Photo: Hans Timmerman

Decentrale identificatie

23 maart 2022
Kennisbank

Hans Timmerman

Decentrale identificatiecodes (DID: digital identifier) zijn de cryptografische tegenhanger van verifieerbare referenties (VC’s). In de nieuwe wereld van ‘zelf soevereine identiteiten’ vormen DID’s en VC’s twee essentiële pijlers. Beiden zijn gerelateerd aan URL’s en URN’s in de oude bekende wereld van internet en zijn nodig voor een werkelijke zelf soeverdigital identifier)eine identiteit. Wereldwijd wordt in het World Wide Web Consortium (W3C) hard gewerkt aan deze nieuwe identifiers en de daarbij behorende nieuwe standaarden. Zie ook mijn eerdere blog ‘zelf beheerde identiteit’. Het internet is oorspronkelijk opgezet voor het digitaal verbinden van netwerklocaties. Wie op of achter die locatie zat, was indertijd niet-relevant. Echter nu – 50 jaar later – willen we steeds beter weten wie er op een lokatie aanwezig is. Daar zijn decentrale identificatiecodes voor nodig. Een enorme paradigma verandering voor het internet. Van lokatie naar individu. Van voordeur naar wie achter die voordeur woont. 

De decentrale identificatiecode (DID) is die unieke identifier, vergelijkbaar met de URL’s die je in de adresbalk van je browser ziet, maar dan naar personen. Bouwstenen in een nieuwe decentrale laag met identificatoren die vanzelfsprekend moeten passen in de bestaande openbare sleutel-infrastruur (PKI, private key infrastructure) van het internet.

Achter elke voordeur geldt privacy, dat geldt fysiek maar ook voor het internet. Vóór de voordeur is elke woning via postcode en huisnummer vindbaar in een publieke openbare ruimte; in feite de fysieke URL. Maar achter de voordeur geldt privacy. Daar is zelfs voor de overheid een huiszoekingsbevel nodig om achter die voordeur te mogen komen. ‘Achter de voordeur’ was op het internet nooit geregeld. Een internetadres bestaat immers uit niet meer dan een URL (Unified Network Location) en een URN (Unified Resource Name), vergelijkbaar met een postcode/huisnummer en een straatnaam. Maar om de bewoner van die woning te kennen, is aanvullend een DID nodig. Die bewoner moet ook nog kunnen bewijzen dat hij of zij inderdaad de bewoner is achter dat huisnummer of die URL.

Identificatie als bewoner op het internet

Als bewoner achter een URL moet je met een openbare en privé-sleutel kunnen bewijzen dat jij eigenaar en beheerder van die digitale identiteit bent. Encrypte kan helpen om boodschap en inhoud te versleutelen, maar kern blijft dat je uniek moet aantonen dat jij – en alleen jij – die digitale inwoner van dat virtuele huis op die URL bent. Net zoals we door een webadres in te tikken dat begint met ‘http’ of https’, zouden we – als in een telefoonboek – achter de bron van een identifier moeten kunnen komen door een DID-adres in te tikken. Daar heb je nu nog een DID-resolver voor nodig: via een gestandaardiseerd protocol een DID-document aan maken voor identiteitstoepassingen.

Digitale ‘wallets’ zijn voor SSI’s wat browsers zijn voor het web. Via je wallet maak je gebruik van deze digitale identiteitstoepassingen en -diensten. De DID als bouwsteen voor het nieuwe persoonlijke internet. Naast het internet of things (IoT) ook the internet of people (IoP). De entiteit die de DID (naam) en het bijbehorende DID document (paspoort) bestuurt, wordt de DID-controller genoemd. Dat kan voor jezelf als persoon zelf gelden, maar ook als ouder/voogd voor een kind of bij compos mentis situaties bij ouderen. Een DID-document kan alle willekeurige data over een persoon bevatten, maar om privacyredenen is dat dat niet handig. De minimale hoeveelheid machine-leesbare metadata is in de praktijk genoeg om betrouwbare interactie met het DID-onderwerp mogelijk te maken. Dit zijn dan één of meer openbare sleutels, één of meer gekoppelde diensten, tijdstempels, digitale handtekeningen en andere cryptografische bewijzen met betrekking tot delegatie en autorisatie.

