Microsoft: Bitcoin macht dezentrale digitale Identität möglich

Derzeit beschränken zentral verwaltete Accounts das Potenzial von digitalen Identitäten. Das W3-Konsortium möchte daher schon lange „Dezentrale Identifikatoren (DIDs)“ ermöglichen. Mit dem ION-Netzwerk startet Microsoft einen verheißungsvollen Kandidaten für die ersehnten dezentralen Identitäten – und zwar auf Basis der Bitcoin-Blockchain.

Nichts geht ohne Identität, auch im Internet. Will man auf Twitter oder Instagram mitreden, durch WordPress bloggen, bei Amazon shoppen oder bei Netflix Serien gucken – dann man muss sich anmelden.

Jede Anmeldung schafft eine digitale Identität, die üblicherweise aus einem Nutzernamen oder einer Email-Adresse in Verbund mit einem Passwort besteht. Eine solche Identität ist atomar: Sie gilt nur auf einer einzelnen Seite. Für User bedeutet das, dass sie sich im Laufe ihres Netzlebens Dutzende oder Hunderte von Identitäten schaffen.

Plattformen wie Google, Facebook oder Amazon bieten an, es einfacher zu machen, indem User sich mit ihrem Account bei etwa Google auch auf anderen Seiten anmelden können. Eine ähnliche Rolle spielt PayPal, das bei einer Zahlung die Adressdaten des Käufers mitsendet und damit die für die Transaktion notwendige Identität konstituiert.

Diese „Plattform-Identitäten“ haben gemeinsam, dass sie die Usererfahrung im Internet vereinfachen – aber auch, dass sie die Daten des Nutzers auf den Servern von Unternehmen zentralisieren. Google, Facebook, PayPal und so weiter werden zu den Besitzern der Identität ihrer User.

Das funktioniert in vielen Fällen, aber nicht in allen. Oft sind Daten oder Eigenschaften von Identitäten nötig, die in den Accounts bei diesen Plattformen fehlen. Beispielsweise weiß Google nicht das Alter seiner User. Vor allem aber bezahlt die Gesellschaft einen hohen Preis für die Vereinfachung des Identitätsmanagements durch Plattform-Accounts: Sie erhöht die Abhängigkeit von den großen Internetkonzernen noch weiter.

Microsoft und die digitalen Identitäten

Auch Microsoft spielt dieses Spiel mit: Der Software-Konzern macht die Windows-Identität teils aggressiv zur Bedingung, um Windows 10 vollständig zu benutzen, und fordert einen bei Updates immer wieder penetrant auf, weitere Daten an diese Identität anzuhängen.

Parallel dazu entwickelt Microsoft allerdings seit Jahren ein System für „dezentrale Identitäten“ bzw. „dezentrale Identifikatoren (DID)“ – und geht damit nun live. Für uns besonders interessant ist, dass Microsofts System auf Bitcoin basiert. Nicht theoretisch oder durch den Import von Technologien – sondern praktisch und auf der Bitcoin-Blockchain.

Der Projektmanager Daniel Buchner stellt den Launch auf Twitter wie eine Epochenwende vor: „Vergangene Nacht, nachdem wir die finalen Updates eingespielt haben, saß ich eine Zeitlang nur da, während mich die Gravität von dem, was möglich ist, erschlug. Mir fehlen die Worte, um die Dankbarkeit auszudrücken, die Chance zu haben, etwas für andere zu tun, das so viel größer ist als ich.“

Das unter dem Titel ION veröffentlichte System von Microsoft ist „der Gipfel von zehn Jahren Arbeit, die 2011 begannen, als einige von uns bei Mozilla sich die Zeit nahmen, die Kernkonzepte von dezentraler Identität zu erforschen. Microsoft schuf am Ende die Gelegenheit, diesen Traum zu verwirklichen, und ich werde dafür auf ewig dankbar bleiben.“

Große Worte – aber was steckt dahinter? Beginnen wir mit der grundlegenden Frage:

Was sind DIDs?

„Dezentrale Identität ist ein vertrauenswürdiges Framework,“ erklärt Microsoft auf der Webseite, „in welchem Identifikatoren wie Usernamen durch IDs ersetzt werden, die man selbst besitzt, die unabhängig sind und die den Austausch von Daten mithilfe von Blockchain und Distributed Ledger Technologie ermöglichen, dabei aber die Privatsphäre schützen und die Transaktionen sichern.“

Das klingt abstrakter als es ist. Gerade für User von Bitcoin und Ethereum dürfte die Idee ziemlich einfach zu verstehen sein. Denn im Prinzip habt und lebt ihr schon Dezentrale Identitäten.

Ein Dezentraler Identifikator (DID) ist der Kern der vom W3-Konsortium vorgeschlagenen Methode, um Personen oder Entitäten wie Unternehmen im Internet zu identifizieren. Ein DID ist mehr oder weniger eine Datei, die beliebige Informationen zur Identität des Users enthält. Sie kann lediglich ein Pseudonym konstituieren, kann aber auch mit einer Bestätigung durch die Regierung den Status eines Ausweises repräsentieren. Vor allem aber ist eine DID dezentral: Sie liegt nicht auf den Servern von Google und so weiter, sondern auf den Festplatten des Besitzers.

Dezentrale Identifikatoren sollen, erklärt das W3-Konsortium, „es Individuen und Organisatoren erlauben, ihre eigenen Identifikatoren zu generieren, indem sie Systeme benutzen, denen sie vertrauen. Die User können die Kontrolle über diese Identifikatoren beweisen, indem sie sich mit kryptographischen Beweisen wie digitalen Signaturen authentifizieren.“ Jede Entität kann „so viele DIDs haben, wie sie braucht, um die gewünschte Trennung zwischen Identitäten, Personas und Interaktionen zu erhalten. Die Nutzung der Identifikatoren kann je nach Kontext angepasst werden.“

Kurzum: DIDs sind die Identifizierungsmethode, das dem Internet derzeit noch fehlt. Wenn man möchte, dass digitale Identitäten ihr Potenzial ausschöpfen, sollte man sich DIDs wünschen. Und wenn man verhindern will, dass unsere digitale Identität vollständig in die Hände großer Konzerne fällt – dann sollte man sich ebenfalls DIDs wünschen.

Für User von Bitcoin und Ethereum ist das ein Heimspiel: Jede Bitcoin-Adresse, für die ihr den privaten Schlüssel habt, ist eine dezentrale Identität, die euch die Berechtigung für eine bestimmte Aktion gibt – eine Transaktion durch die Bitcoin-Blockchain. Ihr braucht dafür keinen Usernamen und keinen Account, was vielleicht der wichtigste Unterschied zwischen Bitcoin und PayPal ist. Der Schlüssel zur Identität liegt auf eurer eigenen Festplatte.

Noch weiter geht es bei Ethereum: Wer schon mal mit einer Wallet wie Metamask im Browser DeFi-Apps benutzt hat, etwa Uniswap, der weiß, dass die Adresse auf Ethereum, für die die Schlüssel nur auf dem eigenen System liegen, ein geradezu ultimativer Identifikator für zahlreiche Anwendungen ist. Sich ohne Username anzumelden ist im DeFi-Universum schon längst Normalität.

Microsofts ION-Projekt für dezentrale Identitäten

Der Anspruch von Microsoft ist nun, die Partei zu sein, die DIDs realisiert und in die Masse bringt. Dies ist das Ziel des ION-Projekts.

„ION basiert weder auf zentralen Parteien noch Validatoren, denen man vertrauen muss, noch auf speziellen Token für ein Protokoll,“ so die Ankündigung. ION ist stattdessen „ein offenes, erlaubnisfreies System. Jeder kann einen ION-Node betreiben.“

ION basiert auf Bitcoin: Jede Identität ist auf der Bitcoin-Blockchain verankert, und damit auf der sichersten möglichen dezentralen Datenbank. Der Preis für diese Sicherheit ist jedoch eine begrenzte Skalierbarkeit sowie teils hohe Kosten für Transaktionen. Daher benötigt ION, um weit genug für sinnvolle Anwendungen zu skalieren, eine Schicht über Bitcoin: das Sidetree-Protokoll.

