Von Ralf Keuper

Kann die Block­chain der Ver­brei­tung bzw. Akzep­tanz digi­ta­ler Iden­ti­tä­ten zum Durch­bruch ver­hel­fen? Nicht weni­ge sind die­ser Ansicht. Am bekann­tes­ten dürf­te wohl uPort sein, das auf der Ethe­re­um-Block­chain basiert.

Den­noch blei­ben eini­ge, genau gesagt fünf unge­lös­te Pro­ble­me, die Bla­ke Hall in 5 Iden­ti­ty Pro­blems Block­chain Doesn’t Sol­ve benennt:

  1. Immu­ta­bi­li­ty
  2. Syn­the­tic Identity
  3. Iden­ti­ty Verification
  4. Demo­gra­phics
  5. Stan­dar­diza­ti­on

Im wei­te­ren kon­zen­trie­re ich mich auf die Punk­te Syn­the­tic Iden­i­ti­ty, Iden­ti­ty Veri­fiac­tion und Stan­dar­diza­ti­on.

Zur Pro­ble­ma­tik der syn­the­ti­schen Iden­ti­tä­ten (Her­vor­he­bun­gen von mir):

With respect to the first com­po­nent of iden­ti­ty pro­ofing, syn­the­tic iden­ti­ty theft—a prac­ti­ce whe­re iden­ti­ty thie­ves com­bi­ne a social secu­ri­ty num­ber from one per­son, a birth date from ano­ther per­son, and an address from a third per­son to effec­tively crea­te a fake or “syn­the­tic” identity—is a chall­enge that block­chain can do litt­le to sol­ve. It is a led­ger, it records, it doesn’t veri­fy or issue iden­ti­ty. As a led­ger, block­chain depends upon the inte­gri­ty of the inputs to the led­ger, and, if the inputs are bad, then the led­ger will sim­ply record the syn­the­tic iden­ti­ty on the ledger—garbage in, gar­ba­ge out.

Ein wich­ti­ger Punkt. Um die Pro­ble­ma­tik zu lösen, ist die Anbin­dung an Iden­ti­ti­zie­rungs­ver­fah­ren, wie sie mit der eID schon jetzt zur Ver­fü­gung ste­hen, nötig.

Zum Pro­blem der Iden­ti­fi­zie­rung (Her­vor­he­bun­gen von mir):

Block­chain advo­ca­tes will likely point to the repu­ta­ti­on that a public-pri­va­te key pair that repres­ents an iden­ti­ty might gain over time—giving con­fi­dence that the owner of the pri­va­te key is in fact the legi­ti­ma­te owner of the iden­ti­ty given a histo­ry of trust — but this func­tion­a­li­ty is not new, does not requi­re block­chain, and can be imple­men­ted today with a hash­ing repo­si­to­ry, match keys built off one or more fields of PII to estab­lish refe­ren­ceable ver­ti­ces, and exis­ting pro­to­cols like OAuth 2.0, SAML 2.0, and Ope­nID Con­nect that can fede­ra­te attri­bu­tes and asso­cia­ted meta­da­ta regar­ding the iden­ti­ty pro­ofing admi­nis­te­red and the ten­ure of the login.

Eben­falls ein wich­ti­ger Punkt. Aller­dings glau­be ich – Stand heu­te -, dass uPort oder ande­re Lösun­gen, die noch kom­men mögen, tech­no­lo­gisch zumin­dest gleich­wer­tig sind. Dass die orga­ni­sa­to­ri­sche Umset­zung mit uPort oder ande­ren Lösun­gen zu einem deut­lich höhe­ren admi­nis­tra­ti­ven Auf­wand führt, ist nicht auszuschließen.

Zum Pro­blem der Standardisierung:

The­re is no com­mon sen­se expl­ana­ti­on for why the­re is so much redundancy—and the­r­e­fo­re addi­tio­nal friction—in the mar­ket pri­or to block­chain but the­re are a few reasons why most orga­niza­ti­ons don’t share data across the industry.

a) Lar­ge orga­niza­ti­ons view iden­ti­ty as a moat around their busi­ness. Sha­ring an individual’s data across orga­niza­ti­ons remo­ves fric­tion (i.e. it lowers swit­ching cost) and if you are a lar­ge finan­cial insti­tu­ti­on, the LTV of a cus­to­mer dra­ma­ti­cal­ly out­weighs inef­fi­ci­en­ci­es in iden­ti­ty. Put ano­ther way, if you are JP Mor­gan Cha­se, why would you make it easier for your cus­to­mers to open up a finan­cial pro­duct at Citibank?

Wider­spruch:

Gera­de das ist ja Sinn und Zweck der zahl­rei­chen Initia­ti­ven der letz­ten Zeit, wie Open Ban­king, Sin­gle Sign On, PSD2, eID, eIDAS und ande­rer. Wenn der Kun­de sei­ne Bank vor allem des­halb nicht wech­selt, da dies auf sei­ner Sei­te mit hohem Auf­wand ver­bun­den ist, dann kann von Kun­den­ori­en­tie­rung und frei­er Wahl der Anbie­ter kei­ne Rede sein. Der Lock-In-Effekt wür­de blei­ben, wenn nicht sogar noch stär­ker wer­den. Ohne Stan­dar­di­sie­rung, ohne gemein­sa­me Schnitt­stel­len ist die heu­ti­ge Wirt­schaft nicht mehr vor­stell­bar (Vgl. dazu: The Inter­na­tio­nal Orga­niza­ti­on for Stan­dar­diza­ti­on. Glo­bal Gover­nan­ce Through Vol­un­t­a­ry Con­sen­sus).

Auch die wei­te­ren Argu­men­te, die Hall im Zusam­men­hang mit der Stan­dar­di­sie­rung anbringt, über­zeu­gen mich nicht.

Schwach an Argu­men­ta­ti­ons­kraft ist auch der Hin­weis auf die Demo­gra­fie in den USA, was ich aber nicht wei­ter ver­tie­fen möch­te, da es zu sehr auf die USA bezo­gen ist.

Ein wich­ti­ges Argu­ment ist der Hin­weis auf die Mög­lich­keit, dass die Block­chain durch Mining-Pools, die mehr als 51 Pro­zent der Ver­ar­bei­tungs­ka­pa­zi­tä­ten auf sich ver­ei­ni­gen, mani­pu­liert wer­den kön­nen. Das ist mit Blick auf die Mining Pools in Chi­na alles ande­re als nur Phan­ta­sie. Digi­ta­le Iden­ti­tä­ten wer­den, davon gehe ich jeden­falls aus, von Kon­sor­ti­en gema­nagt, wie in Kana­da mit Secure­Key oder wie dem­nächst womög­lich in der Schweiz mit dem IdP-Ver­bund.

Wür­di­gung:

Trotz eini­ger Kri­tik­punk­te ein wich­ti­ger Bei­trag, der, eben­so wie Syn­acts, den Blick auf die noch zu lösen­den und evtl. auch nicht zu lösen­den Defi­zi­te digi­ta­ler Iden­ti­tä­ten auf Block­chain-Basis lenkt.

Cross­post von Iden­ti­ty Economy

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert