19. Apr’21
Übersetzung des IOTA Blogartikel.
Eine dezentralisierte und interoperable Infrastruktur
In den letzten Monaten wurde auf der ganzen Welt eine Diskussion geführt: Wie kann man Menschen angesichts der Einschränkungen durch die aktuelle Pandemie wieder das Reisen ermöglichen? Und was ist die beste Technologielösung, um das Ausweisverfahren zu unterstützen?
Obwohl einige Regierungen noch darauf warten, Stellung zu beziehen, und andere die besten Lösungen, die der Markt zu bieten hat, analysieren oder testen, hat die Kommission der Europäischen Union (EU) in einem kürzlich veröffentlichten Vorschlag für die Schaffung eines digitalen grünen Zertifikats einige Anforderungen festgelegt, um diesen Markt voranzutreiben. Das Ziel ist es, die sichere, freie Bewegung der Bürger innerhalb der EU während der COVID-19-Pandemie zu erleichtern. Nach seiner Einführung wird das Digitale Grüne Zertifikat Reisenden innerhalb der EU ermöglichen, einen Ausweis vorzulegen, der bestätigt, dass er oder sie gegen COVID-19 geimpft, negativ getestet oder genesen ist. Dieses Zertifikat wird es Reisenden ermöglichen, die sonst geltenden Quarantänebeschränkungen zu umgehen und sich freier zwischen den EU-Mitgliedstaaten zu bewegen.
Seit dem Auftauchen des COVID-19-Virus Anfang 2020 hat die IOTA Foundation fleißig an Prototypen von Lösungen gearbeitet, die es Menschen ermöglichen würden, auf vertrauenswürdige, sichere und nahtlose Weise nachzuweisen, dass sie negativ getestet wurden.
Insbesondere hat die IOTA Foundation mit Zebra Technologies zusammengearbeitet, um die Bereitstellung und Verfügbarkeit einer offenen, sicheren und interoperablen Infrastruktur für die Erstellung und Überprüfung von Zertifikaten zu beschleunigen.
Unser daraus resultierender Ansatz ist:
- Sicher: Die Identität von Ausstellern und Inhabern und ihr Verifizierungsstatus können aufgrund der Unveränderlichkeit des IOTA-Ledgers nicht manipuliert werden.
- Respektvoll gegenüber der Privatsphäre und GDPR-konform: Die Verifizierungsdaten werden lokal im Gerät des Zertifikatsinhabers gespeichert und nur zum Zeitpunkt der Verifizierung abgerufen. Jeder Identifikator wird pseudonymisiert.
- Interoperabel: Zertifikate werden digital als Standard W3C verifiable credentials (dt. verifizierbare Anmeldeinformationen) ausgestellt und folgen den Empfehlungen der Linux Foundation Public Health Working Group.
- Offen: Jeder autorisierte Aussteller kann Zertifikatsverifizierungsinformationen aus dem Ledger schreiben – und jeder Verifizierer kann sie lesen, nur zu Verifizierungszwecken und direkt, ohne dass eine Integration von Drittanbietern erforderlich ist.
- Einschließend: Die Erstellung von Self-Sovereign Identities (SSIs) ist dank der gebührenfreien und erlaubnisfreien Natur des IOTA-Ledgers für jeden kostenlos. Die Idee ist einfach und basiert auf der Unveränderlichkeit und Skalierbarkeit des IOTA Ledgers und seines Dezentralen Identitätsprotokolls.
Dezentrale Zertifikatsinfrastruktur: eigenständig (durchgezogene Linie); oder integriert (gestrichelte Linie)
Wie es funktioniert:
- Zertifikatsaussteller (Zentren, die den Test oder den Impfstoff verabreichen) und Inhaber (Bürger, die geimpft werden) haben beide eine selbstsouveräne Identität (einen eindeutigen pseudonymen Schlüssel, der im Ledger registriert ist). Die Identität des Ausstellers wird in einem einmaligen Prozess von einer zentralen Organisation, z. B. einer Regierungsbehörde, validiert.
