Fachartikel

Dezentrales Identitätsmanagement mittels Blockchain und ZKP

Die Verwaltung von Netzwerkidentitäten spielt eine immer größere Rolle, sowohl im IoT als auch bei Personen. Dezentrale digitale Identitäten können einen wichtigen Beitrag für mehr Datensouveränität leisten. Der Nutzer verwaltet seine digitale Identität selbst, ohne von einem zentralen Dienstleister abhängig zu sein, bei dem seine persönlichen Daten gespeichert sind. Eine technische Möglichkeit zur Umsetzung von dezentralen Identitäten ist die Anwendung von Zero-Knowledge-Proofs und Blockchain. Wie das genau funktioniert und welche Anwendungsfälle es bereits gibt, zeigt unser Fachbeitrag.
Beim dezentralen Identitätsmanagement liegt die Datenhoheit beim Endbenutzer selbst.
Wer Netzwerke administriert, der muss genau wissen, wer zu welchem Zeitpunkt und über welche Zugänge an den Prozessen innerhalb einer Infrastruktur beteilig ist. Was banal klingt, stellt eine ernst zu nehmende Aufgabe dar – je vielschichtiger und beweglicher das digitale Ökosysteme ist, in dem Identitäten verwaltet werden müssen, desto anspruchsvoller wird in der logischen Konsequenz ihr Handling. In diesem Kontext gewinnt die Blockchain-Technologie zusehends an Bedeutung. Sie bringt für zahlreiche Spielfelder wie zum Beispiel das Internet der Dinge oder digitale Währungsmodelle unzweifelhaft Vorteile mit sich, die im Wesentlichen in der Geschwindigkeit, der Sicherheit, der Integrität und der hohen Transparenz des Datenmodells liegen.

Offenheit ist wunder Punkt
Bei all ihren Stärken haben Blockchain-Systeme eine entscheidende Achillesferse: Sie sind kein guter Ort, um Geheimnisse aufzubewahren. Aufgrund ihrer ausgeprägten Offenheit braucht es zusätzliche Maßnahmen, um sensible Informationen innerhalb einer Datensatzkette sicher von A nach B zu bewegen. Schließlich sind Daten, die in der Blockchain gespeichert sind, zwar hochgradig vor Manipulationen geschützt, sie können allerdings auch von jedem Beteiligten eingesehen werden.

Der Umgang mit Identitäten, insbesondere dann, wenn sie Rückschlüsse auf personenbezogene Daten zulassen, ist in diesem Kontext ein heikles Thema. Neben der personenbezogenen Ebene kann der Begriff der Identität zudem auch auf Dinge zutreffen – im Internet of Things (IoT) muss jede eingebundene Einheit eindeutig identifizierbar sein. Geraten Identifikationsdaten in die falschen Hände, kann es auch hier zu unerwünschten Nebenwirkungen wie etwa dem Verlust von Betriebsgeheimnissen kommen.

Ein spannender Ansatz, der auf der einen Seite Identitäten innerhalb eines Netzwerks klar erkennen lässt, auf der anderen Seite jedoch auch Compliance-Bestimmungen und regulativen Anforderungen wie der DSGVO gerecht wird, liegt in der Kombination von Blockchain und dem Zero-Knowledge-Proof-Protokoll.
Was sich hinter ZKP verbirgt
ZKPs sind Kryptografieprotokolle, die einen blinden Vertrauensbeweis zwischen unterschiedlichen Parteien ermöglichen. Kurz gefasst sorgt das ZKP-Prinzip (Zero Knowledge Proof) dafür, das Vorhandensein von Wissen gegenüber einem sogenannten Verifier belegen zu können, ohne das Wissen an sich preiszugeben oder weitere, periphere Details offenzulegen. Aus der Tatsache wiederum, dass der Beweisführer eine vorab bestimmte Art von Insiderwissen vorliegen hat, lässt sich seine Identität vom Verifier eindeutig ableiten.

Die Grundlagen dieser sicheren Identifizierungsmethode reichen tief in die Mathematik und wurden bereits in den frühen 80er-Jahren von Shafrira Goldwasser, Silvio Micali und Charles Rackoff formuliert. Drei brillante Informatiker, die mit der Einführung interaktiver Beweissysteme wie dem Zero Knowledge Proof einen richtungsweisenden Beitrag zur sicheren Identifizierung geleistet haben. Über die vergangenen Jahrzehnte hinweg wurde der Ansatz von zahlreichen Forscherinnen und Forschern kontinuierlich weiterentwickelt und optimiert.

