Erklärung des IOTA Identity Actor

10. Aug'21

Übersetzung des IOTA Blogpost.



TL;DR:

Nach der Beta-Veröffentlichung von IOTA Identity im Mai dieses Jahres hat sich das IOTA Identity-Team auf das letzte fehlende Teil des Release Candidate konzentriert: den Identity Actor. Nur wenige Menschen verstehen, was der Identity Actor ist und warum er so wichtig für das IOTA Identity Framework ist. Daher werden wir in diesem Blogpost erklären, warum der Identity Actor wichtig ist und wie er IOTA Identity für die Produktentwicklung vorbereitet.



Was ist der Identity Actor?

Angenommen, ein neuer Kunde möchte online ein Bankkonto eröffnen. Bevor er dies tun kann, muss seine Identität von der Bank durch ein Verfahren namens Know Your Customer (KYC) überprüft werden. Traditionell erfordert KYC, dass der Kunde die Bank entweder persönlich aufsucht und einen von der Regierung ausgestellten Ausweis vorlegt oder sich einem Online-Videoidentifikationsverfahren unterzieht. Da bei beiden Verfahren eine Person ihre Identität nachweisen muss, sind sie zeitaufwändig, kostspielig und fehleranfällig. Was aber, wenn der Kunde eine sichere Darstellung seiner Identität zur Verfügung stellt, die von der Bank automatisch überprüft werden kann? In diesem Szenario würde die Eröffnung eines Bankkontos nicht länger dauern als die Einrichtung eines neuen Kontos auf der bevorzugten Videostreaming-Website.

Um dies zu ermöglichen, benötigt der Kunde eine Wallet für seine Identität, wie z. B. Selv, die auf seinem Smartphone installiert ist. Selv verwaltet die IOTA-basierte Identität des Kunden und kann KYC-Informationen mit der Bank austauschen. Dazu müssen sowohl der Kunde als auch die Bank ihre dezentralen Identifikatoren (DIDs) teilen und das Eigentum an diesen Identitäten nachweisen. Sobald beide Seiten von der Identität des jeweils anderen überzeugt sind, fragt der Kunde die Bank, welche Informationen sie benötigt, bevor er die erforderlichen Daten an sie übermittelt. Das mag kompliziert klingen, aber der Kunde muss nur einen QR-Code scannen, um mit der Bank ins Gespräch zu kommen, und auf "Akzeptieren" klicken, um die entsprechenden Daten zu übermitteln. Der Rest der Vorgänge läuft im Hintergrund ab. Dies erfordert jedoch, dass die Selv-App und die Bank eine gemeinsame Sprache für die gemeinsame Nutzung von Identitäten, den Nachweis des Eigentums und die gemeinsame Nutzung von Daten verwenden. Diese gemeinsame Sprache wird derzeit von der Decentralized Identity Foundation (DIF) entwickelt und heißt DID Communications (DID Comm).

Selbst wenn beide Seiten dieselbe Sprache sprechen, müssen sie dennoch Software implementieren, die mit den ausgetauschten Informationen etwas Sinnvolles anfangen kann. Das ist die Aufgabe des Identity Actors. Der Identity Actor ist ein Programm, das Anfragen und Antworten im Zusammenhang mit Self-Sovereign Identity (SSI) und Datenmanagement senden und empfangen kann. Das bedeutet, dass die IOTA Foundation ein Programm entwickelt, das es versteht, mit anderen Identity Actors " Identity zu sprechen".

Um auf unser Beispiel zurückzukommen: Das Scannen des QR-Codes der Bank weist den Identity Actor in der Selv-App an, eine Kommunikation mit dem Identity Actor der Bank aufzubauen. Die Konversation beginnt in etwa so:



Der Name dieses Prozesses ist DID-Authentifizierung und er beweist die Kontrolle von Identitäten. Um zum Beispiel sicherzustellen, dass der Kunde die Kontrolle über die von ihm gesendete DID hat, sendet die Bank eine Anfrage an den Kunden. Der Kunde signiert diese Aufforderung mit seinem Private Key, und die Bank verifiziert die Signatur mit dem Public Key des Kunden, der auf dem Tangle gespeichert ist. Die wichtigste Eigenschaft der Challenge ist, dass sie für den Empfänger unvorhersehbar ist.

Um die KYC-Informationen mit der Bank zu teilen, wird die Konversation fortgesetzt:



In diesem Gespräch werden die KYC-Informationen ausgetauscht, die die Bank benötigt, um ein Konto für den Kunden zu eröffnen. Heute überprüft die Bank die Identität des Kunden anhand eines physischen Ausweises, weil sie der Regierung vertraut, die den Ausweis ausgestellt hat. In naher Zukunft könnte die Regierung einen überprüfbaren Ausweis ausstellen, der den Namen, die Adresse und das Geburtsdatum des Kunden bestätigt und vom Kunden auf seinem Gerät gespeichert wird. Der Kunde könnte seine Identität gegenüber der Bank auch digital nachweisen, wenn die Bank der staatlichen Behörde, die den Ausweis ausgestellt hat, vertraut. Im Gegensatz zu Personalausweisen können Berechtigungsnachweise jedoch von jedem ausgestellt werden, und die Bank kann sich dafür entscheiden, mehreren Ausstellern zu vertrauen. Vielleicht ist der Kunde ein Student, der Anspruch auf ein kostenloses Konto hat: Um gegenüber der Bank digital nachzuweisen, dass er ein Student ist, müsste der Kunde einen von der Universität ausgestellten Ausweis besitzen, und die Bank müsste der DID der Universität vertrauen.

Die Bank würde über eine Liste von DIDs verfügen, denen sie als Aussteller dieser Berechtigungsnachweise vertraut: Vertrauenswürdige DIDs könnten auch andere Finanzdienstleister und staatliche Stellen sein. Im Rahmen der Interaktion wäre es auch möglich, die Bank zu bitten, ihre Datenanforderung digital zu signieren. Dies macht die Anfrage der Bank unanfechtbar, d. h. sie kann nicht bestreiten, Ihre Daten angefordert zu haben, da der Nutzer die digital signierte Message als Beweis hat. Wenn sich herausstellt, dass die Bank mehr Informationen angefordert hat, als gesetzlich vorgeschrieben sind, hat der Kunde nach der europäischen Datenschutz-Grundverordnung den Beweis, dass die Bank gegen das Datenschutzrecht verstoßen hat. Dies wird ein wichtiges Instrument zum Schutz gegen den Missbrauch der selbstverwalteten Identität sein.

Ein weiteres wichtiges Element sind die Hooks. Dies sind Punkte, an denen die Entwickler der Selv-App und der Bankensoftware dem Identity Actor eine zusätzliche Logik hinzufügen. Der Pre-Hook von Selv weist den Identity Actor an, auf die explizite Zustimmung des Benutzers zu warten, bevor er die angeforderten Daten weitergibt, z. B. durch Bestätigung der Aktion durch Drücken einer Schaltfläche oder Eingabe eines lokal festgelegten Passworts in die App. Das bedeutet, dass das Standardverhalten des Identity Actors von den Entwicklern der Selv-App nur sehr wenig angepasst werden muss. Ebenso müssen die Entwickler bei der Bank nur die Daten eingeben, die sie von ihren neuen Kunden und den DIDs benötigen, denen sie vertrauen, um diesen Anwendungsfall zu unterstützen. Die Einführung von IOTA-Identität wird so zu einem einfachen und effizienten Prozess.



Flexibilität und Interoperabilität

Wie im obigen Beispiel gezeigt, verstehen die Identitätsakteure die Sprache des jeweils anderen und wissen, wie sie automatisch auf bestimmte Anfragen reagieren können. Dies sorgt auch für eine natürliche Interoperabilität zwischen allen Anwendungen, die den Identity Actor verwenden. Der Bank ist es egal, ob Sie Selv oder eine andere SSI-Brieftasche verwenden, solange sie die gleiche Sprache sprechen. In ähnlicher Weise können Selv-Benutzer SSI-Funktionen bei anderen Banken oder in anderen Branchen, wie z.B. Webshops oder Ticketing-Services, nutzen, solange sie die gleiche Sprache sprechen. Dies führt zu einer starken Interoperabilität zwischen den Anwendungen und schafft ein Ökosystem, dem Benutzer und Anwendungen frei beitreten können. Der Identity Actor macht den Beitritt zu diesem Ökosystem sehr einfach. Jede Anwendung kann einen Identity Actor installieren und ausführen und ihre eigene Logik in die Konversationen zwischen den Identity Actors einbinden.

Der Identity Actor ist so konzipiert, dass er über alle Plattformen hinweg vollständige Funktionsparität und optimale Sicherheit bietet, unabhängig von der Rechenleistung oder den vorhandenen Sicherheitsmaßnahmen. Er kann Aufgaben an andere Identity Actors auslagern, die auf anderen Geräten laufen, um die Einschränkungen der aktuellen Umgebung zu umgehen. Sie könnten zum Beispiel einen Identitätsakteur auf Ihrem Desktop ausführen, der Ihre Identität sicher in Stronghold speichert, aber Sie möchten Ihre Identität im Internet verwenden. Der Browser hat keine Möglichkeit, Ihre Identität sicher zu speichern, so dass das Identity Actor-Modell die Auslagerung der Speicherung an den Desktop-Actor erlaubt. Lassen Sie uns das Beispiel der DID-Authentifizierung mit der neuen Konfiguration aktualisieren.



Die obige Konversation ist vereinfacht, da sie stark von der Einrichtung sicherer Verbindungen zwischen den verschiedenen Identitätsakteuren abhängt (die IOTA bietet, aber das ist eine andere Geschichte). Aber insgesamt zeigt es, wie die kryptographische Operation von der unsicheren Browserumgebung in die viel sicherere Desktopumgebung ausgelagert wird. Dies erhöht die Sicherheit, ermöglicht es aber auch restriktiven Umgebungen wie dem reinen Internet der Dinge, den vollen Umfang der Identität zu nutzen, indem die komplizierteren Aufgaben über eine sichere Identity-Actor-Kommunikation an andere Geräte mit mehr Rechenleistung ausgelagert werden.



Verwaltung der eigenen Identität und Daten

Kommen wir nun zum letzten, aber wahrscheinlich spannendsten Teil des Identity Actor: Die Daten. Der Identity Actor bietet die Möglichkeit, auf verschiedenen Plattformen und in verschiedenen Programmiersprachen auf standardisierte und interoperable Weise zu kommunizieren. Es könnte für Benutzer nützlich sein, einen Identity Actor in der Cloud oder auf einem physischen Gerät zu betreiben, das immer online ist und das sie kontrollieren, um immer einen erreichbaren Identity Actor zu haben. Nun könnten Sie den Zugriff auf Ihre Daten über Ihren Identity Actor ermöglichen. Dieser Identity Actor könnte dann überprüfbare Berechtigungsnachweise und andere persönliche Daten speichern, die nun mit einem Mausklick weitergegeben werden können. An diesem Punkt können Menschen nun einen personalisierten Datentresor und Server betreiben, um Sie in der digitalen Welt zu repräsentieren. Warum sollten Unternehmen Ihre Daten speichern, wenn sie von Ihnen die Erlaubnis erhalten könnten, Ihren persönlichen Identitätsvermittler aus der Ferne zu kontaktieren, um die Daten zu jeder Tageszeit abzurufen? Mit dieser Logik wären sie weitgehend davon befreit, persönlich identifizierbare Daten lokal zu speichern, und müssten somit keine GDPR-relevanten Daten lokal vorhalten.

Wenn man all dies zusammennimmt, schaffen wir einen Weg, um die Kontrolle über Ihre Daten auf eine Art und Weise zurückzugewinnen, die über die GDPR-Konformität hinausgeht. Sie werden in der Lage sein, alle Ihre Daten aus verschiedenen Quellen zu speichern und so die umfangreichste und vertrauenswürdigste Datensammlung über sich selbst zu erstellen, die verfügbar ist. Ihre Datensammlung wird vollständiger sein und daher als Datenquelle attraktiver als die Datenerfassung von Facebook und Google. Dies wird wahrscheinlich dazu führen, dass sich die Datennachfrage von dritten Datensammlern zu Ihnen als der besten Quelle verlagert. Dies wiederum gibt den Menschen die Möglichkeit, sicherzustellen, dass sie für die Weitergabe ihrer Daten angemessen belohnt werden, und zwar in Form von Mehrwert, Dienstleistungen oder anderen sinnvollen Belohnungen.


Darüber hinaus sprechen alle Anwendungen, die mit dem Identity Actor erstellt wurden, dieselbe Sprache und können diese Anfragen mit minimalen Entwicklungsanforderungen an Ihren Actor senden. Dadurch wird der persönliche Identitätsakteur für Anwendungsentwickler einfach zu kontaktieren und zu übernehmen sein.


- - -


Wir hoffen, dass diese kurze Einführung einen Eindruck davon vermittelt, was der Identity Actor ist und wie wir uns seine Verwendung in zukünftigen Produkten und Anwendungen vorstellen. Wenn Sie an weiteren Informationen über IOTA Identity interessiert sind, schauen Sie sich unser Repository an, in dem Sie die Entwicklung des Identity Actors verfolgen können, oder erkunden Sie unsere Selv-Demos. Treten Sie unserem Discord bei und finden Sie das Identity Team im #identity-discussion channel, oder treten Sie dem Identity X-team bei!