Glossary

Synonyme / Übersetzung(en):

• trust domain

Einfache Definition

Eine Vertrauensdomäne ist eine in der realen und digitalen Welt identische Gruppe von Akteuren (Interessensgemeinschaft), die in einer definierten Auswahl von Prozessen klare Regeln (Trust Policies) für Interaktionen und Datenaustausch etabliert hat und Autoritäten für Überwachung und Durchsetzen der Einhaltung dieser Regeln etabliert hat. Auf der Kenntnis der Regeln und Autoritäten sowie der Identifizierbarkeit des jeweiligen Interaktionspartners basiert das Vertrauen innerhalb einer solchen Domäne. Zum Beispiel sind alle Aussteller, Inhaber und Akzeptanzstellen des Sozialpasses in einer Großstadt Teil einer Vertrauensdomäne, in der es klare Regeln für die Ausstellung, die Inhaberschaft und den Entzug des Sozialpasses gibt (z.B. Richtlinie zur Gewährung des Dresden-Passes).



Erweiterte Definition

Eine Vertrauensdomäne ist eine in der realen und digitalen Welt identische Gruppe von Akteuren (Interessensgemeinschaft), die in einer definierten Auswahl von Prozessen klare Regeln (Trust Policies) für Interaktionen und Datenaustausch etabliert hat und Autoritäten für Überwachung und Durchsetzen der Einhaltung dieser Regeln etabliert hat. Auf der Kenntnis der Regeln und Autoritäten sowie der Identifizierbarkeit des jeweiligen Interaktionspartners basiert das Vertrauen innerhalb einer solchen Domäne. Zum Beispiel sind alle Aussteller, Inhaber und Akzeptanzstellen des Sozialpasses in einer Großstadt Teil einer Vertrauensdomäne, in der es klare Regeln für die Ausstellung, die Inhaberschaft und den Entzug des Sozialpasses gibt (z.B. Richtlinie zur Gewährung des Dresden-Passes). Die Übertragung der Prozesse in die digitale Welt erfordert die Definition digitaler Schemata und Protokolle für Inhalte und Transfer überprüfbarer Ausweise und Nachweise. Im Beispiel betrifft dies Nachweise zu Personalien und Anspruchsgrundlagen sowie den auszustellenden Sozialpass. Der Akteur, der Inhaber eines Credentials wird, wird erst in dem Moment Mitglied der Vertrauensdomäne, wenn er das Credential erwirbt und bleibt es auch nur, solange das Credential gültig ist. Das Trustnet entsteht durch Verschränkung und Interaktion vieler thematisch und/oder geographisch getrennter Vertrauensdomänen unter einem gemeinsamen Trust Framework.

Synonyme / Übersetzung(en):

• Verifikation

• Überprüfung



Einfache Definition

Die Verifizierung ist ein Vorgang, bei dem der Inhaber der Akzeptanzstelle einen oder mehrere Nachweise vorlegt. Die Akzeptanzstelle prüft daraufhin die Gültigkeit des Nachweises.



Erweiterte Definition

Bei der Verifizierung von Nachweisen (VCs) erstellt der Inhaber eine Nachweispräsentation (VP) und übergibt diese der Akzeptanzstelle (Verifier). Die Akzeptanzstelle prüft anhand geltender Vorschriften, ob der Nachweis gültig ist. Durch die Überprüfung der Signaturen der Nachweispräsentation wird die Datenintegrität der Aussagen (Claims) sowie der zusätzlichen Informationen sichergestellt. Durch die Verifikation zusätzlicher Daten in der Präsentation kann überprüft werden, ob der Nachweis bereits widerrufen (Revocation) wurde oder ob er generell noch gültig ist.

Einfache Definition

Das Trustnet ist das universelle digitale Abbild von Beziehungen zwischen Personen, Organisationen und Objekten der Realwelt. Es ermöglicht vertrauenswürdige und rechtskonforme digitale Interaktionen und verhindert Fake und Betrug. Die Grundlage dafür ist ein einheitlicher, skalierbarer Vertrauensmechanismus für den Austausch und die Prüfung von digitalen Nachweisen zu beliebigen Sachverhalten. Damit wird die Organisation von und der Zugang zu offenen digitalen Ökosystemen radikal vereinfacht. Das Trustnet entsteht durch Verschränkung und Interaktion vieler thematisch und/oder geographisch getrennter Vertrauensdomänen unter einem gemeinsamen Trust Framework.



Erweiterte Definition

Dem Bedarf der Nutzer nach Vertrauen im Internet wird hier bislang nicht hinreichend Rechnung getragen. Mit dem Trustnet soll deswegen durch Mechanismen für digitales Vertrauen ein rechtssicherer digitaler Raum entstehen, in dem

• Akteure aus Wirtschaft, Verwaltung und Gesellschaft im Zuge der Abwicklung von Geschäfts- und Verwaltungsprozessen eindeutig identifizierbar sind,

• Informationen verifizierbar und damit vertrauenswürdig sind und einen Wert besitzen,

• Transaktionen sicher und rechtskonform stattfinden und

• die Nutzer Hoheit über ihre eigenen Daten haben.

All dies erfordert eine Weiterentwicklung des Internets, an dem nicht nur der Staat, sondern alle Diensteanbieter, Nutzer und Stakeholder, die Vertrauen bei digitalen Interaktionen benötigen, aktiv mitwirken müssen.

Das Trustnet ist das universelle digitale Abbild von Beziehungen zwischen Personen, Organisationen und Objekten der Realwelt. Es ermöglicht vertrauenswürdige und rechtskonforme digitale Interaktionen und verhindert Fake und Betrug. Die Grundlage dafür ist ein einheitlicher, skalierbarer Vertrauensmechanismus für den Austausch und die Prüfung von digitalen Nachweisen zu beliebigen Sachverhalten. Damit wird die Organisation von und der Zugang zu offenen digitalen Ökosystemen radikal vereinfacht. Das Trustnet entsteht durch Verschränkung und Interaktion vieler thematisch und/oder geographisch getrennter Vertrauensdomänen unter einem gemeinsamen Trust Framework.



Sichere digitale Identitäten haben dann einen wirklichen Nutzen, wenn man sie als Werkzeug zur Weiterentwicklung des Internets und der Digitalisierung begreift. Der grundlegend neue Ansatz zur Generierung von Vertrauen im Trustnet ist nicht in erster Linie Informationssicherheit, sondern die Überprüfbarkeit von Informationen. Der dafür erforderliche grundlegende Vertrauensmechanismus ist die Kombination überprüfbarer digitaler Nachweise (Verifiable Credentials) mit dem Prinzip der selbstbestimmten Identitäten (Self Sovereign Identities).



Einfache Definition

Identifizierungsmittel sind Dokumente/Nachweise, die die Zuordnung i.d.R. mehrerer Identitätsmerkmale zu einer Person eindeutig belegen. In der Realwelt sind dies Ausweisdokumente mit Foto, wie Personalausweis, Betriebsausweis oder Krankenkassenkarte. Der Chip auf der Krankenkassenkarte dient der digitalen Identifikation, dem Nachweis der Echtheit und der Übermittlung der darauf gespeicherten Identitätsmerkmale bei physischem Kontakt, die Authentifizierung erfolgt anhand des Fotos auf der Karte. In der digitalen Welt sind hingegen rein elektronische Identifizierungsmittel gefragt, wie die hoheitliche eID, der KommPass oder der digitale Betriebsausweis auf dem Smartphone.



Erweiterte Definition

Identifizierungsmittel sind Dokumente/Nachweise, die die Zuordnung i.d.R. mehrerer Identitätsmerkmale zu einer Person eindeutig belegen. In der Realwelt sind dies Ausweisdokumente mit Foto, wie Personalausweis, Betriebsausweis oder Krankenkassenkarte. Der Chip auf der Krankenkassenkarte dient der digitalen Identifikation, dem Nachweis der Echtheit und der Übermittlung der darauf gespeicherten Identitätsmerkmale bei physischem Kontakt, die Authentifizierung erfolgt anhand des Fotos auf der Karte. In der digitalen Welt sind hingegen rein elektronische Identifizierungsmittel gefragt, wie die hoheitliche eID, der KommPass oder der digitale Betriebsausweis auf dem Smartphone.



Zur besseren Unterscheidbarkeit soll folgendes Beispiel dienen: 

Alle Daten, die ein Nutzer einem Internet-Versandhandel bei Einrichtung seines Accounts mitteilt, bilden für diesen Versandhandel in Summe seine digitale Identität. Dazu gehört ein vom Nutzer selbstgewählter Benutzername (z.B. Rotkäppchen23), der auf der Versandhandelsplattform als Identifikator dient. Bei der Account-Erstellung übergibt der Nutzer zudem eine Reihe weiterer Identitätsmerkmale, wie Name, Geburtsdatum, Anschrift, Lieferadresse oder ggf. auch eine Kreditkartennummer. Solange diese Identitätsmerkmale nicht überprüft wurden, kann der Versandhandel dem Nutzer nicht ohne Risiko vertrauen und muss je nach Schadenspotential ggf. viel Rechercheaufwand zu seiner Person betreiben, um sein Risiko zu minimieren. Zeigt der Nutzer bei der Account-Erstellung aber ein Identifizierungsmittel vor, das der Versandhandel als vertrauenswürdig einstuft, z.B. weil es von einem vertrauenswürdigen Dritten bestätigt wurde, der wiederum anhand seiner eigenen digitalen Signatur oder seines digitalen Siegels eindeutig identifizierbar ist, so bildet die darin enthaltene Auswahl an Identitätsmerkmalen für den Versandhandel eine sichere digitale Identität. Alle zusätzlichen Daten, die der Versandhandel über die Aktivitäten des Nutzers sammelt (Käuferprofil), sind sein digitaler Fußabdruck in diesem IT-System.