Waarom PKI’s niet echt werken

In de PKI-vertrouwensdriehoek is het niet genoeg alleen de publieke/private sleutels in te zetten. Je moet elk sleutelpaar zien in relatie met de controlerende autoriteit (controller) of dat nu een persoon, een organisatie of een ding is. Openbare en privé sleutels zijn wiskundig met elkaar verbonden zodat geen van beiden kan worden vervalst. Elk paar kan alleen maar worden gebruikt voor de functie waarvoor zij in het leven zijn geroepen en ze zijn gelinkt aan een specifiek cryptografisch algoritme. De openbare sleutel kan worden gedeeld met elke partij die veilig wil communiceren met de verwerker. De privé-sleutel is gereserveerd voor het exclusieve gebruik van de controller of zijn afgevaardigden.

Sinds de jaren zeventig geldt het PKI-dilemma waarvoor zich tot nu toe vier verschillende oplossingen aandienden. Het eerste model ging uit van digitale certificaten, maar dat blijkt al 40 jaar minder goed te werken dan we wilden. Een tweede methode was ‘Pretty Good Privacy’ dat uitging van vertrouwen van personen die elkaar al kenden. Een derde methode is niet te vertrouwen op derden, maar zelf de identificatiecode te genereren. Deze moet je in een openbare boekhouding kunnen vastleggen en daar blijkt blockchain fantastisch in te kunnen voorzien. De laatste en beste oplossing is én deze zelf-certificerende identificatiecode kunnen genereren én deze na elke sleutelrotatie zelf te kunnen verifiëren. Het ei van Columbus.

De voordelen van DID over PKI

Als iedereen met toegang tot het DID-document cryptografisch de binding tussen die DID en de bijbehorende sleutel kan verifiëren, is geen TTP (Trusted Third Party) of andere externe autoriteit meer nodig. Elke keer als het sleutelpaar verandert, maakt de lokale controller een bijgewerkt DID-document, ondertekent met de privé-sleutel. Zelfcertificering zonder externe autoriteit. Er zijn nog meer voordelen die DID’s ons geven. Bijvoorbeeld met de geboorteakte krijgt de ouder of voogd direct een verifieerbare identiteit en dus legitimatie voor de baby. Hiermee kan elke pasgeborene een levenslange, onvervreemdbare digitale identiteit krijgen. De verwerkingsverantwoordelijke blijft de ouder of voogd tot het moment van volwassenheid.

Een ander voordeel levert de koppeling van service-endpoint URL’s aan een DID. Hierdoor kunnen ‘agent-endpoints’ direct ondersteunen om DID-to-DID verbindingen tot stand te brengen, communicerend via het DIDComm-protocol. Vergelijkbaar met de DNS-functie voor IP-adressen en daarom van essentieel belang voor SSI’s. Vergelijkbaar met de TSL (Transport Security Layer) om een veilige HTTPS-verbinding tussen webbrowser en webserver te maken. DID’s kunnen onmiddellijk, lokaal en on-the-fly worden gegenereerd om een (nieuwe) verbinding te maken met een andere identiteit. Op die manier is werkelijke peer-to-peer communicatie tussen twee geverifieerde, decentrale identiteiten via het internet mogelijk.

Privacy by design

DID’s zullen de veiligheid op het internet verbeteren. Veiligheid is nodig om uiteindelijk ook privacy mogelijk te maken. Privacy is ook zorgen dat persoonlijke informatie alleen wordt gedeeld met identiteiten die uw informatie voldoende beschermen en niet gebruiken of verkopen zonder uw toestemming. DID’s zetten die bescherming op zijn kop: u genereert en deelt telkens wanneer u een relatie aangaat met een nieuwe vertrouwende partij een ‘pairwise unieke DID’. Die vertrouwde partij is de enige partij die uw DID kent, u heeft deze er immers speciaal voor aangemaakt! En die vertrouwde partij heeft dat vice versa ook gedaan. Privacy in het kwadraat! Zo heb je je eigen permanente privé kanaal om met iedereen die je wilt, peer-to-peer te communiceren en verifieerbare persoonlijke documenten uit te wisselen. Jij geeft immers elke keer een machtiging aan een door jou vertrouwde partij en jij kunt zien hoe die informatie is en wordt gebruikt. Een privaat trust-netwerk dat GDPR voor ogen had.

De auteur Hans Timmerman is IT kenner en trendwatcher, directeur van Fortierra en tevens blogger bij het Risk & Compliance Platform Europe.



Plaats uw reactie

Your email address will not be published. Required fields are marked *