Von Höhlen, Bällen und der Suche nach Walter
Es gibt eine Reihe von Allegorien, die die komplexe Wirkungsweise von ZKPs auf anschauliche Weise darlegen. Eines davon ist die Erzählung von Peggy, die das Passwort für Ali Babas magische Höhlentür [1] herausgefunden hat und ihr Wissen nun beweisen will, ohne jemandem das Passwort zu verraten. Ähnlich verhält es sich mit dem farbenblinden Freund [2], der von seinem Gegenüber einen "farbneutralen" Beweis fordert, dass es sich bei den beiden Bällen vor ihm tatsächlich um einen grünen und einen roten handelt.

Besonders deutlich wird das ZKP-Prinzip allerdings mit der "Suche nach Walter". Den Spielenden liegt ein sehr detailreiches Bild mit Hunderten von Menschen vor. Die Aufgabe besteht darin, in dem Gewimmel den Weltenbummler Walter zu finden. Ist dies geschehen, gilt es zu beweisen, dass Walter gefunden wurde, ohne dabei zu verraten, wo genau sich Walter befindet. Dazu nimmt der Beweisführer ein großes Stück Papier, sticht dort ein winziges Loch hinein und positioniert dieses Papier auf das Wo-ist-Walter-Bild – exakt so, dass durch das kleine Loch Walters Gesicht zu sehen ist. Diesen Beweis, der alle anderen sichtbaren Informationen wie beispielsweise die genaue Position verhüllt, kann der Spieler nun der verifizierenden Person vorlegen. Der Gegenspieler weiß lediglich, dass das Rätsel um Walter gelöst wurde, aber nicht wie.

7.10.2020/ln/Alexander Ebeling, Projektleiter und Business Development Manager bei T-Systems Multimedia Solutions

Nachrichten

Pass-the-Cookie [6.10.2022]

Cyberkriminelle nutzen zunehmend gestohlene Session-Cookies, um die Multifaktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten. Zu diesem Schluss kommt Sophos in einem X-Ops-Report. In einigen Fällen sei der Cookie-Diebstahl eine gezielte Attacke, bei der Cookie-Daten von kompromittierten Systemen ausgelesen würden. [mehr]

iPhone und iPads werden behördentauglich [5.10.2022]

Auch in Behörden gehört die Nutzung mobiler Endgeräte zum Alltag. Nun hat das Bundesamt für Sicherheit in der Informationstechnik bestätigt, dass die iOS-Standard-Apps für E-Mail, Kalender und Kontakte von Haus aus so sicher sind, dass mit ihnen Verschlusssachen bearbeitet werden dürfen. Dies gilt bis zur untersten Geheimhaltungsstufe "Nur für den Dienstgebrauch". [mehr]

Tipps & Tools

Studie: Cloudentwickler oft überfordert [3.10.2022]

Couchbase hat in einer globalen Studie Entwickler häufig als bremsendes Nadelöhr bei der praktischen Umsetzung von Digitalisierung und Cloud Computing identifiziert. Demnach stehen Entwicklerteams unter massivem Erwartungsdruck, verzögern Cloud- und Digitalisierungsprojekte und bekommen gleichzeitig viel zu wenig Unterstützung. [mehr]

Online-Intensivseminar "Hyper-V unter Windows Server 2019" [12.09.2022]

Allen Public-Cloud-Trends zum Trotz: Die lokale Virtualisierung ist bei vielen Unternehmen nach wie vor die sicherere Basis des IT-Betriebs. Lernen Sie in unserem dreitägigen Intensivseminar deshalb, wie diese optimal mit Microsofts Hyper-V gelingt. Dabei führt Sie die Onlineveranstaltung durch die komplette Arbeit mit virtuellen Maschinen – vom Erstellen, dem Anbinden ans Netz bis hin zur Versorgung mit passendem Speicher – Hochverfügbarkeit und Replikation der VMs inklusive. Die Veranstaltung findet vom 19. bis 21. Oktober virtuell statt. Zögern Sie nicht, sich Ihren Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen