, ob das Projekt auf dem richtigen Weg ist, indem wir die aktuelle Marktstimmung abfragen.
Lassen Sie uns eintauchen in das, was wir durch die Befragung von Experten in unserer Community über die Rolle von DLTs und IOTA in der E-Commerce-Sicherheit gelernt haben.
Die Befragungsergebnisse
Hintergrund der Teilnehmer
Die meisten der eingegangenen Antworten stammten von Personen, die mit der DLT vertraut oder sehr vertraut sind. Mehr als 60 % der Befragten gaben an, mit der Technologie insgesamt vertraut und mit dem Konzept der Self-Sovereign Identities (SSIs) ziemlich vertraut zu sein.
Allgemeine Stimmung
Bevor wir den befragten Experten die aktuellen Pläne der IOTA für die ENSURESEC vorstellten und ihre Reaktionen auswerteten, konzentrierte sich die Umfrage darauf, zu erfahren, welche Rolle die Experten den DLTs im allgemeinen E-Commerce-Ökosystem zuweisen würden.
Die meisten von ihnen (57 % der Befragten) stimmten zu, dass die Sicherung des Datenaustauschs eine wichtige Funktion ist, wenn auch nicht so wichtig wie die Authentifizierung und Autorisierung von Kunden mit DID (76 % der Befragten). Wir haben auch gefragt, ob sie eine Rolle für Kryptowährungen bei der Verwendung als Zahlungsmittel sehen würden.
Und was ist mit Kryptowährungen?
Während es eine allgemeine Übereinstimmung gab, dass die Verwendung von Kryptowährungen die Sicherheit, Skalierbarkeit und Dezentralisierung erhöhen könnte und es den Nutzern ermöglicht, einfacher für das zu bezahlen, was sie bekommen, im Falle von zeitlich begrenzten Diensten (wobei IOTA für seine gebührenfreien Mikrotransaktionen gewürdigt wurde), wurde die Verwendung eines offenen Ledgers zur Verwaltung von Zahlungen auch als potenzielle Möglichkeit gesehen, die Reputation der Zahler aufzubauen, eine Art Beweis für Ehrlichkeit in der Finanzindustrie.
Trotz der Chancen, die Kryptowährungen bieten, wiesen die Befragten jedoch auch auf die damit verbundenen Risiken hin, darunter Volatilität und zusätzliche Aufwände (wie die Notwendigkeit, Kapitalertragssteuern auf günstige Käufe zu zahlen) oder fehlende Vorschriften.
Die obigen Ausführungen bestätigen, dass wir auf dem richtigen Weg sind, da wir im Rahmen des ENSURESEC-Projekts nie geplant hatten, IOTA als Währung in der E-Commerce-Branche einzusetzen.
Wir haben mit Krypto als Währung in anderen Bereichen (wie Energie) experimentiert und sind uns der Risiken bewusst. Daher gab es für uns keine Überraschungen in den jüngsten Nachrichten über diejenigen, die diesen Weg des Verkaufs von Vermögenswerten für Kryptos ausprobiert haben (Smiley-Gesicht).
Warum ist Unveränderlichkeit wichtig?
Da E-Commerce ein komplexes Ökosystem aus Kunden, Verkäufern und Händlern ist, hat die unveränderliche Speicherung von Daten auf DLTs einen anerkannten Wert, um die Sicherheit zwischen den verschiedenen Parteien zu gewährleisten. Laut unseren Umfrageteilnehmern ermöglicht es insbesondere: 1) die Verfolgung der Produktauthentizität; 2) die Schaffung einer direkteren Verbindung vom Produkt zum Verbraucher und 3) die Identitätsverantwortung ohne die Notwendigkeit von Drittprüfern.
Warum ist Selbstsouveränität wichtig?
Laut den Umfrageteilnehmern sind dezentrale Identitäten das einzige verlässliche Werkzeug, um die Reputation von E-Commerce-Akteuren aufzubauen und Betrug zu verhindern bzw. Verkäufer und Kunden in solch komplexen Ökosystemen auf weiße und schwarze Listen zu setzen. Damit wird es möglich sein, Produktbewertungen zu verbessern, ihre Authentizität zu verifizieren und gefälschte zu entfernen. Durch die Überwindung der Beschränkungen von Google- und Facebook-Logins ermöglicht die dezentrale Identität (DID) auch, dass sich Kunden problemlos bei mehreren Diensten anmelden können, während sie die Kontrolle über ihre Daten behalten und den Weiterverkauf durch Dritte vermeiden; sie ermöglicht eine Authentifizierung mit zweitem Faktor, eine reibungslose Altersverifizierung und garantiert die Lieferung an den richtigen Kunden.
Diese letzten beiden sind zufällig zwei der geplanten Anwendungsfälle, um die IOTA-Tools mit ENSURESEC-Partnern zu testen. Mehr wird in Zukunft vorgestellt, wenn die Projektpiloten stattfinden.
Wo können DLTs noch nützlich sein?
