Alles over de groeiende interesse over identiteitsbeheer met SSI .

Gedecentraliseerd identiteitsbeheer is een van de blockchain-toepassingen waar schot in zit. Diverse bedrijven en landen draaien pilots met decentrale ID's. Het concept is dat je een wallet aanmaakt die functioneert als versleutelde database voor persoonsgegevens en financiële data, informatie die je alleen deelt voor specifiek gebruikersgeval en uitsluitend met expliciete toestemming van de eigenaar.

Nog een weg te gaan

Distributed Ledger Technology (DLT) zoals blockchain - in combinatie met digitale identiteitsverfificatie - kan potentieel privacy-issues oplossen waar vrijwel iedereen mee te maken krijgt: van consumentenverkoop en het bankwezen, tot aan aan het gebruik van credentials die gebruikers toegang verschaffen tot vertrouwelijke systemen.

"Er zijn verschillende leveranciers bezig met deze toepassing in R&D of het testen van producten in pilots", zegt Gartner-onderzoeker Homan Farahmand. "Het is veel te vroeg om te zien wie hier aan de winnende hand is, want het is onvoldoende om simpelweg een werkend product te hebben. Een vereiste is een levendig ecosysteem; een robuust identiteitsframework dat op een DLT of blockchain is gebouwd, tools die gebruikesvriendelijke functionaliteit bieden en ruime ontwikkelervaring om brede adoptie te ondersteunen."

Een belangrijke beveiligingseigenschap van het opslaan van digitale identiteiten op een versleutelde DLT is dat er geen centrale databases zijn met klantgegevens, waar aanvallers naar op zoek zijn, vertelt Julie Esser, Chief Engagement Officer van Amerikaanse kredietunie (CUSO) CULedger. CULedger is een coöperatie van meerdere kredietunie's om back-office diensten te leveren. Het werd een jaar geleden gestart om blockchain-identiteitsbeheerplatform MyCuID uit te bouwen. Dit platform gaat live in de tweede helft van dit jaar en geeft gebruikers van een app zelf de controle over hun data.

Afgelopen oktober begon CULedger met een pilot van MyCuID met vijf andere kredietunie's en daarmee waren geen wachtwoorden en inlognamen meer nodig en werden helpdesks ontlast van het constante resetten van accounts waar men het wachtwoord van kwijt is. Het werkt als volgt:

Transactie bevestigen

Een nieuwe of bestaande klant of lid van kredietunie neemt contact op met de klantenservice, die een smsje stuurt naar het mobiele apparaat van de klant met een link naar de MyCuID-app. De vertegenwoordiger van de kredietunie verstrekt dan de credentials: een digitale wallet die persoonsgegevens bevat. Die is versleuteld en kan alleen worden uitgelezen met expliciete toestemming van de eigenaar en die wordt aangevraagd wanneer ze een transactie uitvoeren.

Elke keer dat een klant met MyCuID de kredietunie contacteert - of andersom - geeft de smartphone of tablet een pop-up dialoogvenster weer waar ze hun lidmaatschap bevestigen voordat een transactie wordt voltooid. "Je klikt op 'OK' of 'Not OK', niet veel anders dan wat er gebeurt met andere apps op je toestel", zegt Esser. "het is allemaal gebaseerd op de versleutelde kanalen die we hebben gemaakt en dat is erg cool. Hierdoor weten de mensen van de kredietunie zeker dat ze met jou communiceren en andersom zeker dat je met de kredietunie praat."

CULedger heeft een doel van het verstrekken van een miljoen digitale identiteiten aan leden dit jaar. Ze voldoen daarmee meteen aan overheidseisen die fraude tegengaan door identiteiten vast te stellen en daarmee is het ook een compliancetool, zegt Esser.

Behalve dat dit de klant de controle geeft over het gebruik van zijn of haar identiteit met het bezit van de sleutels, elimineert MyCuID de noodzaak voor inlognamen en wachtwoorden bij de kredietunie's, wat meestal wordt verzorgd door een third party authenticatieprovider. Dat proces neemt nu 60 tot 90 seconden in beslag voordat een transactie überhaupt wordt gestart. Dat kan vijf seconden of minder worden, zegt Esser.

