Identität onchain mit KYCT und zkPortal

Über kurz oder lang wird Identität onchain gehen müssen. Das wird vieles ermöglichen, sowohl Gutes und Sinnvolles als auch Beängstigendes und Dystopisches. Wir schauen uns zwei Startups an, die versuchen, Lösungen zu finden, Identität auf eine effektive, aber datenschutzsensible Weise auf die Blockchain zu bringen.

Identität gilt als einer der Schlüssel für das Blockchain-Ökosystem. Wenn man die Identität – irgendwie – onchain gebracht hat, wird so vieles möglich, angefangen davon, dass man mit nichts als seiner Wallet ein Konto bei einer Bank oder Börse eröffnet, bis dahin, dass man Zertifikate in einer Wallet verwahrt, sei es die Bescheinigung für den Erste-Hilfe-Kurs oder der Hochschulabschluss, und durch diese dann womöglich Zugang zu bestimmten Dienstleistungen, Portalen oder Gebäuden bekommt.

Kaum jemand bestreitet, dass eine digitale Identität nützlich wäre, und viele sind überzeugt, dass eine Blockchain ein passender Ort für sie wäre. Weniger Einigkeit besteht dagegen darüber, wie dies zu machen ist. Wie verhindert man es, dass Identitäten verkauft oder gestohlen werden? Wie wahrt man den Datenschutz, wie erlaubt man es Usern, nur die Information zu enthüllen, die notwendig ist, und nur für den, für den sie bestimmt ist? Wie können verschiedene Identitäten – oder Bruchteile von Identitäten – miteinander verbunden werden? Wie kann es möglichst dezentral funktionieren?

Solche Fragen werden in den kommenden Jahren beantwortet WERDEN. Die Frage ist nicht ob sie das werden, und auch weniger wann – sondern wie! Wie Identität onchain gebracht wird, wird entscheidend dafür sein, wie selbstsouverän und privat man sich in Zukunft im Netz bewegen wird – und wie engmaschig das Netz der Überwachung werden wird. Es geht um Utopie und Dystopie.

Daher stellen wir euch hier zwei Ansätze vor: Erstens KYCT vom Kölner Startup Ubirch, und zweitens ZKPortal, ein Projekt eines in den Niederlanden lebenden Juristen. Beide sind unterschiedlich und auf ihre je eigene Weise durchdacht.

KYCT

Die Abkürzung KYCT steht, nicht zwingend originell, aber konsequent, für Know Your Customer Token: Ein Token, das dazu dient, die Identität eines Kundens auszuweisen. KYCT hat den großen Vorteil, dass das Token schon live ist: Jeder kann es prägen, jeder kann es abfragen, jeder kann es präsentieren.

KYCT wurde von Ubirch entwickelt, ein Startup, das bereits mit der Tokenisierung von Corona-Test-Zertifikaten Erfahrung sammelte. Um es zu erhalten, müssen sich User bei Ubirch mit einer Web3-Wallet wie Metamask einloggen und anschließend eine Identitätsverifizierung durchlaufen, entweder per Video-Ident oder SMS. Ubirch speichert die Daten dann auf dem eigenen Server als Hashbaum und legt die Root-Hash auf Blockchains wie Ethereum oder IOTA ab.

“Wir veröffentlichen keine personen- und identitätsbezogenen Daten”, erklärt CEO Stephan Noller. “Der User kann das Token jedoch benutzen, um einen Nachweis zu führen. Im einfachsten Fall ist das der Nachweis, dass er ein Token hat, so wie der blaue Haken bei Twitter.” Das wäre etwa sinnvoll, um Kommentarbereichen oder Foren zu regulieren. Über einen Smart Contract, fährt Noller fort, “kann man etwa erkennen, welche Art der Identitätsprüfung stattgefunden hat, und man kann, je nach Konfiguration, einen Link generieren, über den die Stammdaten sichtbar werden.” Dieser Link kann nur für eine begrenzte Anzahl Aufrufe oder einen begrenzten Zeitraum gelten, um zu verhindern, dass er zum Datenleak wird.

Um einen Verkauf der Identität zu verhindern, nutzt KYCT das Konzept der “Soulbound-Token“. Das sind Token, die man nicht mehr übertragen kann, nachdem sie geschaffen und einer Adresse zugewiesen werden. Dieses Konzept wurde speziell entwickelt, um nicht-käufliche “Assets” wie Identitäten oder Leistungsnachweise onchain zu bringen. Die KYCT sind eine der ersten Live-Anwendungen der Soulbound-Token.