Die meisten der Befragten konzentrierten sich auf die Verwendung von NFT (non fungible tokens) und schlugen insbesondere vor, dass DLTs und NFTs können:
- Produkt-Verkaufsketten besser verbinden, d.h. der Besitzer von Produkt/Token x erhält einen Vorteil/Rabatt beim Kauf von Produkt/Token y. Post-Sale-Informationen über die Produktnutzung können anonym gesammelt werden, wenn sie an Produktidentitäten angehängt werden. Dieselben Produktidentitäten können verwendet werden, um Updates über neue Produktversionen zu liefern, Reparaturen zu buchen oder Zusatzprodukte zu kaufen.
- NFTs können einen sicheren Produktkauf ermöglichen und gleichzeitig Cashflow-Probleme mit nicht vorrätigen Artikeln vermeiden; Steuer- und Zollerklärungen automatisieren; Kunden für die Monetarisierung ihrer Produktdaten belohnen und Anreize schaffen.
Sind wir nach all dem mit ENSURESEC auf dem richtigen Weg?
Nachdem wir die Ideen der Umfrageteilnehmer zu den möglichen Vorteilen des Einsatzes von DLTs, SSI und Kryptowährungen im E-Commerce-Bereich gesammelt hatten, konzentrierte sich unsere Untersuchung darauf, Feedback zu dem zu sammeln, was wir im Projekt tatsächlich tun. Diesbezüglich denken 60% der Teilnehmer, dass es gut ist, dass wir den IOTA-Ledger verwenden, um unveränderliche E-Commerce-Protokolle für die Vorfallsanalyse aufzuzeichnen
Eine gleich große Hälfte (50/50) glaubt auch, dass die Schaffung von APIs, die einen zentralen Zugriff auf Ledger-Funktionalitäten ermöglichen, ein guter Ansatz ist, da dies hilft, die Komplexität bei der ersten Einführung von DLTs zu reduzieren. Es wird empfohlen, dass dies in Zukunft entfernt werden muss. Die Befragten stimmen zwar zu, dass zentrales Schreiben sinnvoll ist, bestätigen aber, dass die Datenintegrität immer lokal überprüft werden sollte.
Dies ist genau unser ENSURESEC-Ansatz. Verschiedene Systeme können die IOTA Audit GW nutzen, um Daten auf dem Ledger zu schreiben und zu verifizieren. Dies geschieht über einen REST-Service, der entweder lokal oder zentral eingesetzt wird, wobei jedoch die Komplexität einer direkten Integration vermieden wird.
E-Commerce-Daten sollten laut 50% unserer Befragten auf einem genehmigten Ledger gespeichert werden. Dies ermöglicht einen besseren Umgang mit Datenvorschriften und Schutz. Um jedoch dem Risiko vorzubeugen, dass ein Permissioned Ledger gestoppt werden könnte, könnte ein Teil der Daten dauerhaft in Fingerprints verankert werden, die in erlaubnisfreien Netzwerken gespeichert sind.
Die permissioned Infrastruktur sollte von E-Commerce-Anbietern gewartet oder von einer öffentlichen EU-Infrastruktur gehostet werden.
Auch hier sind wir auf dem richtigen Weg, denn wir untersuchen die Nutzung eines privaten ENSURESEC-Tangles oder eines Mainnets, das mit einem privaten Chronik-Netzwerk verbunden ist, das von E-Commerce-Anbietern verwaltet wird. In Zukunft könnten wir einen Daten-Shard in Betracht ziehen sowie die EU-Verbindungen aus dem ENSURESEC-Projekt nutzen, um auch die Verbindung mit dem EBSI-Netzwerk zu untersuchen.
Wir stimmen auch mit dem Feedback der Teilnehmer überein, dass persönliche Daten nicht in den Ledger aufgenommen werden sollten, während Produktdaten dies können. Aus diesem Grund bauen wir dezentrale Identitäten mit anonymen DID-Kennungen auf, die im Ledger gespeichert werden, während die Credentials außerhalb der Kette verwaltet werden. Wir schützen auch die Vertraulichkeit der Produktdaten, indem wir sie in privaten IOTA-Streams speichern.
OK: Wir haben die Implementierung richtig hinbekommen. Aber haben unsere Tools eine Zukunft für die Akzeptanz?
Diese Frage haben wir unseren Umfrageteilnehmern gestellt. 80 % von ihnen glauben, dass das Einloggen in den E-Commerce mit dezentralen Identitäten Fuß fassen wird, da es einfacher ist, die Passwortmüdigkeit reduziert, GDPR-Compliance bietet und Betrug/Identitätsdiebstahl verhindert. Allerdings gibt es eine moderate Erwartung für die kurzfristige Annahme, wenn die Integration nicht einfach ist.
Aus diesem Grund haben wir uns entschlossen, eine Integrationsbrücke zu bauen, die die Integration von E-Commerce-Systemen und Apps vereinfacht und ein einziges Framework verwendet. Wenn die Integration vereinfacht und zugänglicher gemacht wird, können sich E-Commerce-Anbieter auf ein positives und einfaches Benutzererlebnis konzentrieren, um ihre Kunden für die Nutzung dezentraler Identitäten zu gewinnen.