Einfache Definition

Digitale Identitäten repräsentieren Personen, Organisationen und auch Objekte der Realwelt im digitalen Raum. Eine reale Person kann mehrere digitale Identitäten haben. Dies kann ein Avatar sein, ein vorgegebener Benutzername oder ein selbstgewähltes Pseudonym, wie im Darknet oder im WWW üblich. Es kann aber auch eine sogenannte sichere digitale Identität sein. Die digitale Identität ist in jedem Fall die Summe aller in einem IT-System einer Entität zuzuordnenden digitalen Identitätsmerkmale (Attribute). Bei einer sicheren digitalen Identität stimmen diese Merkmale nachweislich mit der Realität überein. Die selbst verwaltete digitale Identität ist nicht zu verwechseln mit dem üblicherweise von anderen Akteuren ausgewerteten digitalen Fußabdruck einer Person, der die Spuren beinhaltet, die diese Person im Internet hinterlässt. Solche fremdverwalteten Profile (z.B. Suchverhalten auf Amazon) repräsentieren aber nicht die Person, sondern bilden nur deren Verhalten im Internet ab.



Erweiterte Definition

Die Identität einer natürlichen Person wird durch eine Vielzahl von Identitätsmerkmalen beschrieben. Dies gilt prinzipiell auch im Digitalen, allerdings sind die technisch, philosophisch und politisch geprägten Darstellungen dazu in der Literatur teilweise sehr widersprüchlich. Für das bessere Verständnis ist eine klare begriffliche Unterscheidung wichtig. Daher versuchen wir nachfolgend eine konsistente Begriffserklärung, die auch Anwendungen außerhalb regulierter Anwendungsbereiche integriert.

Digitale Identitäten repräsentieren Personen, Organisationen und auch Objekte der Realwelt im digitalen Raum. Eine reale Person kann mehrere digitale Identitäten haben. Dies kann ein Avatar sein, ein vorgegebener Benutzername oder ein selbstgewähltes Pseudonym, wie im Darknet oder im WWW üblich. Es kann aber auch eine sogenannte sichere digitale Identität sein. Die digitale Identität ist in jedem Fall die Summe aller in einem IT-System einer Entität zuzuordnenden digitalen Identitätsmerkmale (Attribute). Bei einer sicheren digitalen Identität stimmen diese Merkmale nachweislich mit der Realität überein. Die selbst verwaltete digitale Identität ist nicht zu verwechseln mit dem üblicherweise von anderen Akteuren ausgewerteten digitalen Fußabdruck einer Person, der die Spuren beinhaltet, die diese Person im Internet hinterlässt. Solche fremdverwalteten Profile (z.B. Suchverhalten auf Amazon) repräsentieren aber nicht die Person, sondern bilden nur deren Verhalten im Internet ab.





Einfache Definition

Identitätsmerkmale (Attribute) sind Merkmale, die die Identität von Personen, Organisationen bzw. Objekten beschreiben und anhand derer sie identifiziert werden können. Sie sind Teile einer Gesamtaussage, die in einem Nachweis gespeichert werden. Zu einem Attribut gehört immer auch ein bestimmter Wert.

Beispiel: Das Attribut ist "Name" und der Wert ist "Laura".





Erweiterte Definition

Identitätsmerkmale (Attribute) sind Merkmale, die die Identität von Personen, Organisationen bzw. Objekten beschreiben und anhand derer sie identifiziert werden können. Bei natürlichen Personen gehören dazu die im amtlichen Melderegister geführten Meldedaten (Basisidentität), biometrische Daten, Angaben in Nachweisen und Urkunden, aber auch Rechte/Berechtigungen und die Beziehungen gegenüber anderen natürlichen Personen, Organisationen sowie Objekten. Solche Identitätsmerkmale der realen Person können durch autorisierte Akteure in Form überprüfbarer digitaler Nachweise (Verifiable Credentials) ausgegeben und bei Bedarf von einem Dritten überprüft werden. Ein Attribut, das eine digitale Identität eindeutig identifiziert bezeichnet man als Identifikator. Dies kann z.B. eine Email-Adresse, die Steuer-ID, eine Kundennummer oder auch die Wirtschaftsidentifikationsnummer eines Unternehmens sein.

In den Aussagen (Claims) eines digitalen Nachweises (VC) werden Datensatzpaare gespeichert.

Jedes Datensatz-Paar besteht aus einem Attribut (einer Eigenschaft) und einem zugehörigen Wert.

Ein Beispiel hierfür ist ein Nachweis über ein Fahrzeug, bei dem das Attribut 'Leistung' mit dem Wert '200PS' spezifiziert wird.





Einfache Definition

Ein Anwendungsökosystem ermöglicht einen thematisch und geographisch eingegrenzten Prozess zur gemeinsamen Wertschöpfung durch verschiedene Akteure (= Anwendung / Use case), bei dem Nachweise aus mindestens einer, oft aus mehreren Vertrauensdomänen genutzt werden. Es beinhaltet die Akteure sowie deren Strukturen und Infrastrukturen, die Bestandteil der realen und digitalen Interaktionen im Rahmen der Anwendung sind. In einer definierten Auswahl von anwendungsbezogenen Prozessen werden auch hier klare Regeln (Trust Policies) für Interaktionen und Datenaustausch sowie Autoritäten für Überwachung und Durchsetzen der Einhaltung dieser Regeln etabliert. Auf der Kenntnis der Regeln und Autoritäten sowie der Identifizierbarkeit des jeweiligen Interaktionspartners basiert das Vertrauen innerhalb eines Anwendungsökosystems. Zum Beispiel sind alle Betreiber und Nutzer des ÖPNV in Dresden Teil eines Anwendungsökosystems, in dem es klare Regeln für die Benutzung der öffentlichen Verkehrsmittel gibt (Nutzungs- und Gebührenordnung) und Autoritäten (Fahrdienstpersonal, Kontrolleure), die die Einhaltung der Regeln überwachen. Das Credential Sozialpass wird in diesem Anwendungsökosystem zum Nachweis der Ermäßigungsberechtigung verwendet, d.h. die betreffenden Inhaber und Akzeptanzstellen (Ticket-Shops) sind Teil der Vertrauensdomäne Sozialpass. Oft ist also das Anwendungsökosystem kleiner als die Vertrauensdomäne. Die Akteure des Anwendungsökosystems sind hier aber gleichzeitig Teil einer weiteren Vertrauensdomäne, die durch Herausgabe, Nutzung und Akzeptanz der ÖPNV-Tickets definiert wird. Der Akteur, der in einer Vertrauensdomäne die Rolle des Herausgebers inne hat, ist nicht zwingend Bestandteil des Anwendungsökosystems. Das Sozialamt als Herausgeber des Sozialpasses hat z.B. mit dem Anwendungsökosystem ÖPNV nichts zu tun.



Erweiterte Definition

Ein Anwendungsökosystem ermöglicht einen thematisch und geographisch eingegrenzten Prozess zur gemeinsamen Wertschöpfung durch verschiedene Akteure (= Anwendung / Use case), bei dem Credentials aus mindestens einer, oft aus mehreren Vertrauensdomänen genutzt werden. Es beinhaltet die Akteure sowie deren Strukturen und Infrastrukturen, die Bestandteil der realen und digitalen Interaktionen im Rahmen der Anwendung sind. In einer definierten Auswahl von anwendungsbezogenen Prozessen werden auch hier klare Regeln (Trust Policies) für Interaktionen und Datenaustausch sowie Autoritäten für Überwachung und Durchsetzen der Einhaltung dieser Regeln etabliert. Auf der Kenntnis der Regeln und Autoritäten sowie der Identifizierbarkeit des jeweiligen Interaktionspartners basiert das Vertrauen innerhalb eines Anwendungsökosystems. Zum Beispiel sind alle Betreiber und Nutzer des ÖPNV in Dresden Teil eines Anwendungsökosystems, in dem es klare Regeln für die Benutzung der öffentlichen Verkehrsmittel gibt (Nutzungs- und Gebührenordnung) und Autoritäten (Fahrdienstpersonal, Kontrolleure), die die Einhaltung der Regeln überwachen. Das Credential Sozialpass wird in diesem Anwendungsökosystem zum Nachweis der Ermäßigungsberechtigung verwendet, d.h. die betreffenden Inhaber und Akzeptanzstellen (Ticket-Shops) sind Teil der Vertrauensdomäne Sozialpass. Oft ist also das Anwendungsökosystem kleiner als die Vertrauensdomäne. Die Akteure des Anwendungsökosystems sind hier aber gleichzeitig Teil einer weiteren Vertrauensdomäne, die durch Herausgabe, Nutzung und Akzeptanz der ÖPNV-Tickets definiert wird. Der Akteur, der in einer Vertrauensdomäne die Rolle des Herausgebers inne hat, ist nicht zwingend Bestandteil des Anwendungsökosystems. Das Sozialamt als Herausgeber des Sozialpasses hat z.B. mit dem Anwendungsökosystem ÖPNV nichts zu tun. 

