Beschreiben der Funktionsweise von Nachweisen

  • 11 Minuten

Dezentrale Bezeichner sind eine wichtige Komponente im Prozess zum Ausgeben, Vorzeigen und Überprüfen von Nachweisen und ermöglichen es Benutzer*innen zu steuern, wie und wann sie vorgezeigt und freigegeben werden. Mit anderen Worten: DIDs sind die Grundlage für Nachweise.

Entitäten, die an einem Ökosystem für Nachweise beteiligt sind

Zunächst sollten einige der am Ökosystem für Nachweise beteiligten Parteien beschrieben werden, wie sie in der W3C-Empfehlung für das Nachweis-Datenmodell v1.1 definiert sind.

  • Aussteller: Der Aussteller erstellt den Nachweis. Beispiele für Aussteller sind Unternehmen, Behörden, Handelsorganisationen usw. Der Aussteller bestätigt Ihre Ansprüche als Antragsteller*in des Nachweises.
  • Antragsteller: Der Antragsteller ist die Entität, für die die Ansprüche im Nachweis ausgestellt werden. Der Antragsteller eines Nachweises ist in der Regel eine Person, kann aber auch eine Sache oder ein Tier sein. Der Antragsteller ist beispielsweise eines Sache im Falle eines Nachweises, der bestätigt, dass Ihr Fahrzeug in Ihrem Bundesland registriert ist. Bei dem Antragsteller kann es sich aber auch um ein Tier handeln, wie im Fall eines Nachweises, der bestätigt, dass Ihr Haustier zugelassen und gegen Tollwut geimpft ist. Für unser Szenario gehen wir davon aus, dass es sich bei dem Antragsteller um eine Person handelt. Wir bezeichnen diese im Folgenden als „Benutzer“.
  • Inhaber: Der Inhaber ist eine Entität, die über einen oder mehrere Nachweise verfügt. Beispiele für Inhaber sind Studierende, Mitarbeitende, Kund*innen usw. Der Inhaber muss nicht mit dem Antragsteller identisch sein, wie es bei einem Tierbesitzer der Fall wäre, der über den Nachweis verfügt, der bestätigt, dass sein Haustier (der Antragsteller) zugelassen und geimpft ist. In unserem Beispiel sind der Einfachheit halber der Halter und der Antragsteller identisch; sie werden in unserem Szenario entweder als „Benutzer“ oder „Halter“ bezeichnet.
  • Überprüfer: Der Überprüfer ist eine Entität, die den Nachweis zur Verarbeitung erhält. Beispiele für Entitäten, die als Prüfer dienen können, sind Arbeitgebende, Sicherheitspersonal, Websites, Universitäten usw.
  • Überprüfbare Datenregistrierung: Überprüfbare Datenregistrierungen sind die Systeme, die beim Erstellen und Speichern von DIDs, öffentlichen Schlüsseln und anderen Daten beteiligt sind, für die ein Nachweis erforderlich sind. Bei diesen Systemen handelt es sich in der Regel um verteilte Netzwerke, z. B. verteilte Ledger, Blockchains, verteilte Dateisysteme oder andere vertrauenswürdige Datenspeicher. Der verwendete Registrierungstyp ist von der DID-Methode abhängig. Im Ökosystem für Nachweise kann es viele Registrierungen geben. Sie können sich die Sammlung dieser Registrierungen als zugrunde liegendes Netzwerk vorstellen, das ein Vertrauenssystem darstellt.

Alle an der Transaktion des Nachweises beteiligten Parteien (Aussteller, Benutzer, Prüfer) verfügen über einen eigenen eindeutigen DID, der in das zugehörige DID-Dokument aufgelöst werden kann.

Diagramm, das die Hauptakteure in einem Szenario für einen Nachweis zeigt. Dazu gehören der Aussteller, der Benutzer, der Prüfer und die überprüfbare Datenregistrierung, die das Vertrauenssystem darstellt.

Digital Wallet

Eine weitere wichtige Komponente im Ökosystem für Nachweise ist das Digital Wallet. Einfach erklärt ist ein Digital Wallet ein Abbild unserer physischen Brieftasche in Form einer Softwareanwendung. Genau wie physische Brieftaschen werden Digital Wallets verwendet, um Nachweise wie Bordkarte, Bibliothekskarte, Geld, Pässe und viele andere Arten von Nachweisen und privaten Daten aufzubewahren.