Das Sidetree-Protokoll wurde von Microsoft, Transmute, SecureKey, Consensys und Mattr geschrieben. Wie es konkret funktioniert, ist schwierig zu erklären und zu verstehen. Es gibt zwar eine ausführliche Spezifikation, aber diese ist sehr technisch. In ihr geht es vor allem um das Format der DID-Dateien, die Signatur- und Hashing-Verfahren sowie die möglichen Operationen rund um DIDs. Die Syntax dabei entspricht der Spezifikation des W3-Konsortiums.

Die Blockchain versteht man bei Sidetree als ein „unterliegendes Verankerungssystem“. Das darauf aufbauende „skalierbares Netzwerk für Dezentrale Identifikatoren“ ist eine höhere Schicht, so ähnlich wie das Lightning-Netzwerk, aber eben speziell und ausschließlich für DIDs.

Die „Layer-2“ für dezentrale Identitäten funktioniert etwa so: Jeder, der mit den DIDs arbeitet – der sie schafft, ändert, deaktiviert – übergibt diese Daten einem ION-Node. Diese Nodes sammeln die Daten und speichern sie sowohl lokal als auch im Interplanetary File Network (IPFS) ab. Danach bilden sie von einer gewissen Anzahl der Datensätze den Hash und legen diesen durch eine Transaktion auf der Blockchain ab. Wenn andere ION-Nodes diese Transaktion auf der Blockchain entdecken, fordern sie die Quellendaten an.

Wie ein Lightning-Knoten baut ein ION-Knoten auf einem Bitcoin-Node auf, der als Server läuft. Wer einen vollen Lightning-Node aufgesetzt hat, weiß, wie das funktioniert. Notwendig ist ein solcher Node allerdings nur, wenn man die DID-Daten selbst und unabhängig validieren möchte. Es ist auch möglich, die Daten von anderen Knoten abzuholen, wofür Microsoft sowohl ein SDK als auch eine API bereitstellt. User können die DIDs durch eine Art Wallet verwalten, Webseiten sie durch eine API validieren.

Warum eine Blockchain – und warum Bitcoin?

Die Frage liegt natürlich auf der Hand: So toll man Dezentrale Identitäten finden mag – warum braucht man eine Blockchain? Könnte man nicht einfach einen Schlüssel auf seinem Smartphone speichern und sich damit anmelden?

Microsofts Daniel Buchner erklärt auf dem Blog: „Es gibt viele verschiedene Ansätze, um DID-Protokoll zu schaffen, aber sie drehen sich alle ums selbe Konzept: Die User besitzen Identifikatoren, die an ein Set von kryptographische Schlüssel und Routing-Endpunkte gebunden sind.“ Es sei nicht schwer, ein solches Protokoll zu schaffen, und das benötigt an sich auch keine Blockchain. Aber wenn man die DIDs über einen zentralen Server verwaltet – dann könnte man auch gleich beim alten Modell bleiben.

Ein DID-System, das diesen Namen verdient, benötigt also ein verlässliches dezentrales Netzwerk. Und gerade dies sei die größte Schwierigkeit: „Es ist unglaublich herausfordernd, ein robustes dezentrales Netzwerk zu schaffen, ohne auf Validator-Knoten zurückzufallen, denen man vertrauen muss, auf Utility-Token oder andere Mechanismen.“

Zum Glück liefern Bitcoin und andere Blockchains bereits ein solches Netzwerk. Doch warum gerade Bitcoin? Mit Ethereum beispielsweise hätten die DIDs den nativen Zugang zu einer Fülle an Smart-Contract-Anwendungen eröffnet.