Synonyme / Übersetzung(en):

• (Business) Backend

• Hintergrund-Logik der Wallet

Einfache Definition

Ein Agent im Kontext von selbst souveränen Identitäten (SSI) ist eine Software, die Zertifikate ausstellt, prüft, überträgt und präsentiert. Der Agent sorgt für einen sicheren Informationsaustausch zwischen verschiedenen Akteuren. Agenten sind in der Regel Teil einer digitalen Brieftasche (Wallet), verantwortlich für deren Hintergrundlogik und für den Benutzer nicht sichtbar. Der Agent kann mit dem Maschinenraum eines Kreuzfahrtschiffes verglichen werden: Er treibt das Schiff an, aber die Passagiere sehen ihn nie.



Erweiterte Definition

Der Agent ist die wichtigste Software-Komponente einer Wallet im Kontext von selbst souveränen Identitäten (SSI). Er ist für den Informationsaustausch zwischen den Agenten verantwortlich. Für spezielle Serverarchitekturen können Agenten mit einem Secure Storage (Secure Storage) ohne den direkten Rahmen einer Wallet verwendet werden. Durch die direkte Adressierung einer Schnittstelle zum Secure Storage können Agenten digitale Nachweise (Verifiable Credentials, VC) sicher ausstellen, übertragen und präsentieren. Die Nachweise können auch ohne Secure Storage von Agenten überprüft werden. Sichere Verbindungen werden durch sichere Kommunikationsprotokolle und standardisierte Kommunikationswege zwischen Akteuren und ihren Agenten aufgebaut, um Informationen auszutauschen. Die Agenten stellen Schnittstellen bereit, die es ermöglichen, sie in verschiedenen (Geschäfts-) Programmen und Anwendungen zu verwenden.



Weiterführende Quellen

• A. Preukschat and D. Reed, Self-sovereign identity: decentralized digital identity and verifiable credentials. Shelter Island, NY: Manning Publications Co., 2021., S. 216 ff.

• „Agent | eSSIF-Lab“.https://essif-lab.github.io/framework/docs/terms/agent (zugegriffen 06.10.2022)

Synonyme / Übersetzung(en):

• Aussage

• Behauptung

• Anspruch

• Assertion

Einfache Definition

In einem Nachweis werden bestimmte Aussagen oder Behauptungen (=Claims) des Herausgebers über jemanden oder über etwas gespeichert.

Die Aussagen des Herausgebers müssen nicht zwangsläufig der Wahrheit entsprechen. Ob der Aussage Glauben geschenkt wird, hängt davon ab, ob die Akzeptanzstelle dem Herausgeber vertraut, der den Nachweis für den Inhaber ausgestellt hat.





Erweiterte Definition

Ein digitaler Nachweis (VC) speichert ein oder mehrere Aussagen (Claims) über ein Subjekt (Person oder Sache). Die vom Herausgeber (Issuer) attestierten Aussagen müssen nicht zwangsläufig der Wahrheit entsprechen. Die Aussagekraft hängt vom Vertrauen der Akzeptanzstelle (Verifier) in den Herausgeber ab.



Weiterführende Quellen

• eSSIF-Lab Glossary, „Assertion“. Zugegriffen: 3. November 2022. [Online]. Verfügbar unter: https://essif-lab.github.io/framework/docs/terms/assertion

Synonyme / Übersetzung(en):

• Dezentraler Identifikator

Einfache Definition

Dezentrale Identifikatoren (DIDs, decentralized identifiers) ermöglichen einen sicheren und kryptografisch verifizierbaren Informationsaustausch zwischen Personen, Dingen und Unternehmen.

Anders als bei herkömmlichen Identifizierungsmethoden wie einer Zertifizierungsstelle wird die DID nicht von einem zentralen System kontrolliert, sondern vom Ersteller selbst. Für die Verwaltung von selbst souveränen Identitäten (SSI) werden dezentrale Identifikatoren verwendet.^1





Erweiterte Definition

DIDs sind einheitliche Ressourcenbezeichner (URIs), die ein DID-Subjekt mit einem DID-Dokument verknüpfen und vertrauenswürdige Interaktionen mit diesem Subjekt ermöglichen.^1

Ein DID-Subjekt kann beispielsweise eine Person, Gruppe, Organisation oder ein Objekt sein.

Im DID-Dokument werden zusätzliche Informationen wie öffentliche Schlüssel abgelegt, die über die DID aufgelöst werden können.

Die verwendeten Mechanismen für die Auflösung hängen von der entsprechenden DID-Methode ab. Die Kernspezifikation für DIDs wurde vom W3C festgelegt. Es gibt zahlreiche Spezifikationen für verschiedene DID-Methoden in der Entwicklung, wie z.B. did:indy, did:ion und did:key. Die Kontrolle über die DID liegt beim DID-Controller, dem Inhaber des entsprechenden privaten Schlüssels der DID, der in der Regel auch der Ersteller ist.





Weiterführende Quellen

• DID Specification Registries (Zuletzt aufgerufen: 22.09.2022)

• DID URLs for Digital Resources Specification - ToIP (Zuletzt aufgerufen: 10.10.2022)

Referenzen:

1. M. Sporny, D. Longley, M. Sabadello, D. Reed, O. Steele, und C. Allen, „Decentralized Identifiers (DIDs) v1.0“. Zugegriffen: 19. August 2022. [Online]. Verfügbar unter: https://www.w3.org/TR/did-core/

Synonyme / Übersetzung(en):

• überprüfbarer (digitaler) Nachweis

• digital Credential

Einfache Definition

Ein überprüfbarer digitaler Nachweis ist das digitale Gegenstück zu einem analogen Nachweis, wie einem Zeugnis oder einer Konzertkarte. Er enthält Aussagen über jemanden oder etwas in Form von Attributen und wird von einem (vertrauenswürdigen) Herausgeber ausgestellt.

Die Unversehrtheit der Daten kann mit kryptographischen Mitteln, insbesondere einer digitalen Signatur, überprüft werden. Auch der Herausgeber kann dadurch ermittelt werden.

Aufbau

Ein digitaler Nachweis besteht aus einem Umschlag und dessen Inhalt. Der Umschlag sichert die Identität des Ausstellers sicher und schützt den Inhalt vor Fälschung. Durch diese Struktur ist es möglich, den Nachweis in Echtzeit und unabhängig von Ort und Zeit zu überprüfen.



Erweiterte Definition

Ein überprüfbarer digitaler Nachweis ist das digitale Gegenstück zu einem analogen Nachweis, wie einem Zeugnis oder einer Konzertkarte. Er enthält Aussagen über eine Person, eine Organisation, ein Objekt bzw. einen Sachverhalt in Form von Attributen und wird von einem (vertrauenswürdigen) Herausgeber ausgestellt. Er besteht im Kern aus einem oder mehreren gesicherten Attributen (Inhalt) und einer kryptografischen Signatur. Die Signatur, obwohl eine Abfolge von Zeichenketten, ist nicht zu vergleichen mit einer händischen Unterschrift. Sie ist fälschungssicher, unnachahmlich, unveränderlich und sowohl dem Aussteller als auch dem Dokumenteninhalt sowie optional auch dem Empfänger eindeutig zuzuordnen. Dafür bindet der Herausgeber mit Hilfe des entsprechenden digitalen Schlüsselmaterials seinen eigenen Identifikator sowie optional den Identifikator des Empfängers und einen Hash des Inhalts kryptographisch in die Signatur ein.



Der Kernaspekt verifizierbarer Nachweise ist, dass anhand der Signatur die Authentizität von Herausgeberschaft sowie optional von Empfänger und Inhalt der Nachweise orts- und zeitunabhängig in Echtzeit überprüft und belegt werden kann.

Verifiable Credentials sind bereits ein internationaler W3C-Standard, d.h. der überprüfbare digitale Nachweis (Verifiable Credential, VC) ist ein Dokument gemäß den Spezifikationen des etablierten Datenmodells der W3C^1.

Es enthält Aussagen (Claims) von oder über ein Individuum und/oder einen Gegenstand sowie Metadaten und einen Herkunfts- und Integritätsnachweis (Beweis).

