Al sinds de begindagen van het internet wordt gewerkt aan een veilig en breed geaccepteerd middel waarmee u digitaal kunt aantonen wie u bent. Huidige systemen zoals ‘inloggen met Facebook’ kennen echter nog veel tekortkomingen, bijvoorbeeld als het gaat om privacy, beschikbaarheid, afhankelijkheid van anderen, inzetbaarheid en kosten. Het goede nieuws: dit gaat veranderen. Een nieuw identiteitsmiddel op basis van ‘Self-Sovereign Identity’-principes biedt meer privacy en controle voor de gebruiker.
Wat ontbreekt er aan het huidige systeem?
Het doel van digitale identiteit is dat het vertrouwen wordt vergroot wanneer expliciet en aantoonbaar bescherming wordt geboden voor de privacy van de gebruiker. Oftewel eenvoudig en betrouwbaar gegevens uitwisselen zonder je zorgen te maken.
We zien echter dat dit maar mondjesmaat lukt. Datalekken, identiteitsfraude en accountovernames bereiken steeds vaker het nieuws. Ondertussen wordt van gebruikers verwacht dat ze hun data met een toenemend aantal partijen delen en daarnaast tientallen of soms wel honderden accounts met wachtwoorden beheren.
De afgelopen jaren is er veel aandacht geweest voor de zogenaamde ‘user centric identity’; een identiteitsmiddel dat met toestemming van de eigenaar gebruikt kan worden voor meerdere diensten. Social identities zijn daar een voorbeeld van. Zie bieden een hoog gebruiksgemak, maar lossen eigenlijk geen van de eerdergenoemde tekortkomingen op. Daarnaast zien we nog een ander probleem: wat zegt zo’n account nu eigenlijk over de identiteit van het individu? Hoe weet je zeker dat het niet gaat om een nep-account? Hoe weet je zeker dat iemand niet liegt over zijn of haar leeftijd?
Op welke manier kan Self-Sovereign Identity hier een uitkomst in bieden?
SSI en decentrale identiteit
Self-Sovereign Identity (SSI) is een concept waarin de gebruiker niet alleen centraal staat, maar ook onvoorwaardelijke controle heeft over zijn of haar identiteit. Er bestaan 10 principes (zie “meer informatie”) die richtinggevend zijn bij de ontwikkeling van dergelijke identiteits systemen. Het gaat hierbij om waarden als afhankelijkheid, privacy, transparantie, integriteit en gebruikerstoestemming.
Op basis van deze principes wordt momenteel een veelbelovende identiteitstechnologie ontwikkeld, genaamd DID: decentrale identiteit.
Wat is een decentrale identiteit (DID)?
Een DID is een autonome identiteit die u zelf aanmaakt en vult met erkende attributen en kenmerken van uw fysieke identiteit. Een DID is te vergelijken met een URL die naar de gebruiker verwijst. Deze URL is voor iedereen uniek en geeft complete controle over het gebruik van persoonlijke data. Er is hier dus geen sprake van het aanmaken of registreren van een account bij een centrale partij, dit kunt u allemaal zelf doen. Wanneer u een DID aanmaakt, bijvoorbeeld via een app op de telefoon, wordt er een unieke identifier gemaakt (uw URL) met bijbehorende cryptografische sleutels. Met deze sleutels kunt u eigenaarschap van de nieuwe DID aantonen.
Persoonsgegevens worden in de vorm van digitale bewijzen aan de DID gekoppeld. Een digitaal bewijs is een stukje informatie over uzelf, gekoppeld aan uw DID en ondertekend door een geautoriseerde partij. Alle denkbare informatie kan in de vorm van bewijzen worden opgeslagen, zoals naam, werkgever, telefoonnummer, kredietverleden, diploma’s of bankrekeningnummer. De gebruiker verzamelt deze bewijzen bij verschillende instanties en bewaart ze op de telefoon, om later te kunnen delen met anderen. Dit heeft drie grote voordelen:
1. U heeft controle over de informatie die wordt gedeeld;
2. De informatie die u deelt is betrouwbaar;
3. Het delen van informatie gebeurt één-op-één: er is geen derde partij bij betrokken.
Een voorbeeld hoe dit kan werken in de praktijk
Als voorbeeld nemen we Alice. Alice volgt een online opleiding en wil graag kunnen aantonen dat ze deze met succes heeft afgerond. Alice begint met het downloaden van een DID-app op haar telefoon. Bij het installeren wordt haar unieke sleutelpaar aangemaakt en worden de cryptografische sleutels veilig opgeslagen.