- Die Identitäten der Inhaber werden zum Zeitpunkt des Erhalts eines COVID-19-Tests, einer Impfung oder eines Genesungszertifikats durch eine angemessene “Know Your Customer”-Validierung (KYC) verifiziert – z. B. durch die Beauftragung eines speziellen Mitarbeiters, der den Impfstoff verabreicht, mit der Überprüfung eines Ausweises. Sobald die Identität verifiziert ist, können die Inhaber digitale Zertifikate abholen, die entweder ihre Impf-, Test- oder Genesungsinformationen enthalten. Das Zertifikat wird lokal gespeichert und kann entweder auf das Smartphone des Inhabers heruntergeladen, auf eine eindeutig identifizierte physische Karte geladen oder auf Papier ausgedruckt werden. Sowohl die digitalen als auch die physischen Zertifikate haben entweder einen Barcode oder einen QR-Code, der später von Zertifikatsprüfern, wie z. B. Grenzbeamten, gescannt werden kann.
- Zusammen mit einem Mindestsatz an gesetzlich vorgeschriebenen Informationen (in unserer Implementierung haben wir die Empfehlungen des EU eHealth Network bereits berücksichtigt) enthält das Zertifikat die Identität des Inhabers (seinen verifizierten pseudonymen öffentlichen Schlüssel), die Identität des Ausstellers und die digitale Signatur des Ausstellers (die mit seinem privaten Schlüssel erzeugt wird). Auf Karten und Mobiltelefonen gespeicherte Zertifikate können für zusätzliche Sicherheit sogar mit dem privaten Schlüssel des Inhabers verschlüsselt werden.
- Ein Prüfer (z. B. ein Grenzbeamter) kann dann den Barcode oder QR-Code auf der Karte oder dem Telefon scannen, um die erforderlichen Informationen, einschließlich der Identität des Inhabers und des Ausstellers sowie der Zertifikatsignatur, abzurufen und zu überprüfen. Er verwendet dann den IOTA-Ledger, um zu überprüfen, ob die Signatur authentisch ist und zu einem verifizierten Aussteller gehört.
Während unser angedachtes Datenmodell für Zertifikatsinformationen an die endgültigen EU-Bedürfnisse angepasst werden kann, erfüllt unsere Infrastruktur, basierend auf dem oben Gesagten, die folgenden grundlegenden technischen Anforderungen:
Das Framework “Digitales Grünes Zertifikat” soll sicherstellen, dass diese Zertifikate in einem interoperablen Format ausgestellt und bei Vorlage durch den Inhaber in anderen Mitgliedstaaten zuverlässig verifiziert werden können, um so den freien Reiseverkehr innerhalb der EU zu erleichtern (cit.).
Und dank seines nutzerzentrierten Charakters trägt der von uns skizzierte Rahmen dazu bei, dies zu gewährleisten:
Die personenbezogenen Daten, auf die gemäß diesem Absatz zugegriffen wird, werden nicht gespeichert (cit.).
Tatsächlich werden keine Daten zentral oder im Ledger gespeichert und auch nicht übertragen, sondern nur lokal dargestellt und überprüft.
Zusammen mit Zebra haben wir bewiesen, dass physische Karten mit Barcodes oder QR-Codes auch von denjenigen genutzt werden können, die keinen Zugang zu Mobiltelefonen haben, wodurch das Zertifikatsprogramm für alle zugänglich wird. Das ist wichtig, denn durchschnittlich 20 % der Menschen in der EU haben kein Smartphone und können einen Ausweis nicht digital speichern – und damit auch nicht präsentieren. In weniger entwickelten Ländern steigt diese Zahl auf bis zu 70 %.
Dies ist auch eine gute Lösung für diejenigen, die sich Sorgen machen, ein Papierzertifikat zu verlieren oder zu beschädigen, da dieses Modell einen Kartenersatz und eine digitale Backup-Version ermöglicht. Darüber hinaus vereinfachen und beschleunigen biometrische Karten, wie z. B. Fotoausweise, automatisierte sichere Verifizierungsprozesse, was wichtig sein wird, wenn das Reiseaufkommen wieder steigt.