Lees meer over identiteitsbeheer met DLT in dit eerdere artikel over Sovrin, waar we verderop in dit artikel nog op terugkomen: Hoe identiteitsbeheer via een blockchain werkt

Ook dit jaar wil CULedger zijn productienetwerk uitbreiden. Momenteel worden verschillende blockchainplatforms overwogen, inclusief Hyperledger Fabric van IBM/Linux Foundation en Corda van R3, het grootste commerciële blockchainconsortium van banken, verzekeraars en andere financiële dienstverleners. Ook overweegt CULedger samenwerking met de Hedera Foundation, de maker van Swirlds, een softwareplatform voor het bouwen van gedistribueerde applicaties (dApps).

Self-Sovereign Identity (SSI)

Swirlds is gebaseerd op het protocol Hashgraph, een DLT die zich goed leent voor financiële diensten omdat het meer dan 100.000 transacties per seconde kan verwerken, veel meer dan bijvoorbeeld bitcoin met 3 tot 7 transacties in dezelfde tijd. "We moeten transacties onmiddellijk en in realtime kunnen verwerken", legt Esser uit. "We waren van plan ons eigen platform te bouwen, maar we hoeven het wiel niet opnieuw uit te vinden als we alleen kijken naar een gedecentraliseerd authenticatiestukje."

Voor consumenten die bewust zijn over welke informatie ze online delen - geboortedata, jaarinkomen, creditcardgegevens en dergelijke - kan een Self-Sovereign Identity (SSI) als CULedger een uitkomst zijn omdat ze daarmee kunnen zien wie er bij gegevens kunnen of goedkeuring voor aankopen krijgen zonder details vrij te geven over hun inkomensgegevens. Met een SSI bevestigt iemand een jaarinkomen zonder dat bedrag te onthullen op een publieke keten waar de consument de privé en publieke sleutels van heeft.

Zero knowledge proof

Als een klant bijvoorbeeld een auto wil kopen van een dealer, geeft hij of zij toestemming met een publieke sleutel zodat de autodealer ziet dat de potentiële koper draagkrachtig genoeg is zonder een exact eurobedrag te onthullen. De dealership hoeft bijvoorbeeld alleen maar te weten dat een klant minstens 40.000 per jaar verdient, niet dat het verzamelinkomen eigenlijk 63.587 euro is.

De techniek daarachter staat bekend als zero knowledge proof (ZKP), een cryptografische methode waardoor twee partijen kunnen achterhalen of informatie juist is, zonder de informatie zelf te onthullen. Ernst & Young is bijvoorbeeld van plan om dit jaar zijn blockchain-prototype uit te brengen waarmee bedrijven ZKP's kunnen gebruiken om zakelijke transacties vertrouwelijk af te kunnen wikkelen.

Ook werkt CULedger samen met de Sovrin Foundation, een nonprofit die het Sovrin Network heeft opgezet, waarmee wereldwijd geverifieerde data kan worden uitgewisseld gebaseerd op DLT.

De credentials die worden uitgegeven via het Sovrin Network kun je vergelijken met een kaart in je portemonnee, zoals je rijbewijs, identiteitskaart, pinpas of werknemerspas. De virtuele versleutelde wallet koppelt terug naar de instanties die hem hebben gemaakt, bijvoorbeeld bank, overheidsdienst of werknemer, waardoor gebruikers direct informatie kunnen verifiëren bij partijen die dat aanvragen.

Praktijkgevallen

"Onze marktstrategie draait om samenwerken met bedrijven die ID-vraagstukken hebben in plaats van het direct benaderen van eindgebruikers", aldus oprichter Phil Windley van Sovrin. "We werken daar hard aan en hebben een aantal partners die hier iets in doen. Drie die zo in me opkomen zijn IBM met ATB Financial, CULedger en de Canadese deeloverheid van British Columbia." In Canada hebben provincies als Ontario en British Columbia al een productiesysteem uitgerold dat gebruikmaakt van het Sovrin Network voor bedrijfsregistratie en er zijn meer dan 6 miljoen credentials uitgerold, vertelt Windley.