Im Datenmodell des W3C¹ für den digitalen Nachweis werden drei Rollen beschrieben, die in diesem Glossar näher erläutert werden:



• Herausgeber - Issuer

• Inhaber - Holder

• Akzeptanzstelle - Verifier

Neben dem Datenmodell von W3C gibt es weitere Spezifikationen, die digitale Nachweise definieren und standardisieren sollen. Beispiele hierfür sind "AnonCreds"² und die "Mobile Driving Licence" (MDL)³.



digitaler Nachweis allgemein

Ein digitaler Nachweis ist ein digitales Dokument, das Aussagen von oder über ein Individuum und/oder einen Gegenstand enthält. Er kann gespeichert, überprüft, präsentiert, weitergegeben, verändert und gelöscht werden.

Ob der digitale Nachweis verändert oder manipuliert wurde, kann durch die Prüfung mit der Signatur überprüft werden.

Außerdem hat der digitale Nachweis einen bestimmten Zustand (z.B. "noch nicht eingelöst", "gültig", "ungültig, ...).



¹ https://www.w3.org/TR/vc-data-model/

² https://hyperledger.github.io/anoncreds-spec/

³ https://www.iso.org/standard/69084.html



Synonyme / Übersetzung(en):

• Verwaltung / Steuerung

• Regelwerk

Einfache Definition

Governance bezeichnet die Verwaltung von Nachweisen oder Ökosystemen. Eine Verwaltungsbehörde legt ein Regelwerk fest, welches den Umgang mit Nachweisen reguliert und die Durchsetzung gewährleistet.



Erweiterte Definition

Ob es sich nun um einen einzelnen Nachweis (VC) oder ein ganzes Ökosystem handelt, es muss eine entsprechende Governance geben, also eine Verwaltung. Die Aufsichtsbehörde der Verwaltung (Credential Governing Authority) verwaltet Regeln und Vorschriften für folgende Nachweis-Themen:

• Ausstellung

• Speicherung / Aufbewahrung

• Weitergabe / Transfer

• Überprüfung

• Änderungen / Modifikationen

• Spezifikationen zur Gültigkeit

• Schema-Spezifikationen

• Format-Spezifikationen

Theoretisch kann jeder eine Aufsichtsbehörde für eigene Nachweise oder Ökosysteme sein. Es muss nicht ausdrücklich eine öffentliche Behörde sein.



Weiterführende Quellen

• ISO/IEC 38500 standard defines governance as “a system by which the current and future use of information technology (IT) is directed and controlled”.

Synonyme / Übersetzung(en):

• Hardwaresicherheitsmodul

• Hardware Security Module

Einfache Definition

Ein Hardwaresicherheitsmodul ist eine stark spezialisierte Hardware, die mathematische Probleme wie die Verschlüsselung von Daten oder das Erzeugen von Schlüsselpaaren hocheffizient und energieeffizient lösen kann.

Es kann Teil des Hauptprozessors oder eines externen Nebenprozessors sein. Es gibt verschiedene Ausführungen von Hardwaresicherheitsmodulen, die unterschiedliche Sicherheitsniveaus erreichen können.



Erweiterte Definition

Hardwaresicherheitsmodule (Hardware Secure Module, HSM) sind spezialisierte Hardwareumgebungen, die zur effektiven Lösung mathematisch komplexer Probleme wie der Schlüsselerstellung oder Verschlüsselung entwickelt wurden. Sie agieren schnell in ihrem definierten Funktionsbereich, sind jedoch träge in anderen Aufgaben. Daher werden Hardwaresicherheitsmodule nur als Zusatz verwendet.

Es gibt verschiedene Arten von Hardwaresicherheitsmodulen:

• Sicherheitselemente (Secure Elements)

• Eingebettete Sicherheitselemente (embedded Secure Elements)

• Vertrauenswürdige Plattformmodule (TPM)

Je nach Art kann Hardware entweder in den Hauptprozessor integriert sein oder als separate Prozessoren auf der Hauptplatine vorhanden sein.



Einfache Definition

Der Inhaber ist eine Person, Organisation oder Maschine, die digitale Nachweise vom Herausgeber erhält und sicher in der eigenen digitalen Brieftasche speichert und verwaltet.¹ Die digitalen Nachweise des Inhabers können unabhängig vom Herausgeber anderen Parteien präsentiert werden.



Erweiterte Definition

Als Holder wird eine Partei (Person, Organisation) oder auch ein Gerät (Computer, Microcontroller) bezeichnet, die digitale Nachweise (VCs) sicher speichert und verwaltet.¹ Dies kann beispielsweise mit einer digitalen Brieftasche (Wallet) geschehen.

Die vom Herausgeber (Issuer) ausgestellten Nachweise werden auf den korrespondierenden kryptografischen Schlüssel des Holders ausgestellt.²



Der Holder kann aus einem oder mehreren digitalen Nachweisen eine Präsentation (Verifiable Presentation) generieren und diese an Akzeptanzstellen (Verifier) vorzeigen. In der Präsentation kann der Holder selbst entscheiden, welche Daten enthalten sein sollen.



^{^1} = M. Sporny, G. Noble, D. Longley, D. C. Burnett, B. Zudel, und K. D. Hartog, „Verifiable Credentials Data Model v1.1“. Zugegriffen: 3. September 2022. [Online]. Verfügbar unter: https://www.w3.org/TR/vc-data-model/

^{^2} = C. Menzer, „Interoperabilität zwischen DID-Methoden, Wallets, Agents und Verifiable-Credentials“, HS Mittweida. TO DO



Synonyme / Übersetzung(en):

• Hostkarten-Emulation

• Emulation von Hostkarten

Einfache Definition

Eine Hostkarten-Emulation ist eine Software oder Softwarearchitektur, die elektronische Nachweise wie Kredit- und Zugangskarten digital abbildet. Die Softwarearchitektur verschlüsselt den Speicher, um zu verhindern, dass andere Programme die Daten auslesen können.



Erweiterte Definition

Eine Host Card Emulation (HCE) ist eine rein softwarebasierte Sicherheitsarchitektur, die es erlaubt, elektronische Nachweise kryptographisch verschlüsselt zu speichern und zu nutzen. Die HCE Architektur wird vor allem genutzt, um Zahlungs- und Zugangskarten auf Smartphones zu speichern. Durch die Verschlüsselung der Daten ist es anderen Programmen nicht möglich, auf die Daten zuzugreifen und diese auszulesen.

Da HCE lediglich eine Softwarearchitektur ist, ist es jedoch angebracht, erhöhte Vorsicht walten zu lassen. Im Vergleich zu einem Secure Element (SE), das aufgrund seiner separaten Hardwareanbindung eine höhere Sicherheit bietet, kann HCE jedoch deutlich leichter und weiter verbreitet genutzt werden.

Synonyme / Übersetzung(en):

• Ausstellung

• Herausgabe

Einfache Definition

Die Ausstellung ist ein Vorgang, bei dem der Herausgeber Aussagen über jemanden oder etwas macht. Diese Aussagen werden in einem Nachweis gespeichert, signiert und danach an den Inhaber übergeben.



Erweiterte Definition

Bei der Ausstellung von Nachweisen (VCs) gibt der Herausgeber (Issuer) Aussagen (Claims) über eine Person oder eine Sache ab. Diese Aussagen werden dann mit zusätzlichen Informationen, wie beispielsweise der Gültigkeitsdauer, in ein Datenformat gebracht und signiert. Der neu entstandene Nachweis wird dann an den neuen Inhaber (Holder) übertragen. Jeder Nachweis wird nur einmal ausgestellt.



Synonyme/Übersetzung: Herausgeber, Aussteller



Einfache Definition

Der Herausgeber (Issuer) ist eine Person oder eine Maschine, die einen digitalen Nachweis (VC) ausstellt und dem Inhaber (Holder) übergibt.¹

Ein jeder kann (theoretisch) diese Funktion übernehmen.

Gleichzeitig sorgt sich der Herausgeber dafür, dass die ausgestellten Nachweise bei Bedarf ungültig gemacht werden.



Erweiterte Definition

Als Herausgeber (Issuer) wird eine Partei (Person, Organisation) oder auch ein Gerät (Computer, Microcontroller) bezeichnet, die einen digitalen Nachweis (VC) ausstellt und einem Inhaber (Holder) übergibt¹. Jeder digitale Akteur kann diese Rolle übernehmen.

Im Ausstellungsprozess wird durch eine kryptographische Signatur sichergestellt, dass der Nachweis vom Herausgeber selbst stammt.

Der Herausgeber muss die Integrität seines kryptographischen Schlüssels gewährleisten und für die Aktualität des Gültigkeitszustandes seiner ausgestellten Nachweise sorgen (Revocation). Dies ist eine Grundvoraussetzung für das ihm entgegengebrachte Vertrauen des Verifiers (Verifier). Dadurch erhält der Nachweis Nutzungsakzeptanz.



