ERC725 soll Identitätsnachweise auf Ethereum-Blockchain bringen

"1+1=3 248/365". Bild von Dennis Skley via flickr.com. Lizenz: Creative Commons

Der Ethereum-Entwickler Fabian Vogelsteller schlägt mit ERC725 einen Standard für dezentrale Identitätsnachweise vor. Für diese Smart Contracts Technologie gibt es viele Anwendungen – von denen aber nicht alle wirklich wünschenswert sind.

Viele Dinge laufen unter dem Radar, weil sie so selbstverständlich sind. Identität könnte eines dieser Dinge sein. Bevor wir uns daher dem ERC725 Standard für Identitätsnachweise widmen, müssen wir kurz bei der Identität im digitalen Raum verweilen.

Identität – was ist das? Und wenn ja, wie wird sie nachgewiesen?

Natürlich könnten wir jetzt lange, philosophische Schlangenlinien ziehen, um diese Frage zu beantworten. Aber da wir von Blockchains reden, brauchen wir etwas, das wir technisch greifen können.

Identität, könnte man sagen, ist ein nachweisbarer Anspruch darauf, jemand zu sein.

Derzeit verwendet man üblicherweise einen Pass oder einen Ausweis, um seine staatlich zertifizierte Identität als Bürger mit einem bestimmten Namen nachzuweisen. Daneben gibt es zahlreiche weitere Identitäts-Nachweise: Die Mitgliedskarte beim ADAC, die Bonuspunkte-Karte für den Fressnapf, die Bahncard 50, die Einladung zu einer Party, die Urkunde zum Angelwettbewerb oder zum Uni-Abschluss, und so weiter.

Identität ist ein Gefüge verschiedener Rechte und Pflichten, die sich um eine einzelne, physische Person ranken. Ein Identitätsnachweis ist in der Regel ein materieller Beweis für diese Identität. Traditionell wird er auf Papier gedruckt und mit Siegeln oder Unterschriften verifiziert. Dank der Computertechnologie haben Chipkarten – oder einfach nur noch Datenbankeinträge – das Papier, und Kryptographie die Siegel und Unterschriften ersetzt.

Gerade für diejenigen, die im Bitcoin-Universum unterwegs sind, spielt der Nachweis von Identität eine große Rolle. Jede Börse muss Identität verifizieren, um User zum Handel zuzulassen. Dabei geht es um die staatsbürgerliche Identität, da diese Personen mit dem Rechts- und Steuerwesen und den damit einhergehenden Pflichten und Verantwortlichkeiten verbindet. Da die Börsen aber rein digitale Unternehmen sind, können sie nicht, wie etwa die Polizei bei einer Kontrolle, die Identität per Sichtprüfung bestätigen. Sie sind auf digitale Methoden der Identitätskontrolle angewiesen. Und damit beginnt oft das Problem.

Bei Bitcoin.de wird die digitale Identitätsprüfung durch den Umweg über das Physische recht komfortabel gelöst. Mit Post-Ident druckt man sich etwas aus, rennt zur Post, zückt seinen Ausweis, und die Post bestätigt dann, dass die Sichtprüfung der Identität erfolgt ist. Was aber, wenn es kein Post-Ident gibt? Viele internationale Börsen verlassen sich hir auf die Methode “Selfie mit Pass”: Man fotografiert sich selbst, während man einen Pass in der Hand halt, und hofft, dass die Börse es akzeptiert. Bei dieser Methode werden Daten digitalisiert und gespeichert, die hinreichend sind, um eine Identität zu beweisen – was bedeutet, dass jemand, der diese Daten in seine Finger bekommt, damit deine Identität kopieren – also stehlen – kann. Je öfter man das macht, desto höher das Risiko, dass die eigene Identität nach einem Hack im Darknet feilgeboten wird.

Dezentrale Identitätsnachweise mit ERC725

Nach dieser langen Vorrede kommen wir endlich zu ERC725. Der Ethereum-Entwickler Fabian Vogelsteller hat mit diesem Proposal einen Standard vorgeschlagen, um Identitäten auf der Ethereum-Blockchain nachzuweisen. Der ERC725 Contract speichert den Nachweis über die Identität, verknüpft diesen mit öffentlichen Schlüsseln (Adressen), kann Verträge ausführen, Ether versenden und individualisierte Claims – also Nachweise – generieren.

Der Standard, den Fabian Vogelsteller vorschlägt, ist dabei nur ein reines Rahmenwerk: eine Datenstruktur, die bestimmte Daten mit öffentlichen Schlüsseln zusammenführt. Welche Daten verwendet werden, um Identität nachzuweise – Fingerabdruck, Reisepass, Retinascan, DNA – ist ebenso egal, wie ob die Daten mittelbar oder unmittelbar bestätigt werden.

Ein User kann ein Selfie mit Ausweis hochladen und zu einem Claim für eine bestimmte Adresse machen. Sinnvoller dürfte es aber sein, sich die Identitätsnachweise auf Ethereum als eine Art dezentrales Post-Ident vorzustellen: Man reicht seine Identität bei einer Instanz ein, der allgemein vertraut wird, und diese schreibt das Claim. Sie bestätigt damit, dass sie den Besitzer einer Adresse identifiziert hat.