96 % der Teilnehmer sind außerdem der Meinung, dass SSI auch für Unternehmen eingesetzt werden sollte, mit den folgenden erwarteten Vorteilen:
- Es ermöglicht eine einfachere und sichere Integration und Interaktion;
- Sie ermöglicht den Aufbau eines Reputationssystems, so dass es keinen zentralen Punkt des Versagens im Zulassungsprozess zu E-Commerce-Marktplätzen gibt;
- Es könnte dazu dienen, Verkäufern, die Händler pünktlich bezahlen, automatisch Kreditpunkte zuzuweisen;
- Es verbessert openID, da openID immer noch zentralisiert ist und eine Nachverfolgung ermöglicht.
Auf welche Anwendungsfälle sollten wir uns konzentrieren?
Wenn es um dezentrale Identitäten geht, sind sich die meisten Befragten einig, dass dezentrale Identitäten für Organisationen als Mittel zur Verbesserung der Handelsfinanzierung und zum Aufbau von Reputationssystemen erforscht und bewertet werden sollten. Allerdings bleibt die Einhaltung rechtlicher Vorschriften ein Risikofaktor, ebenso wie der mögliche Widerstand von Organisationen, die von verschiedenen etablierten Identitätssystemen profitieren wollen. Neue Geschäftsmodelle sollten in Betracht gezogen werden und es bleibt abzuwarten, wie dezentrale Identitäten monetarisiert werden können.
92 % der Teilnehmer stimmen zu, dass dezentrale Identitäten für das IoT für die folgenden Anwendungsfälle nützlich sind:
- Verifizierung, Authentizität und Produktzustand
- Korrekte Paketzustellung
- Überwachung der Verteilung von medizinischen Geräten
- Vertrauenswürdige Orakel, Datenquellen
- Status- und Nachverkaufsüberwachung, Wartung
Das deckt sich mit dem, was die IOTA Foundation mit ENSURESEC macht.
Tatsächlich planen wir, die Identitäten von Dingen und Organisationen zu nutzen, um Kunden die Möglichkeit zu geben, die Identität des Verkäufers (mit den Banken im Projektkonsortium) und die Echtheit des Produkts von jeder E-Commerce-Website aus zu verifizieren (d. h., ein signiertes Echtheitszertifikat, das von einem verifizierten Verkäufer ausgestellt wurde, wird an eine gegebene Produktidentität angehängt). Wir planen auch, unsere Ecommerce-SSI Bridge zu testen, um Kunden-Credentials und Kaufnachweise (mit den E-Commerce-Betreibern des Projekts) mit Logistikunternehmen zu teilen (Anwendungsfall 2).
Wir werden Anwendungsfall 3 “Überwachung des Vertriebs von medizinischen Geräten” in einem Projekt implementieren und testen, das kurz vor dem Start steht (SECANT, bleiben Sie dran für weitere Details). Anwendungsfall 4 “Vertrauenswürdige Orakel, Datenquellen” ist auch der Hauptgrund, warum wir andere E-Commerce-Überwachungstools mit dezentralen Identitäten verbinden werden, bevor sie Daten mit dem Audit Trail Tool teilen.
Schlussfolgerungen
Die Umfrage bestätigte die meisten unserer und ENSURESECs Annahmen, die sich aus den Diskussionen mit den am Projekt beteiligten E-Commerce-Stakeholdern ergaben. Sie identifizierte interessante Anwendungsfälle, insbesondere im Zusammenhang mit IOTA NFTs, die in diesem Projekt nicht berücksichtigt wurden, aber eine interessante Richtung für zukünftige Projekte im E-Commerce-Bereich darstellen könnten.
Die Umfrage erkannte an, dass trotz der bestehenden Konkurrenz durch das Ethereum-Ökosystem der IOTA-Ledger und die IOTA-Tools gefbührenfrei, grüner, offener, skalierbar und von einer gemeinnützigen Stiftung gewartet sind. Trotzdem bleibt die Herausforderung für die Akzeptanz, insbesondere von dezentralen Identitäten, bestehen, bis ein nachhaltiger Weg für die Monetarisierung in einem solch offenen Ökosystem gefunden ist.
Die Nutzung des Ledgers zur Datensicherung ist einfacher, wenn die richtigen Tools für die Integration zur Verfügung stehen, da es die Transparenz und Verantwortlichkeit in solch komplexen Ökosystemen erhöht.
All dies ist sehr ermutigend für die IOTA Foundation. Unsere Tools sind fast fertiggestellt und die Anwendungsfälle der Piloten nehmen Gestalt an. Bleiben Sie dran für weitere technische Informationen über die IOTA E-Commerce-Tools und die Ergebnisse ihrer Evaluierung. Wir sind zuversichtlich, dass wir durch das Sammeln und Kommunizieren von Wertnachweisen aus realen Demonstrationsszenarien auch deren breitere Anwendung im Laufe des ENSURESEC-Projekts fördern können.