¹ = M. Sporny, G. Noble, D. Longley, D. C. Burnett, B. Zudel, und K. D. Hartog, „Verifiable Credentials Data Model v1.1“. Zugegriffen: 3. September 2022. [Online]. Verfügbar unter: https://www.w3.org/TR/vc-data-model/



Synonyme / Übersetzung(en):

• Stufe bzw. Grad der Vertrauenswürdigkeit

• Grad des Vertrauens

• Grad der Zuverlässigkeit

• Vertrauensniveau

• Zuverlässigkeitsstufe

• Sicherheitsstufe

• Zuverlässigkeitsgrad

Einfache Definition

Die EU und die Regierung haben Stufen der Vertrauenswürdigkeit festgelegt, die anzeigen, wie vertrauenswürdig der ausgestellte Nachweis und der Herausgeber sind. Ein höheres Vertrauensniveau bedeutet strengere Regeln für den Herausgeber und den Ausstellungsprozess.

Synonyme / Übersetzung(en):

• Datenschutz

• Privatsphäre

• Schutz der Privatsphäre

• Datenschutzerklärung

Datenschutz in SSI

In der Welt der selbstsouveränen Identitäten sind Privatsphäre und Datenschutz ein wichtiges Thema. Durch die Speicherung der eigenen Zertifikate auf den eigenen Geräten kann eine dezentrale Datenhaltung entstehen. Wenn wichtige Daten ausschließlich in den Nachweisen auf den eigenen Geräten gespeichert werden und nicht mehr oder nur noch in stark reduziertem Umfang zentral bei Anbietern, dann sind cyberkriminelle Angriffe mit dem Ziel eines großflächigen Datendiebstahls nicht mehr so verheerend, wie es derzeit bei großen zentralen Datenspeichern der Fall ist, da wenig bis gar keine Daten über einzelne Nutzer vorhanden sind.

Durch die eigene Verwaltung der digitalen Nachweise hat man eine erweiterte Entscheidungsgewalt über die persönlichen Daten. So kann man selbst entscheiden, in welchem Umfang man persönliche Daten mit anderen teilen möchte, ohne von Dritten kontrolliert zu werden.

Der Inhaber eines Nachweises hat bei Vorlage an einer Akzeptanzstelle nur bis zur Datenübertragung die Entscheidungsgewalt. Nach der Übermittlung der Daten hat der Inhaber und Sender keinen Einfluss mehr auf die gesendeten Daten. Durch Technologien wie dem Kenntnisfreien Beweis (Zero-Knowledge Proofs) kann die Datensicherheit erhöht und die Nutzerverfolgung minimiert werden. Durch Massenanfragen von Kenntnisfreien Beweisen kann jedoch auch vieles über den Inhaber herausgefunden werden.



Daher bleibt der Grundsatz bestehen, dass der Inhaber selbst in der Pflicht steht, nur dann Daten zu teilen, wenn es notwendig erscheint und nur die Daten an andere weitergibt, die ihm bekannt sind.



Weiterführende Quellen

• Technische Aspekte

• "Rules and Policies - Protecting Identifiable Information (PII) - Privacy Act“. https://www.gsa.gov/reference/gsa-privacy-program/rules-and-policies-protecting-pii-privacy-act (zugegriffen 22. Dezember 2022).

• Holder Binding und Korrelation von Credentials

• D. Hardman, „The Dangerous Half-Truth of ‚We’ll Be Correlated Anyway‘“, Evernym, 14. Februar 2020. https://www.evernym.com/blog/well-be-correlated-anyway/ (zugegriffen 22. Dezember 2022).

• D. Hardman, „Categorizing Verifiable Credentials“, Evernym, 7. November 2019. https://www.evernym.com/blog/categorizing-verifiable-credentials/ (zugegriffen 22. Dezember 2022).

Synonyme / Übersetzung(en):

• digitale Signatur von digitalen Nachweisen

• digitaler Stempel von digitalen Nachweisen

Einfache Definition

Der digitale Nachweis wird durch die digitale Unterschrift des Ausstellers bei Ausstellung oder des Inhabers bei der Präsentation des Nachweises bestätigt. Die digitale Unterschrift, auch Beweis (Proof) genannt, kann auch als digitaler Stempel bezeichnet werden und ist eine kryptographische Signatur. Ohne Beweis ist ein digitaler Nachweis veränderbar und kann nicht hinreichend überprüft werden.



Erweiterte Definition

Beweise sind digitale Signaturen, die als Möglichkeit zur Überprüfung von Herkunft und Integrität von digitalen Nachweisen (VC) dienen. Sie sind essenzielle Bestandteile des digitalen Nachweises und bestehen aus zwei Hauptteilen:

Meta-Daten stellen Informationen wie den Beweis-Typ und die Methode zur Verifikation bereit.

Sie enthalten auch eine kryptographische Signatur, die entweder vom Aussteller des Nachweises oder vom Inhaber im Falle einer Nachweispräsentation (VP) stammt.





Weiterführende Quellen

• M. Sporny, O. Steele, M. B. Jones, G. Cohen, und O. Terbu, „Verifiable Credentials Data Model v2.0 - Proofs Signatures“. https://w3c.github.io/vc-data-model/#proofs-signatures (zugegriffen 23. Dezember 2022).

Synonyme / Übersetzung(en):

• Widerruf

• Zurückziehen

• ungültig machen

• Entwerten

Einfache Definition

Ein Herausgeber oder eine von ihm autorisierte Stelle kann einen Nachweis oder Teile davon als ungültig erklären. Diesen Vorgang nennt man Widerruf (Revocation). Akzeptanzstellen müssen den Widerruf einsehen können, um den Status des Nachweises im Rahmen der Überprüfung zu ermitteln.



Erweiterte Definition

Der Widerruf eines digitalen Nachweises (VC) bedeutet, dass ein Herausgeber oder eine von ihm autorisierte Stelle den ausgestellten Nachweis für ungültig erklärt. Dadurch wird bekanntgegeben, dass der zum Ausstellungszeitpunkt zugrunde liegende Sachverhalt des Nachweises nicht mehr den Tatsachen entspricht.

Diese Statusänderung wird normalerweise in einem verifizierbaren Datenregister (Verifiable Data Registry, VDR) festgehalten, damit Akzeptanzstellen (Verifier) im Prüfungsprozess der Nachweispräsentation (Verifiable Presentation, VP) den Status ermitteln können.

Das verifizierbare Datenregister für den Widerruf kann auch als Nachweis-Rückzugsregister bezeichnet werden.





Weiterführende Quellen

• eSSIF-Lab Glossary, „Revoke/Revocation“. Zugegriffen: 3. November 2022. [Online]. Verfügbar unter: https://essif-lab.github.io/framework/docs/terms/revoke

Synonyme / Übersetzung(en):

• Template

• Vorlage

Einfache Definition

Ein Schema beschreibt die Struktur und den Inhalt von digitalen Nachweisen und Datenmodellen. Es kann verwendet werden, um zu überprüfen, ob ein Nachweis einer bestimmten Struktur entspricht und bestimmte Informationen enthält.

In der Vertrauensdomäne TrustNet definiert ein Schema die Struktur digitaler Nachweise und Dokumente, um ihre Richtigkeit und Vollständigkeit sicherzustellen.



Erweiterte Definition

Die Definition des Begriffs „Schema“ ist stark kontextabhängig. Im Kontext eines Ökosystems selbstsourveränen Identitäten sind Schemas maschinenlesbare strukturelle Datenvorgaben und Konzepte. Sie beschreiben einen Nachweis (oder andere Datenmodelle) auf syntaktischer und semantischer Ebene.

Die Nutzung von Schemas schafft ein gemeinsames Verständnis der zu verarbeitenden Daten. Die Datenintegrität wird verbessert und die Kommunikation zwischen den Beteiligten wird durch digitale Nachweise (VCs) und Dokumente erleichtert, da der Daten- und Informationsgehalt klaren und überprüfbaren Strukturen folgt.



Weiterführende Quellen

• Sovrin Foundation, „Sovrin Glossary V3 - Schema“, Google Docs. https://docs.google.com/document/d/1gfIz5TT0cNp2kxGMLFXr19x1uoZsruUe_0glHst2fZ8/edit (zugegriffen 23. Dezember 2022).

• M. Sporny, O. Steele, M. B. Jones, G. Cohen, und O. Terbu, „Verifiable Credentials Data Model v2.0 - Data Schemas“. https://w3c.github.io/vc-data-model/#data-schemas (zugegriffen 23. Dezember 2022).

• IBM, „What is a database schema?“. https://www.ibm.com/topics/database-schema (zugegriffen 23. Dezember 2022).

Synonyme / Übersetzung(en):

• Sicherheitselement

Einfache Definition

Ein Sicherheitselement (SE) ist ein Hardwaresicherheitsmodul, das aus einem Betriebssystem und der dazugehörigen Hardwareumgebung besteht. Beide sind physisch vom restlichen System getrennt. Alles, was auf diesem Sicherheitselement läuft, arbeitet in einer abgesicherten und kontrollierten Umgebung und ist so vor unbefugten externen Zugriffen geschützt. Ein Sicherheitselement kann sensible Daten wie private Schlüssel und Zertifikate sicher speichern.



Erweiterte Definition

Das Sicherheitselement (Secure Element) ist eine Variante des Hardwaresicherheitsmodules. Es besteht aus einer Hardwareumgebung, auf der ein spezielles Betriebssystem läuft. Diese sichere Umgebung schützt sensible Daten effektiv. Sicherheitselemente basieren auf den sogenannten „Globalplatform Standards“¹, welche durch ISO9797, ISO7816 und ISO14443 ergänzt werden.



Ausprägungen des Secure Elements

Advanced Secure Module (ASM) & Secure Access Module (SAM)

Um eine hohe Sicherheit zu gewährleisten, kann ein erweitertes Sicherheitsmodul (Advanced Secure Module, ASM) in Kombination mit einem sicheren Zugangsmodul (Secure Access Module, SAM) eingesetzt werden.

Das ASM ist ein Sicherheitselement mit einer spezifischen Software (Applet), welche bestimmte Sicherheitsfunktionen bereitstellt, jedoch ausschließlich eine Kommunikation über ein sicheres Zugangsmodul zulässt. Das sichere Zugangsmodul ist ein Sicherheitselement, das hauptsächlich für die Steuerung und Kommunikation mit einem erweiterten Sicherheitsmodul zuständig ist.

Ein Beispiel hierfür ist das Auslesen von Informationen über eine Kreditkarte und deren Inhaber durch das Halten der Karte an das Smartphone und das Lesen des NFC-Tags. Ein Zahlungsvorgang kann nur durchgeführt werden, wenn am anderen Ende der Peer-Verbindung ein sicheres Zugangsmodul mit den erforderlichen Berechtigungen vorhanden ist. Andernfalls wird jegliche Kommunikation ignoriert.



Embedded Secure Element (eSE)

Das ASM kann auch als eingebettetes sicheres Element (Embedded Secure Element eSE) vorhanden sein. Ein eingebettetes Sicherheitselement ist fest in einem Gerät oder einer Komponente des Geräts verbaut.

Weiterführende Quellen

• https://www.cryptologie.net/article/499/hardware-solutions-to-highly-adversarial-environments-whitebox-crypto-vs-tpm-vs-tee-vs-secure-enclaves-vs-secure-elements-vs-hsm-vs-cloudhsm-vs-kms-part-1/ (Zuletzt aufgerufen: 18.11.2022)

• https://www.cryptologie.net/article/500/hardware-solutions-to-highly-adversarial-environments-part-2-hsm-vs-tpm-vs-secure-enclave/ (Zuletzt aufgerufen: 18.11.2022)

Referenzen

1. „GlobalPlatform Specifications Archive - GlobalPlatform“. https://globalplatform.org/specs-library/ (zugegriffen 9. Dezember 2022).

Synonyme / Übersetzung(en):

• Self Sovereign Identities

• selbstbestimmte digitale Identitäten

• sichere digitale Identitäten

Einfache Definition



Selbstsouveräne oder selbstbestimmte digitale Identitäten (SSI) sind ein Konzept, bei dem die Verwaltung der eigenen Identitätsdaten in die Hände der Nutzer gelegt wird. Der Nutzer gewinnt damit prinzipiell die Hoheit über seine eigenen Daten, die nur für ihn zugreifbar in seiner digitalen Wallet gespeichert sind. Mit SSI geht der Begriff der digitalen Identität deutlich über das hinaus, was bislang im Kontext hoheitlicher Identitätslösungen (eID) diskutiert wurde. Das SSI-Prinzip ist ein Gegenentwurf zu den aktuell genutzten Konzepten, bei denen ein Nutzer verschiedene Identitäten bei verschiedenen Identitätsanbietern besitzt, die in der Regel die Kontrolle über die Daten haben. Mit SSI hat der Nutzer alleinigen Zugriff auf seine ID-Daten und kann entscheiden, wem er welche Teile davon zur Verfügung stellt. Mit SSI lassen sich nicht nur digitale Identitäten natürlicher Personen abbilden, sondern auch digitale Identitäten von juristischen Personen, hoheitlichen Entitäten und (smarten) Objekten. Es lassen sich auch Beziehungen einer natürlichen Person zu anderen natürlichen Personen, zu juristischen Personen und zu Objekten digital abbilden und gesichert nachweisen. Mit dem SSI-Prinzip lässt sich jede Art von überprüfbaren Nachweisen digital herausgeben, vorzeigen und verifizieren. Damit wird das SSI-Prinzip zum Gamechanger im Kontext des Trustnets.



Erweiterte Definition

Selbstsouveräne oder selbstbestimmte digitale Identitäten (SSI) sind ein Konzept, bei dem die Verwaltung der eigenen Identitätsdaten in die Hände der Nutzer gelegt wird. Der Nutzer gewinnt damit prinzipiell die Hoheit über seine eigenen Daten, die nur für ihn zugreifbar in seiner digitalen Wallet gespeichert sind. Mit SSI geht der Begriff der digitalen Identität deutlich über das hinaus, was bislang im Kontext hoheitlicher Identitätslösungen (eID) diskutiert wurde. Das SSI-Prinzip ist ein Gegenentwurf zu den aktuell genutzten Konzepten, bei denen ein Nutzer verschiedene Identi¬täten bei verschiedenen Identitätsanbietern besitzt, die in der Regel die Kontrolle über die Daten haben. Mit SSI hat der Nutzer alleinigen Zugriff auf seine ID-Daten und kann entscheiden, welche Teile er davon wem zur Verfügung stellt (Privatheit). ID-Dienste liefern dafür die für den Nutzer primäre Infrastruktur, z.B. in Form von sicheren Cloudspeichern oder Wallet-Apps für computer und Smartphones. Mit SSI lassen sich nicht nur digitale Identitäten natürlicher Personen abbilden, sondern auch digitale Identitäten von juristischen Personen, hoheitlichen Entitäten und (smarten) Objekten. Es lassen sich auch Beziehungen einer natürlichen Person zu anderen natürlichen Personen, zu juristischen Personen und zu Objekten digital abbilden und gesichert nachweisen. Mit dem SSI-Prinzip lässt sich jede Art von überprüfbaren Nachweisen digital herausgeben, vorzeigen und verifizieren. Damit wird das SSI-Prinzip zum Gamechanger im Kontext des Trustnets.

Synonyme / Übersetzung(en):

• sicherer Speicher

Einfache Definition

Der sichere Speicher (Secure Storage) ist Teil der digitalen Brieftasche (Wallet) und besteht aus einem verschlüsselten Speicher für das Sichern von Nachweisen sowie einem Schlüssel-Management-System, das die Schlüssel zum Ver- und Entschlüsseln sowie Signieren bereithäl¹.



Erweiterte Definition

Der Secure Storage, der Teil der Wallet ist, besteht aus zwei Teilen: einem Key-Management-System und einem verschlüsselten Speicher.¹

Im Key-Management-System werden private und öffentliche kryptographische Schlüssel verwaltet. Es befindet sich in einer sicheren Umgebung und kann nur über Schnittstellen angesprochen werden, um spezielle Funktionen auszulösen. Ein Auslesen des privaten Schlüssels ist über die Schnittstelle nicht möglich.

Digitale Nachweise werden sicher im verschlüsselten Speicher abgelegt.

Mithilfe der hinterlegten kryptographischen Schlüssel können Nachweise signiert und im Key-Management-System präsentiert werden. Für den Datenaustausch wird ein Agent verwendet, der Zugriff auf die Schnittstellen des Secure Storages hat.

Durch die Einbindung eines Hardware Secure Modules (Hardware Sicherheitsmodules), das das Key-Management-System widerspiegelt, kann das Sicherheitsniveau (bzw. Schutzniveau, Level of Assurance) erhöht werden.



¹ = A. Preukschat und D. Reed, Self-sovereign identity: decentralized digital identity and verifiable credentials. Shelter Island, NY: Manning Publications Co., 2021.



Synonyme / Übersetzung(en):

• Selektive Offenlegung

• Teiloffenbarung eines Nachweises

Einfache Definition

In einer Nachweispräsentation (Verifiable_Presentation) muss nicht zwingend ein kompletter Nachweis enthalten sein. Es können Teile von einem Nachweis präsentiert werden. Das heißt dann "selektive Offenlegung von Daten".



Erweiterte Definition

Bei einer digitalen Nachweispräsentation (Verifiable Presentation) können ausgewählte Behauptungen (Claims) aus einem oder mehreren digitalen Nachweisen (VCs) mithilfe von kryptografischen Algorithmen (z. B. Zero-Knowledge Proofs, ZKP) abgeleitet werden.

Durch gezieltes Ausstellen von Nachweisen mit einem einzelnen Attribut kann eine selektive Auswahl auf Ebene der Nachweise vorgenommen werden, sodass keine kryptografischen Ableitungen benötigt werden.

Durch die sorgfältige Auswahl von Nachweisen oder Attributen kann sichergestellt werden, dass die Akzeptanzstelle (Verifier) nur die für den Prozess notwendigen Daten vom Inhaber (Holder) erhält.

1. Beispiel 1: Der Nachweis enthält die Behauptungen X, Y und Z. Für die Akzeptanzstelle wird eine Präsentation erstellt, die nur die Behauptungen X und Z enthält.

2. Beispiel 2: Ein Inhaber hat drei separate Nachweise, von denen jeder nur ein Attribut enthält (X, Y, Z). Für die Präsentation werden nur die Nachweise X und Z verwendet, während Y geheim bleibt. Behauptung Y bleibt geheim.