Wenn sich jemand mit einem solchen Claim bei einer Börse anmeldet, ist es nicht notwendig, dass die Börse selbst die relevanten Daten kennt. So wie Bitcoin.de nicht den Ausweis selbst sehen muss, wenn jemand ein Post-Ident durchgeführt hat. An sich ist es nicht mal notwendig, dass die Börse den Namen der Kunden kennt, solange sie die Mittel hat, um dessen Identität herauszufinden oder Daten weiterzugeben, mit denen die Polizei oder das Finanzamt an die Identität des Kunden kommt.

Per Hash kann man mit den Claims auch prüfen, ob tatsächlich der angegebene Name hinter der Identität steht, ohne dass man diesen selbst in der Blockchain speichern muss. Auf dieselbe Weise können Claims alle möglichen Attributionen – eine Bahncard 50, ein Diplom, ein Abo auf einen Logenplatz im Theater – nachweisen.

Viele Anwendungsmöglichkeiten – im Guten wie im Schlechten

“Stell’ dir vor, du willst beweisen, dass du älter als 18 bist,” erklärt Fabian Vogelsteller. “Eine vertrauenswürdige Entität kann ein Claim hinterlegen, das ein Bit enthält, welches bestätigt, dass du älter als 18 bist, ohne dass du dein Alter enthüllst. Das Vertrauen verschiebt sich hier von der Person zum Herausgeber der Claims.”

Für Internet-Dienstleistungen für Erwachsene – etwa der Spirituosenhandel, das Erotik-Gewerbe oder der Kinokartenvertrieb – wäre ein solcher Altersbeweis nützlich, ohne dass dabei die Privatsphäre der Kunden verletzt wird.

Ein anderes Beispiel, das Vogelsteller anführt, wäre die automatisierte Eröffnung eines Bankkontos per Smart Contract. Der Contract braucht dafür den Nachweis der Identität. Also muss er schauen, “ob es Claims für biometrische und postalische Identitätsnachweise gibt, von Herausgebern, etwa der Deutschen Post oder dem Deutschen Staat.” Dann errechnen sie die Keccak256 Hash der Summe aus Adresse und Nummer der Claim, um die Identität festzustellen.

Man kann sich zahlreiche, äußerst nützliche Anwendungen dieses dezentralen Identitätsmanagements vorstellen. Eine einzelne Registrierung – womöglich sogar offchain durchgeführt – könnte ausreichen, um sich bei allen Börsen zu registrieren, ohne lästige Selfies einzureichen oder zu fürchten, dass einen ein Hack zum Opfer von Identitätsdiebstahl macht. Bei ICOs, bei denen man die Token mit einer Ethereum-Transaktion erwirbt, könnte die Transaktion durch ihre Herkunft selbst den immer öfter geförderten Identitätsnachweis beinhalten. Die Herausgeber der ICO müssten so weder Identitätsnachweise speichern noch sich darum kümmern, diese einzusammeln. Dies würde die Kosten der Umsetzung regulatorischer Vorgaben vereinfachen.

Auf der anderen Seite öffnet ein solcher Vertrag auch Tür und Tor für Missbrauch. Was, wenn die Regulierer verlangen, dass Börsen nur noch Coins von solchen Adressen zulassen? Wenn Wallet-Betreiber gezwungen werden, nur Adressen zu erlauben, die mit einem Identitäts-Claim verbunden sind? Man kann das ganze noch weiterdenken, das Finanzamt, die Schufa und Facebook hinzufügen, und schon wird aus dem an sich freien, pseudonymen Geld, das wir so mögen, ein extrem kontrolliertes und transparentes Geld, das nicht die monetäre Freiheit bringt, für die Kryptowährungen eigentlich stehen, sondern genau das Gegenteil.

Allerdings kann es auch auf eine Koexistenz hinauslaufen. Und das wäre vermutlich ein Gewinn.

About Christoph Bergmann (1136 Articles)
Das Bitcoinblog wird von bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Wenn Ihnen das Blog gefällt, freuen wir uns über Spenden an 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC. Jeder Satoshi wird dazu verwendet, um das Blog besser zu machen. Weitere Infos, wie Sie uns unterstützen können, finden Sie HIER. Gastbeiträge sind ebenfalls willkommen. Meinen öffentlichen PGP-Schlüssel sowie den Bitmessage-Schlüssel finden Sie HIER

11 Comments on ERC725 soll Identitätsnachweise auf Ethereum-Blockchain bringen

  1. Name required // 26. October 2017 at 15:53 // Reply

    Noch schlimmer: was wenn die zu vertrauende Entität gehackt wird und somit das komplette System kompromittiert wird, weil sich dann damit ja Jeder als Jeder ausgeben kann.

    Nein, Identitätsnachweise per Blockchain ist von vornherein eine Totgeburt, weil sie die originäre Idee ad absurdum führt.