Die FAQ auf der Github-Seite von ION beantwortet diese Frage: Man brauche ein offenes und erlaubnisfreies System, bei dem es keine „Kabale von Autoritäten gibt, die Teilnehmer ausschließen oder entfernen können“. Dieses System muss gut getestet und für eine lange Zeit sicher gegen Angriffe sein. Es muss ferner eine einzelne, unabhängig verifizierbare und unveränderliche Aufzeichnung liefern und weit verbreitet sein mit einer Fülle an Knoten auf dem ganzen Globus, welche das System sichern.

Diese Kriterien schließen private Blockchains sowie schwach getestete oder unzureichend dezentrale Altcoins aus. Unter den verbleibenden Kandidaten erfülle Bitcoin die Anforderungen „so viel besser, dass andere dem nicht mal nahe kommen – Bitcoin ist die sicherste Option mit einem absurd weiten Abstand.“

Die Vision der dezentralen Identität

Noch ist wenig über die praktische Anwendung von Microsofts ION bekannt. Es ist auf der Blockchan live, aber ich kenne die Transaktionen bisher noch nicht; auf der ION-Webseite gibt es einen Explorer, doch ich weiß nicht, was man dort eingeben kann; das Beispiel, das er ausspuckt, zeigt immerhin die Datenstruktur eines DIDs.

Mir ist auch noch nicht bekannt, was man als User machen muss, um eine DID zu generieren, noch habe ich eine Ahnung, wo man diese einsetzen kann. Ein Anfang wäre es vermutlich, das mit Windows 10 machen zu können und sich dann mit dem DID in Skype anzumelden. Aber davon ist mir noch nichts bekannt.

Die dahinterstehende Vision ist allerdings klar: Wenn die DIDs einmal zum Standard werden, könnte einem eine Behörde ein Ausweis-DID ausstellen, eine Versicherung ein Versicherungs-DID, eine Bank ein Liquiditäts-DID, eine Uni ein Examen-DID und so weiter. So hat man auf seinem PC oder Smartphone ein Bündel an DIDs, die man je nach Bedarf vorzeigen kann, um sich bei Börsen anzumelden, Autos zu kaufen oder einen Kredit zu nehmen – und all das, ohne dass man mehr private Daten preisgibt, als man möchte, oder jemand beteiligt ist, der es nicht sein muss.

Denkbar sind auch komplett neue Modelle von Identität: Ein Forum kann einem User ein Zeugnis ausstellen, dass er seit Jahren anständig und fleissig an Diskussionen teilnimmt, wodurch er in anderen Foren gleich freigeschalten wird; eine Zeitung, sagen wir, die Süddeutsche, kann einem Abonnenten einen Gutschein für Gratisartikel bei einer anderen Zeitung ausstellen, sagen wir, bei der Zeit. Und so weiter. Die Identität, die die Accounts derzeit konstituieren, ist nur ein verwaschener Schatten von dem, was möglich ist.

Natürlich wird man Wege finden müssen, wie man mit dem Diebstahl der Daten umgeht. Wenn mir die DIDs gestohlen werden, kann ich sie vermutlich ungültig machen – wenn ich eine Kopie von ihnen habe. Was aber wenn nicht? Man wird wohl eine soziale Schicht brauchen, durch die DIDs ungültig gemacht werden, und die das dann auch an alle Akteure kommuniziert oder per Master-Key in die Blockchain schreibt. Denn weder die Bitcoin-Blockchain noch das IPFS erlauben es, Daten zu ändern, ohne die entsprechenden Schlüssel zu haben.

Vermutlich wird ein erfolgreiches System von DIDs zur Entstehung von treuhänderischen Verwahrern sorgen: Von Mittelsmännern, die Erzeugung und Verwahrung der DIDs komplett übernehmen und damit als Metaaccount fungieren, eventuell aber auch von Verwahrern, die nur ein (eventuell verschlüsseltes) Backup verwahren.

All dies ist noch im Entstehen. Es handelt sich um eine Technologie, die es noch nicht gibt, weshalb auch das gesamte sozio-ökonomische System, das sie benötigt, noch nicht da ist. Für die Gesellschaft könnte es aber enorm wichtig sein, dass das System tatsächlich entsteht.