Synonyme / Übersetzung(en):

• vertrauenswürdige Ausführungsumgebung

Einfache Definition

Eine vertrauenswürdige Ausführungsumgebung (eng. Trusted Execution Environment, (TEE)) ist ein separater Bereich neben dem Hauptbetriebssystem. Hier können sicherheitskritische Programme ausgeführt werden. Die Umgebung ist mit spezieller Sicherheits-Hardware gekoppelt, die aufgrund von stark eingeschränkten Zugriffen durch Software und durch baulich getrennte Hardware eine höhere Sicherheit bietet. Diese Hardware kann bereits auf dem Hauptprozessor zu finden sein oder als Nebenprozessor existieren.



Erweiterte Definition

Ein Trusted Execution Environment (TEE) ist ein separates Service-System, das eine Laufzeitumgebung für Software bereitstellt, die besondere Sicherheits- oder Vertrauensanforderungen hat. Es läuft parallel zum Hauptbetriebssystem und hat Zugriff auf die gleichen Hardware-Ressourcen wie der Nutzer. Um eine höhere Sicherheit des TEEs zu gewährleisten, werden Sicherheits-Hardware-Module (Hardware Secure Module) eingesetzt, um beispielsweise Schlüsselmaterial und die Integritätsprüfung in das Modul auszulagern. Die möglichen Angriffsvektoren und damit verbundene Sicherheit variieren je nach Art des verwendeten Sicherheits-Hardware-Modules (siehe HSM). Es können mehrere sichere und unsichere Umgebungen parallel existieren.



Weiterführende Quellen

1. M. Sabt, M. Achemlal, und A. Bouabdallah, „Trusted Execution Environment: What It is, and What It is Not“, in 2015 IEEE Trustcom/BigDataSE/ISPA, Aug. 2015, Bd. 1, S. 57–64. doi: 10.1109/Trustcom.2015.357.

Synonyme / Übersetzungen:  

• Rahmenwerk für Vertrauen



Einfache Definition

Das Rahmenwerk für Vertrauen (Trust Framework) ist ein Bezugspunkt für Regeln und Regularien, auf denen ein Ökosystem basiert. Das Grundgesetz der Bundesrepublik Deutschlands ist beispielsweise ein Rahmenwerk für Vertrauen, auf das sich die Bürger verlassen und entsprechende Rechte beziehen können.

In Bezug auf digitale Ökosysteme basieren Trust Frameworks auf rechtlichen, organisatorischen und geschäftlichen Grundlagen und sind in Regelwerken gekapselt, die in organisatorischen und technischen Systemen implementiert werden.



Erweiterte Definition

Ein Trust Framework stellt Richtlinien, Verfahren und Mechanismen auf, die für die Schaffung von Vertrauen in einem Ökosystem erforderlich sind.

In Bezug auf digitale Ökosysteme basieren Trust Frameworks auf rechtlichen, organisatorischen und geschäftlichen Grundlagen und sind in Regelwerken gekapselt, die in organisatorischen und technischen Systemen implementiert werden.

Ein wesentlicher Pfeiler des künftigen Trustnets wird die Entwicklung eines einheitlichen Trust Frameworks sein. Es soll als Strukturhilfe und Regelwerk mit Standards zum sicheren Interaktionsmanagement digitaler Identitäten und digitaler Nachweise die Entstehung eines ID-Ökosystems anregen, in dem verschiedene ID-Dienste koexistieren können. Das Trustnet wird die bestehende Welt der zentral verwalteten Basisidentitäten inkl. eID und die neue SSI-Welt miteinander verbinden. Der Gedanke dieses Brückenschlags ist zwar bereits in die eIDAS-Novellierung eingeflossen, das Trust Framework soll aber darüberhinausgehend die technische, semantische und organisatorische Interoperabilität sicherstellen, damit Credentials unabhängig von der Art der Wallet-App und von der jeweiligen in der Vertrauensdomäne verwendeten Basistechnologie oder Dateninfrastruktur überprüft werden können. Dieser Gedanke ist in bestehenden bzw. in Entwicklung befindlichen Trust Frameworks, wie dem kanadischen PCTF, dem USamerikanischen NIST 800-63 oder bei den entsprechenden EU-Aktivitäten (eIDAS-Novellierung) noch zu gering ausgeprägt. Deswegen wird zur Entwicklung des Trustnets ein auf diesen Arbeiten aufbauender Neuentwurf erforderlich. Grundlegende Überlegungen dazu finden im Rahmen der SDI-Schaufensterprojekte statt.



Synonyme / Übersetzung(en):

• Organisationswallet / org-wallet / Org. Wallet

• digitale Brieftasche von Unternehmen



Einfache Definition

Die digitale Brieftasche eines Unternehmens, auch Unternehmenswallet genannt, ist eine erweiterte digitale Brieftasche (Wallet), die in das Ökosystem des Unternehmens integriert ist. Sie bietet ein spezielles Zugriffskonzept und ermöglicht es durch Delegation bestimmte Befugnisse, wie beispielsweise die Ausstellung von digitalen Nachweisen im Namen des Unternehmens, auf Mitarbeiter zu übertragen. Dadurch wird es der Organisation ermöglicht, ihre digitale Identität(en) zu verwalten.



Erweiterte Definition

Eine Unternehmenswallet (auch Organisationswallet genannt) ist eine Wallet, die in das Ökosystem eines Unternehmens integriert wurde.

Das Business Backend bietet als zentrale Funktion eine Nutzer- bzw. Rollenverwaltung, die notwendig ist, um ein sicheres Zugriffskonzept zu ermöglichen und bestimmte Funktionen der Unternehmenswallet (z.B. das Ausstellen von Nachweisen im Namen des Unternehmens) zu delegieren.

Die Verwendung mehrerer Secure Storages ermöglicht das Verwalten von physisch getrennten privaten Schlüsseln und verbessert somit das Sicherheitskonzept der Unternehmensidentitäten.



Synonyme / Übersetzung(en):

• verifizierbares Datenregister

• prüfbares / überprüfbares / nachprüfbares Datenregister



Einfache Definition

Ein verifizierbares Datenregister (VDR) ist eine Speicherlösung, die die Verwaltung von Identifikatoren, Schlüsseln und anderen relevanten Daten über Personen, Dinge, Unternehmen oder Transaktionen ermöglicht. Es steht im Zusammenhang mit einem digitalen Nachweisaustausch^1.

Das verifizierbare Datenregister ermöglicht eine sichere und überprüfbare Informationsbasis für den Austausch von digitalen Nachweisen zwischen den Akteuren im SSI-Ökosystem.





Erweiterte Definition

Ein Verifiable Data Registry (VDR) ist ein Register, das essentielle Informationen speichert, um Vertrauen in der digitalen Welt zu gewährleisten. Ein VDR kann DIDs, Schlüssel und andere Identifikatoren enthalten, sowie andere relevante Informationen, die möglicherweise benötigt werden, um digitale Nachweise (VCs) zu nutzen oder zu verifizieren.

Ein VDR kann eine dezentrale Datenbank, eine Blockchain (distributed ledgers) oder eine andere Form von Registern wie beispielsweise IPFS oder Git sein.

Je nach Ökosystem und verwendeter Technologie sind die abgelegten Daten öffentlich oder nach Freigabe für Dritte zugänglich. Ein VDR kann genutzt werden, um Informationen über den Herausgeber (Issuer), die Akzeptanzstelle (Verifier) oder auch über den Nachweis selbst (z.B. ob dieser gültig ist) zu erhalten.





^1 = M. Sporny, G. Noble, D. Longley, D. C. Burnett, B. Zudel, und K. D. Hartog, „Verifiable Credentials Data Model v1.1“. Zugegriffen: 3. September 2022. [Online]. Verfügbar unter: https://www.w3.org/TR/vc-data-model/



Synonyme / Übersetzungen): 

• (verifizierbare) Nachweispräsentation

• Präsentation eines überprüfbaren Nachweises / Verifiable Credentials

Einfache Definition

Eine Nachweispräsentation besteht aus einem oder mehreren Nachweisen, die vom Inhaber an eine Akzeptanzstelle übermittelt werden.

Durch kryptographische Sicherungsprozesse bleibt die Unversehrtheit der Aussagen nachweislich bestehen.

Die Nachweispräsentation kann auch als Verpackungsmechanismus für die Nachweise des Inhabers betrachtet werden.¹ 



Erweiterte Definition

Eine Nachweispräsentation (Verifiable Presentation, VP) ist eine fälschungssichere Präsentation. Der Halter (Holder) erstellt sie auf Anfrage der Akzeptanzstelle (Verifier). Sie kann ein oder mehrere digitale Nachweise (VCs) oder bestimmte Teile (Selective Disclosure) von den VCs beinhalten. Die Signatur des Halters attestiert die Nachweispräsentation.

Die Präsentation wird aus den digitalen Nachweisen abgeleitet. Dadurch kann im Überprüfungsprozess kryptografisch sichergestellt werden, dass sie inhaltlich unverändert ist.