Ze gaat naar het gemeentehuis om haar digitale paspoort op te halen. Aan het loket doet ze twee dingen. 1) Ze deelt haar publieke sleutel en bewijst met een digitale handtekening dat deze inderdaad van haar is. Hiervoor gebruikt ze haar DID-app. 2) Ze gebruikt haar paspoort om te bewijzen dat ze Alice is.
Het loket geeft haar een digitaal bewijs met daarin dezelfde gegevens als in het paspoort, die ze opslaat in haar app. Alice heeft nu haar basisgegevens beschikbaar in een digitaal bewijs en daarmee kan ze vervolgens nog veel meer gegevens verzamelen.
Alice kan nu op digitale wijze betrouwbaar aantonen wie ze is. Bij het registreren voor haar online cursus wordt ze gevraagd dit te doen, omdat ze zeker willen zijn wie online de cursus volgt. Wanneer Alice de test afneemt, doet ze dit weer en het resultaat en eventuele diploma worden als digitaal bewijs aan haar teruggegeven.
In het voorbeeld beschreven hiervoor acteren de overheid en de cursusaanbieder als zogenaamde issuers, ofwel partijen die persoonsgegevens uitgeven. In de wereld van DID worden deze persoonsgegevens ook wel verifiable credentials (digitale bewijzen met attributen) genoemd. Alice heeft niets aan deze credentials als er geen partijen zijn die ook credentials accepteren, zogenaamde verifiers. Een verifier kan Alice om informatie vragen. Denk bijvoorbeeld aan een webwinkel die haar adresgegevens nodig heeft. Alice wordt gevraagd de benodigde attributen te delen en nadat ze hiervoor toestemming geeft gaat dit automatisch. Onderstaande afbeelding geeft dit proces weer:
Waarom worden decentrale identiteiten belangrijk?
We doen steeds meer online en digitaal. Door digitale transformatie verdwijnen de traditionele netwerken van organisaties en verplaatst digitaal zakendoen zich naar de cloud. Daarbij is er nog te weinig aandacht voor privacy en de beveiliging van data. Dit opent de deur voor fraude, identiteitsdiefstal en datalekken. Een hogere digitale weerbaarheid is mogelijk als we de basis, onze data en identiteit, veilig organiseren.
De gebreken die we in onze huidige systemen ervaren, zullen de komende jaren zeer waarschijnlijk toenemen. We gebruiken en delen namelijk steeds meer data met steeds meer diensten. Door Internet of Things zal dit versnellen, bijvoorbeeld als we kijken naar de verwachte groei van het aantal aangesloten apparaten in het kielzog van deze technologie. Hiervoor zijn creatieve en innovatieve oplossingen nodig, en daar zien we een belangrijke rol voor DID’s.
DID is gebaseerd op de principes van self-sovereign identity en heeft tot doel het teruggeven van controle aan de gebruiker. Nu is het feit, dat dit met andere technieken in het verleden vaker is getracht, en met wisselend succes. Ook het concept van self-sovereign identity kent een aantal uitdagingen. Denk hierbij aan aspecten rondom wet- & regelgeving, normenkaders en technologie. KPN onderzoekt de mogelijkheden binnen het wettelijke kader en ziet in self-sovereign identities een innovatieve nieuwe manier om de digitale weerbaarheid van burgers, consumenten en organisaties te vergroten.
Strategie van KPN Security op het gebied van digitale identiteiten
Met de digitale transformatie wordt identiteit steeds essentiëler. De beweging waarbij data en gebruikers steeds meer interacteren in de cloud heeft ervoor gezorgd dat de identiteit centraal komt te staan voor security en is een enabler voor digitaal zakendoen.
KPN Security heeft geen uitgesproken voorkeur voor centrale of decentrale identiteiten, maar erkent dat de waarde afhankelijk kan zijn van de toepassing. Als leider op het gebied van digitale identiteit innoveren wij daarom bewust met dergelijke nieuwe concepten. Zo heeft KPN ook Mobile Connect ontwikkeld, waarmee wachtwoorden tot verleden tijd behoren voor consumenten.
Meer weten?
· KPN Digitale Identiteit – Digitaal zakendoen makkelijker maken
· 10 Guiding principles to SSI
· W3C Decentralized Identifiers (DIDs) specification
· of neem contact op met onze identity experts van KPN Security
Neem contact op