Tatsächlich ist ein Digital Wallet aber mehr als das. Ein Digital Wallet besteht aus zwei Teilen: dem Wallet selbst und einem digitalen Agent. Das Wallet dient der Aufbewahrung aller Nachweise wie Pässe, private Daten usw. Der digitale Agent ist die Software, die die Interaktionen mit dem Wallet verwaltet. Der Agent entspricht quasi dem Benutzer, der Nachweise in seiner physischen Brieftasche aufbewahrt und diese herausnimmt, um sie einer Person vorzuzeigen, der seine Identität überprüfen möchte. Im Ökosystem für Nachweise übernimmt der Agent jedoch noch weitere Aufgaben. Der Agent generiert im Auftrag des/der Endbenutzer*in (d. h. dem/der Inhaber*in des Digital Wallet) die öffentlichen/privaten Schlüsselpaare und DIDs, stellt Anforderungen für Nachweise und legt diese vor (in der Regel über QR-Codes), signiert digital die Kommunikation mit dem Aussteller und Prüfer des Nachweises und vieles mehr. Einige dieser Aspekte, wie etwa die Erstellung von kryptografischen Schlüsseln, DIDs, digitalen Signaturen usw., sind für den/die Benutzer*in transparent und wichtige Komponenten beim Ausstellen und Überprüfen von Nachweisen.

Für den/die Endbenutzer*in ist die Funktion des digitalen Agents nicht vom Wallet selbst zu unterscheiden, da der Agent in der Regel im Wallet integriert ist. In diesem Dokument werden Wallet und digitaler Agent als Einheit behandelt und als Digital Wallet bezeichnet.

Nachweisszenario und Ablauf

Alice (die Benutzerin) ist Mitarbeiterin bei Woodgrove, Inc. (Aussteller) und sucht einen Mitarbeiterrabatt der Partnerorganisation Proseware (Prüfer).

Diagramm, das den Ablauf des Ausstellens und Überprüfen eines Nachweises zeigt.

  1. Wie bereits erwähnt, verfügen alle Parteien über einen öffentlichen Schlüssel und einen DID, die in einer überprüfbaren Datenregistrierung, z. B. einem dezentralen Ledger, aufgezeichnet werden. Aus Gründen der Übersichtlichkeit werden in der Abbildung diese aufgezeichneten Informationen in der Registrierung nur für Woodgrove angezeigt.
  2. Alice meldet sich beim Mitarbeiterportal von Woodgrove an und fordert einen Nachweis über ihre Beschäftigung an. Woodgrove zeigt dazu möglicherweise einen QR-Code auf der Website des Mitarbeiterportals an. Alice scannt den QR-Code mit einer Digital-Wallet-App auf ihrem mobilen Gerät (z. B. mit der Microsoft Authenticator-App). Das Nachweissystem von Woodgrove wird daraufhin gestartet, um zu überprüfen, ob Alice tatsächlich eine Mitarbeiterin ist. Der Nachweis kann in verschiedener Form erfolgen. Woodgrove kann von Alice beispielsweise eine Authentifizierung beim eigenen Verzeichnis, eine Überprüfung der Identität durch einen Drittanbieter oder die Eingabe einer PIN verlangen. Angenommen, Alice muss für dieses Szenario nur eine PIN über das Digital Wallet auf ihrem mobilen Gerät eingeben.
  3. Nachdem Woodgrove sichergestellt hat, dass Alice eine Mitarbeiterin ist, stellt Woodgrove den Nachweis bereit. Der von Woodgrove ausgestellte Nachweis enthält folgende Informationen:
    • Den DID von Woodgrove (DID des Ausstellers)
    • Den DID des Antragstellers (d. h. von Alice)
    • Die Ansprüche, die Woodgrove bestätigt hat In diesem Fall bestätigt Woodgrove, dass Alice seit 2011 den Titel der Programmmanagerin innehat.
    • Signatur von Woodgrove (Signatur des Ausstellers). Woodgrove signiert den Nachweis mit dem privaten Schlüssel des Unternehmens.
  4. Alice akzeptiert diesen Nachweis, der dann ihrem Digital Wallet hinzugefügt werden. Alice hat nun einen Nachweis und ruft die Website von Proseware auf, um einen Computer zu kaufen.
  5. Bevor Alice den Rabatt erhält, verlangt Proseware von ihr einen Nachweis ihrer Beschäftigung.
  6. Alice kann nun in ihrem Digital Wallet nachsehen und das Wallet autorisieren, Proseware den Nachweis in ihrem Auftrag vorzulegen. Es werden folgende Details bereitgestellt:
    • Der von Woodgrove ausgestellte Nachweis
      • Den DID von Woodgrove (DID des Ausstellers)
      • Den DID von Alice (DID des Antragstellers)
      • Die Ansprüche, die Woodgrove bestätigt hat In diesem Fall bestätigt Woodgrove, dass Alice seit 2011 den Titel der Programmmanagerin innehat.
      • Signatur von Woodgrove (Signatur des Ausstellers). Woodgrove signiert den Nachweis mit dem privaten Schlüssel des Unternehmens.
    • Die Signatur von Alice (Signatur des Antragstellers). Alice signiert den Nachweis mit ihrem privaten Schlüssel.
  7. Proseware hat den Beschäftigungsnachweis erhalten und überprüft, ob der Nachweis von Woodgrove ausgestellt wurde und ob Alice die Antragstellerin des Nachweises ist.
    • Überprüfen des Antragstellers:
      • Da der Nachweis den DID von Alice enthält, kann Proseware das DID-Dokument auflösen und das DID-Dokument mit dem öffentlichen Schlüssel abrufen.
      • Da der Nachweis von Alice signiert wurde, kann Proseware mithilfe des öffentlichen Schlüssels überprüfen, ob die Signatur auf dem Nachweis tatsächlich von Alice als Antragstellerin stammt.
    • Überprüfen des Ausstellers:
      • Da der Nachweis den DID von Woodgrove enthält, kann Proseware das DID-Dokument auflösen und das DID-Dokument von Woodgrove mit dem öffentlichen Schlüssel abrufen.
      • Da der Nachweis auch die Signatur von Woodgrove enthält, kann Proseware mithilfe des öffentlichen Schlüssels überprüfen, ob die Signatur auf dem Nachweis tatsächlich von Woodgrove als Aussteller stammt.
      • Bei der Überprüfung des Ausstellers musste Proseware zu keinem Zeitpunkt eine direkte Verbindung mit Woodgrove herstellen. Proseware muss nur eine Verbindung mit der verteilten Datenregistrierung herstellen.
      • Nachdem Proseware den Nachweis von Alice erhalten und überprüft hat, wird die Geschäftslogik von Proseware gestartet, und Alice kann einen Computer zu einem reduzierten Preis kaufen.