Unsere Lösung ist vollständig dezentralisiert und ermöglicht eine einfache Integration und Interoperabilität zwischen den EU-Mitgliedstaaten. Um jedoch die Einführung einer ersten Lösung zu vereinfachen und zu beschleunigen, empfiehlt die EU die Anpassung und Wiederverwendung der European Federation Gateway Services. Ein solches Gateway wurde bereits für den pseudonymen Austausch von Fahndungsinformationen bei grenzüberschreitenden Fahrten eingesetzt.
Zum jetzigen Zeitpunkt ist unser vorgeschlagener Ansatz vollständig mit dieser Empfehlung kompatibel (siehe den ergänzenden Arbeitsablauf, der das Gateway integriert und in der obigen Abbildung mit grün gestrichelten Linien dargestellt ist). Tatsächlich glauben wir, dass der Prozess der Registrierung beim Gateway genutzt werden kann, um den Verifizierungsprozess für die Identitäten der Emittenten über die EU-Mitgliedstaaten hinweg zu straffen, bevor diese im Ledger registriert werden. Die Integration der vorgeschlagenen Ledger-Infrastruktur als Public-Key-Infrastruktur und eine Möglichkeit, die Integrität eines Zertifikats zu verifizieren, bietet auch einen redundanteren und zuverlässigeren ergänzenden Mechanismus im Falle eines Skalierbarkeitsproblems, sollte das Gateway-Modell zunächst angenommen werden. Die Schlüssel für die Zertifikatsüberprüfung stehen den Überprüfern immer zur Verfügung, wodurch die Interoperabilität über Ländergrenzen hinweg (außerhalb der EU) erhöht wird.
Für die Zukunft erwarten wir, dass eine vollständig dezentralisierte Infrastruktur wie die von uns vorgeschlagene die Integration vereinfacht, die Kosten reduziert und ein angemessenes Maß an Sicherheit und Rechenschaftspflicht bietet, insbesondere wenn sie schließlich in die sich entwickelnde European Blockchain Service Infrastructure (EBSI) integriert werden sollte.
Wir glauben auch, dass dezentralisierte Identitäten die Interoperabilität verbessern werden, weshalb wir die Mitglieder der Good Health Pass Collaborative und deren gemeinsame Initiative zur Interoperabilität mit der Trust over IP-Gruppe unterstützen.
Die IOTA Foundation und ihre Partner glauben, dass selbstsouveräne dezentrale Identitäten und überprüfbare Berechtigungsnachweise der Grundstein für die Bewältigung der aktuellen Notlage sind. Wir glauben auch, dass diese Innovation Europa in die Lage versetzen wird, auf zukünftige Notfälle agil zu reagieren, um die Bedürfnisse der Bürger besser zu unterstützen.
Wir sammeln Unterstützung von einer Reihe industrieller Partner und arbeiten mit hochkarätigen Sicherheitsforschungsgruppen sowie Standardisierungsgremien wie der Object Management Group zusammen, um ein dezentrales Identitäts-Framework zu entwickeln, das die Risiken reduziert, die derzeit mit traditionellen zentralisierten Identitätssystemen verbunden sind, wie z. B. unkontrollierte Datenoffenlegung, Verknüpfbarkeit und Rückverfolgbarkeit.
Wir hoffen auf weitere Unterstützung von Organisationen aus dem privaten und öffentlichen Sektor, während wir diese Infrastruktur weiter ausbauen. Wenn Sie mit der Integration Ihrer Lösung in diese Infrastruktur beginnen möchten oder eine Lösung oder ein Tool entwickelt haben, das andere Integrationen erleichtern könnte, können Sie uns unter integrations@iota.org oder auf Discord erreichen.
Wir freuen uns auf den Tag, an dem Menschen die Möglichkeit haben, das Leben ohne zu viele Einschränkungen zu genießen, und wir arbeiten hart daran, dass es wieder möglich ist, zu reisen oder an organisierten Veranstaltungen teilzunehmen.
—–
Nützliche Links:
Video zu kartenbasierten Zertifikaten
Tools für die Erstellung und Überprüfung von kartenbasierten Identitäten und Zertifikaten