Als Anwendung hat Noller mehrere Ideen im Sinn. Auf der einen Seite denkt er, “dass es in Zukunft ein Login mit KYCT geben wird. Das liegt bei Web3-Anwendungen wie dem Metaverse nahe, aber wir sind auch in Gesprächen mit Banken.” Auf der anderen Seite können KYC-Token Transaktionen rechtssicherer machen. Wenn sie mit einer Identität unterlegt sind, stärkt das die Mittel, sich gegen Betrug zu wehren.

Ubirch plant auch, ganz im Sinne des DID-Konzeptes, nicht nur die staatsbürgerliche Identität zu tokenisieren. Einen Schritt dahin geht das Startup bereits mit dem KYC-Light durch die Telefonnummer. “Aber wir planen auch andere Dinge, etwa Zertifikate und Bürgercitizen-Token von Städten und Kommunen. Man könnte etwa ein Berlin-Token haben, um damit digitale Angebote der Stadt zu nutzen oder Feedback an diese abzugeben.”

zkPortal

Sascha Jafari ist zugleich Coder und Steueranwalt. Als Schnittstelle zwischen Technik und Recht hat er sich vor 5 Jahren mit summitto selbständig gemacht, um den Mehrwertsteuerbetrug datenschutzkonform zu bekämpfen. Doch weil die Zusammenarbeit mit den Finanzämtern für seinen Geschmack zu träge anlief, fokussiert er sich nun mit zkPortal darauf, dem Kryptomarkt mit den vom ihm bereits entwickelten Technologien zu helfen, die Datenschutzverletzungen abzuwenden, welche die anstehende Regulierungswelle anzurichten droht.

„Es werden Gesetze und Regulierungen kommen. Das ist unvermeidbar, und die Grundidee ist auch nicht ganz falsch, aber eben eine Gratwanderung“, erklärt der in den Niederlanden lebende Deutsche. „Auf der einen Seite wollen wir nicht zu viel regulieren, um das Ökosystem nicht abzuwürgen, auf der anderen Seite gibt es Dinge wie Ransomware und andere Erpressungen, die wir verhindern wollen.“ Man sollte im Idealfall die Guten schützen und die Schlechten verfolgen. Das aber steht und fällt mit der Identität.

Sein Projekt zkPortal versucht genau das. Man kann sich dort anmelden und seine Identität verifizieren, bisher nur mit dem niederländischen DigiD-Zertifikat. „Wir unterschreiben das dann mit unserem Public Key, schicken es zurück an die App und löschen es dann wieder. So hat der User eine notarisierte Identität auf dem Telefon, aber wir kennen sie nicht.“

Mit diesem notarisierten Ausweis kann die App nun Zero-Knowledge-Proofs bilden. Diese beweisen, dass etwas so oder so ist, ohne es zu enthüllen, etwa, dass jemand älter als 18 ist, ohne zu verraten, wie alt er konkret ist. Oder dass jemand nicht aus Nordkorea, dem Iran oder Russland kommt, aber nicht, aus welchem Land. „So können Apps oder DeFis verlangen, dass User volljährig und nicht aus Russland sind, ohne dass sie meinen Pass verifizieren müssen.“

Die klassischen Anforderungen von Banken und Finanzdienstleistern erfüllt zkPortal nur teilweise. Man kann mit ihnen beweisen, dass man volljährig ist und auf keiner Sanktionsliste steht. Aber man kann sich damit nicht wirklich verbindlich ausweisen. KYC und AML, also Kundenidentifizierung und Anti-Geldwäsche-Maßnahmen, sind nicht in dem Umfang machbar, wie sie üblicherweise verlangt werden.

Die Identifizierung mit der niederländischen DigiD war für Sascha relativ unkompliziert. Mehr Kopfschmerzen hingegen macht ihm der deutsche Markt. Er denkt gerade darüber nach, dass man sich eine Bestätigung einer Bank geben lässt, dass diese ein KYC durchgeführt hat, und man das dann tokenisiert. Alternativ ginge auch der Hochschulabschluss, als Nachweis der personellen Identität, oder eine Ethereum-Adresse, um zu beweisen, dass man auf keiner Blacklist steht. Oder ein Nachweis durch ein Token wie KYCT?

Auch wenn zkPortal sicherlich nicht die vollständige Lösung für alle Probleme mit der digitalen Identität verspricht – das Projekt kann sehr datenschutzsensibel einige wichtige Bestandteile der Lösung abbilden. Sascha hofft, damit auch die Web3-Szene zu überzeugen, seine Anwendung möglicherweise in Wallets zu integrieren.