Beim Ausstellen, Vorlegen und Überprüfen der Transaktion gibt es einige Punkte, die die Vorteile von Nachweisen verdeutlichen:

  • Beim Ausstellen eines Nachweises handelt es sich bei den angegebenen Ansprüche um die Ansprüche, die mindestens erforderlich sind, um das Ziel zu erreichen. In diesem Fall muss der Nachweis nur einen Anspruch enthalten, und zwar für den Jobtitel und das Jahr des Beschäftigungsbeginns des Arbeitnehmers. Dadurch wird nur eine begrenzte Menge personenbezogener Informationen geteilt.
  • Der Benutzer kann die Informationen für den Nachweis steuern und bestimmen, für wen der Nachweis freigegeben wird. Außerdem führt das Wallet des Benutzers ein Protokoll über die Entitäten, für die der Nachweis freigegeben wurde, sowie weitere Informationen.
  • Der Prüfer überprüft den Nachweis, ohne eine Verbindung mit dem Aussteller herstellen zu müssen. Der Prüfer löst den DID des Ausstellers auf, um die öffentlichen Schlüssel abzurufen, und kann mit dem öffentlichen Schlüssel die Signatur des Ausstellers im Nachweis überprüfen.

Im Zusammenhang mit Nachweisen kommt es häufig vor, dass Nachweise ihre Gültigkeit verlieren oder der Aussteller diese widerrufen muss. Die W3C-Empfehlung für das Nachweis-Datenmodell v1.1 sieht Eigenschaftenfelder im Nachweis vor, um diese Szenarios zu berücksichtigen.

Im Digital Wallet von Alice wird der Nachweis ähnlich wie die Nachweise in einer physischen Brieftasche wie eine Karte dargestellt. Tatsächlich handelt es sich bei einem Nachweis jedoch um eine maschinenlesbare JSON-Datenstruktur, die aus mehreren Schlüssel-Wert-Paaren besteht und den DID des Ausstellers, die im Nachweis bestätigten Ansprüche, digitale Signaturen usw. enthält.

Unter https://aka.ms/vcdemo finden Sie eine ausführlichere Beschreibung eines Onboarding-Szenarios für Nachweise.