  2. Ich befürchte, dass es keine Totgeburt ist, es wird kommen und von nicht wenigen angenommen werden. Es ist ein zweischneidiges Schwert.

  3. Ich finde es super. Darauf noch ein Bewertungssystem für dezentralen Handel.

  4. Ähm, wie soll der Identitätsnachweis dezentral sein, wenn es eine Instanz gibt, “der allgemein vertraut wird” bzw. werden muss?

    Ich weiß, das mit der Dezentralität ist vor allem für die Big Blocker ein sehr abstrakter und schwer zu verstehender Begriff, aber denkt doch bitte mal drüber nach.

    Wer bestimmt denn, dass eine Entität allgemein vertrauenswürdig ist? Und was, wenn sich später rausstellt, dass sie es gar nicht war? Theoretisch alles schön und gut, praktisch… […] abwarten.

    Eine von vielen Identity Solutions, an denen ja ziemlich viele arbeiten.

    • Warum soll Dezentralität für Big Blocker schwer zu verstehen sein? Was hat das denn damit zu tun? Jeder kann selbst entscheiden, ob er einer Entität vertraut.

      • Angenommen Person A wird über Entität XY (“der allgemein vertraut wird” bzw. besser >vertraut werden muss<) identifiziert.

        Jetzt eröffnet Person A eine Geschäftsbeziehung mit Entität ABC. Entität ABC muss sich jetzt auf Entität XY verlassen. Ist das ein "dezentraler Identitätsnachweis"? Ist der Nachweis dezentral geregelt?

        Naja, ich sollte mir mal das Proposal zu Gemüte führen.

  5. Mir ist nicht klar, wieso ich dafür eien Blockchain brauche? Die Instanz welche die Authentifizierung vornimmt könnte einfach ein Zertifikat signieren.
    Das passiert bereits heute vor allem für SSl Zertifikate für Webseiten.(Verisign, Bundesbank)
    Das geht genauso für eine Zertifikat mit dem ich meine Identität nachweisen kann.

    • Also ich habe den Eindruck, daß du bisher als Einziger das Konzept verstanden hast. Daß sven es super findet, das sagt alles weitere aus.
      ランマ

  6. „Identität, könnte man sagen, ist ein nachweisbarer Anspruch darauf, jemand zu sein.“

    Man stelle sich vor, man ist ein Administrator, zum Beispiel von Bitcoinblog.de und das heißt, man meldet sich mit Zugangsdaten an und von Bitcoinblog.de wird man daraufhin und vor allem deswegen als Administrator erkannt. Wenn nun jemand die Zugangsdaten crackt oder sich sonstwie in deren Besitz bringt, dann kann er sich gleichfalls von Bitcoinblog.de als dessen Administrator identifizieren lassen. Er hat also seinen Anspruch, Administrator von Bitcoinblog.de zu sein, nachgewiesen und das auch noch erfolgreich. Aber ist er deswegen identisch mit dem Administrator? Ich würde eher sagen, daß Identitätsnachweise eigentlich dazu dienen, genau so etwas zu verhindern, weil ein Cracker nunmal NICHT DER Administrator ist. Nur weil man etwas (wie hier einen Anspruch) nachweisen kann, hat an dieses etwas noch lange nicht rechtmäßig erworben!

    Die sehr schwache Definition hat mich daran gehindert, dem Nachfolgenden noch ernsthaft zu folgen. Eine Debatte darüber, was Identität ist, vor allem in der Cyberwelt, ist tatsächlich längst überfällig!

    „Da die Börsen aber rein digitale Unternehmen sind, können sie nicht, wie etwa die Polizei bei einer Kontrolle, die Identität per Sichtprüfung bestätigen. Sie sind auf digitale Methoden der Identitätskontrolle angewiesen. Und damit beginnt oft das Problem.“

    Nicht erst da beginnt das Problem! So viel steht schonmal fest. Das Problem beginnt mit dem, was im Artikel noch vorher kommt:

    „Dabei geht es um die staatsbürgerliche Identität, da diese Personen mit dem Rechts- und Steuerwesen und den damit einhergehenden Pflichten und Verantwortlichkeiten verbindet.“

    Würde man solche Bestrebungen als groben Unfug ansehen, dann wäre das äußerst sinnvoll und man würde sich kaum halb so schwer tun.
    ランマ

    • „Nur weil man etwas (wie hier einen Anspruch) nachweisen kann, hat an dieses etwas noch lange nicht rechtmäßig erworben!“

      Da hatte ich ein m zu wenig:

      Nur weil man etwas (wie hier einen Anspruch) nachweisen kann, hat man dieses etwas noch lange nicht rechtmäßig erworben!
      ランマ

  7. Da kommt mir gerade dieses Video in Sinn: Fiese Abzocke im Netz, Identitätsdiebstahl mit BTC über Kraken (https://www.prosieben.ch/tv/taff/video/201716-fiese-abzocke-im-netz-so-koennt-ihr-euch-schuetzen-clip)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s