Sovrins ontwikkelpartners IBM, Workday en ATB Financial (een bank in de Canadese provicie Alberta) zijn ook pilotprojecten begonnen. De partners demonstreren hoe digitale credentials zouden werken voor IBM-werknemers. De Canadese bank verstrekt een digitale identiteit die kan worden gebruikt om in te loggen bij zowel de bank als IBM's gebruikersnetwerk. Naast het valideren van financiële gegevens van werknemers, elimineert de applicaties ook de noodzaak voor gebruikersnamen en wachtwoorden, zegt Windley.

Gartners Farahmand zegt dat SSI's gebaseerd op blockchain-DLT's door bedrijven worden geëvauleerd voor verschillende use-cases, inclusief het onboarden van nieuwe werknemers. Elke keer dat een nieuwe persoon wordt aangenomen, wordt een digitale ID gemaakt door de werknemer en doorgespeeld naar het bedrijf. Dat ID kan dan in de interne systemen propageren voor authenticatie van zakelijke applicaties, zegt Farahmand.

Kern-ID en bijbehorende identifiers

"Dit kan waardevol zijn voor het onboarden omdat het proces en identiteitsbeheeractiviteiten worden versneld en wachtwoordloze authenticatie mogelijk wordt gemaakt. Het helpt ook in het verkleinen van het aantal identiteiten waar een organisatie gebruik van moet maken", zegt Farahmand: hetzelfde digitale ID kan worden gebruikt voor meerdere systemen binnen een bedrijf, gebaseerd op een machtigingensysteem.

Een populair design voor gedecentraliseerde identiteit is een kern-identifier en een set van gekoppelde identifiers (pairwise identifiers) voor de verschillende relaties die een gebruiker heeft met een bedrijf. Pairwise identifiers zijn cryptografisch afgeleid van de kern-identifier. Met zo'n paiwise identitfier kan een zakelijk systeem unieke gebruikers identificeren voor verschillende gebruiksdomeinen, waardoor privacy-by-design principes kunnen worden toegepast op protocolniveau, legt de Gartner-analist uit.

Zo kan een iemand die bij een bank werkt ook een klant zijn met dezelfde SSI. Die twee relaties zijn doorgaans twee verschillende identiteiten en onafhankelijke systemen: een klantsysteem en een werknemerssysteem. "In het geval van een gedecentraliseerd identiteitsmodel kan dezelfde persoon twee sets van identifiers hebben die naar dezelfde kernidentifier koppelen, wat het in potentie makkelijker maakt om gebruikersactiviteiten te consolideren", vertelt Farahmand.

Nog een voordeel van een SSI is dat je bijvoorbeeld organisaties kunt koppelen zodat één werknemer toegang krijgt tot de systemen van een ander bedrijf met diens identiteit. Farahmand noemt als voorbeeld een decentrale identiteit die wordt geverifieerd door een gastorganisatie en een nieuwe pairwise identifier die kan worden aangemaakt om de gebruiker te authenticeren waarmee onboarden en toegangsbeheer wordt versimpeld voor alle zakelijke partners.

Hoewel een blockchaingebaseerde SSI veelbelovend lijkt, zijn er nog wel hordes die genomen moeten worden. Een daarvan is het vertrouwen dat mensen hebben in blockchain. Een onderzoek van Gartner uit 2018 onder CIO's wees uit dat maar 3,3 procent van bedrijven daadwerkelijk een blockchain-toepassing in productie heeft genomen.

Afwachtende houding

Gartner-analist Avivah Litan legt in een blogpost uit welke acht problemen blockchain parten spelen voordat het een internationaal transactienetwerk kan zijn die daadwerkelijk oplossingen levert als internationaal betaalverkeer en het volgen van supply chain-elementen. Een van de voornaamste is de integratie van DLT-systemen met legacy-databases: de huidige bronnen voor identiteiten.

Een decentraal identiteitssysteem heeft een levendig ecosysteem nodig, een stevig vertrouwen in de blockchain-identiteit, tools om gebruikevriendelijke interactie mogelijk te maken en goede ontwikkelervaring om brede adoptie mogelijk te maken. "Hoewel we klanten aanraden deze sector in de gaten te houden en te experimenteren of proof-of-conept-projecten draaien, waarschuwen we ook dat deze producten nog ongetest zijn en niet klaar zijn om verschillende soorten aanvallen te pareren."