Eine Präsentation kann auch die grundlegenden Aussagen enthalten, ohne direkt die Behauptungen (Claims) von digitalen Nachweisen zu beinhalten (siehe ZKP).





^1 = A. Preukschat und D. Reed, Self-sovereign identity: decentralized digital identity and verifiable credentials. Shelter Island, NY: Manning Publications Co., 2021.

︎

Synonyme/Übersetzung:

• Akzeptanzstelle

• Verfizierer, Überprüfender eines digitalen Nachweises

Einfache Definition

Die Akzeptanzstelle (Verifier) nimmt den Nachweis vom Inhaber (Holder) entgegen und überprüft ihn auf Richtigkeit (siehe Verification). Nach einem Prüfprozess gewährt die Akzeptanzstelle dem Inhaber bestimmte Rechte. Die Akzeptanzstelle vertraut dem Herausgeber aufgrund des Ausstellungsprozesses^{.^1}

Erweiterte Definition

Als Verifier wird eine Partei bezeichnet, die einen digitalen Nachweis (VC) vom Inhaber präsentiert bekommt oder den Holder (Holder) anfragt, bestimmte Nachweise zu präsentieren.²



Wenn eine verifizierbare Präsentation (Verifiable Presentation) vorgelegt wird, kann der Verifier anhand digitaler Signaturen und Metadaten der Präsentation genau feststellen, ob der digitale Nachweis zeitlich gültig ist und ob er inhaltlich oder syntaktisch verändert wurde.

Nach einem erfolgreichen Prüfprozess kann der Verifier dem Holder bestimmte Rechte gewähren.

Die Prüfkriterien werden vom Verifier selbst definiert und hängen vom entgegengebrachten Vertrauen des jeweiligen Herausgebers (Issuer) ab.

Eine Ticketverkaufsstelle kann beispielsweise ein Konzertticket ausstellen. Der Sicherheitsdienst am Eingang überprüft das vorgezeigte Ticket des Besuchers auf Gültigkeit und gewährt daraufhin den Zutritt zum Konzert.

Weiterführende Quellen

• https://essif-lab.github.io/framework/docs/terms/issuer (Zuletzt aufgerufen: 22.09.2022)

• https://trustoverip.org/wp-content/uploads/Introduction-to-ToIP-V2.0-2021-11-17.pdf (Zuletzt aufgerufen: 22.09.2022)

Referenz:

1. ^1 = Jürgenssen, Olivia; Richter, Daniel; Anke, Jürgen (2022). Selbstbestimmte digitale Identitäten in der Smart City: Potenziale und Grenzen. In: Gemeinschaften in neuen Medien. Digitalität und Diversität. mit digitaler Transformation Barrieren überwinden?!: 25. Workshop GeNeMe´22 Gemeinschaften in neuen Medien, S. 148–158. DOI: 10.25368/2023.69.

2. M. Sporny, G. Noble, D. Longley, D. C. Burnett, B. Zudel, und K. D. Hartog, „Verifiable Credentials Data Model v1.1“. Zugegriffen: 3. September 2022. [Online]. Verfügbar unter: https://www.w3.org/TR/vc-data-model/ ↩︎ ︎

Einfache Definition

Vertrauen ist die subjektive Überzeugung, dass Erwartungen an eine Person oder einen Gegenstand erfüllt werden. Erwartungen können Handlungen oder Eigenschaften von jemandem oder etwas sein.

Vertrauen bedeutet, dass man sich auf jemanden oder etwas verlassen kann und ein Gefühl der Sicherheit hat. Festgelegte Regeln und Kontrollen können dazu beitragen, dieses Gefühl zu stärken (wie es im Sprichwort heißt: "Vertrauen ist gut, Kontrolle ist besser").

In SSI unterscheiden wir zwischen sozialem und technologischem Vertrauen.



Soziales Vertrauen

Wenn mehrere Menschen ein Gefühl der kulturellen Übereinstimmung haben, spricht man von sozialem Vertrauen. Eine Gruppe von Menschen, die dieses Vertrauen teilt, wird als Gesellschaft bezeichnet.

Das soziale Vertrauen kann durch das Rechtssystem des Staates, Standards wie ISO-Normen, Normen und Verträge etabliert und gestärkt werden. Regelmäßige Überprüfungen, ob Standards und Normen eingehalten werden, können das soziale Vertrauen weiter stärken.

Durch indirektes und implizites Vertrauen kann auch soziales Vertrauen aufgebaut werden. Zertifikate, die von bekannten Dritten nach der Überprüfung ausgestellt wurden, können zum Beispiel Vertrauen in eine unbekannte Organisation schaffen.



Technologisches Vertrauen

Technologisches Vertrauen bezieht sich darauf, dass eine Technologie unseren Erwartungen an ihre Eigenschaften und Funktionen entspricht und uns nicht schadet.

Es kann in Hardware und Software bestehen. In der Hardware vertrauen wir darauf, dass der Prozessor richtig rechnet. In der Software vertrauen wir darauf, dass der Verschlüsselungsalgorithmus sicher ist.





Einfache Definition

Ein Vertrauensanker ist ein zentraler Punkt in einem System, dem Vertrauen entgegengebracht wird. Er kann ein Staat, ein Unternehmen, eine Person oder eine Technologie sein.

Vertrauensanker können voneinander abgeleitet sein.



Erweiterte Definition

In der realen Welt vertrauen wir Autoritäten, wie zum Beispiel staatlichen Institutionen. Diese staatlichen Institutionen und ihre Prozesse wirken für die gesamte Gesellschaft als organisatorische Vertrauensanker. Einem Auszug aus einem staatlich geführten Register z.B. kann man prinzipiell vertrauen. Die Autorität besteht in der gesellschaftlichen Position (kraft Gesetzes oder öffentlicher Beleihung/Bestellung), in der unterstellten Kompetenz zu sicheren Prozessen und in fehlendem Eigeninteresse der Institution, gegen das Interesse der Vertrauensgeber zu handeln. Wie bei einem Schiffsanker, der sicherstellt, dass ein Schiff nicht abdriftet, können zwischen einem Vertrauensanker und der zu beantwortenden Vertrauensfrage mehrere Glieder einer Vertrauenskette liegen.

Digitale Beispiele für organisatorische Vertrauensanker und Vertrauensketten gibt es bereits. Die eID und der digitale Führerschein sind Beispiele staatlich ausgestellter Identifizierungsmittel, die in digitalen Verwaltungsprozessen und auch bei digitalen Prozessen der Privatwirtschaft Vertrauen erzeugen sollen. Organisatorische Vertrauensanker sind dabei die sicheren digitalen Prozesse der ausstellenden Behörden, die für eine Verifizierbarkeit der digitalen Dokumente sorgen. Ein Beispiel für digitale Vertrauensketten sind Zertifikatsketten in einer Public Key Infrastructure (PKI).

Spätestens im Zuge der Entwicklung der Blockchain-Technologie kam der Gedanke auf, dass anstelle von Autorität im digitalen Umfeld auch die Mathematik als technischer Vertrauensanker dienen könnte, weil man der Mathematik im Gegensatz zu Staaten immer vertrauen könne. Ein Großteil des Vertrauens in digitale Technologien und in die Richtigkeit von Informationen gründet sich heute bereits (auch unabhängig von Blockchains) auf die Sicherheit von Kryptografie, die Verkettung von Informationen und die Redundanz verteilter Systeme. Bei der Frage, ob man der Person vertrauen kann, die diese Informationen mit diesen Technologien übermittelt, hilft die Mathematik allein aber nicht wirklich weiter. Prinzipiell sollte daher zwischen technischen und organisatorischen Vertrauensankern unterschieden werden, denn im Trustnet wird beides benötigt.



Einfache Definition

Der Vertrauensdienst ermöglicht eine sichere digitale Kommunikation. Der Vertrauensdiensteanbieter stellt diesen Dienst der Öffentlichkeit zur Verfügung.

Ein Vertrauensdienst und Anbieter ist im Kontext der eIDAS-Verordnung¹ definiert. Durch festgelegte Qualifikationsverfahren und Standards wird eine besondere Sicherheit des Vertrauensdienstes gewährleistet.



^{^1} = „eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste“, Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/eIDAS-Verordnung/eidas-verordnung.html?nn=129796 (zugegriffen 16. Dezember 2022).



Synonyme / Übersetzung(en):

• digital wallet / smart wallet / ID-Wallet

• digitale Brieftasche

• Identitäts(-sammel-)plattform

• identity manager / assistant

Einfache Definition

Eine Wallet ist eine digitale Brieftasche, die es ermöglicht, digitale Nachweise zu empfangen, zu speichern, zu präsentieren (via Präsentation) und zu verwalten. Vergleichbar mit dem physischen Portemonnaie werden darin Ausweisdokumente (eID, digitaler Führerschein, Bankkarte etc.) und Nachweisdokumente (amtl. Bescheinigungen, Registerauszüge, Berechtigungsnachweise, Urkunden u. ä.) sowie werthaltige und weitere Arten von Credentials abgelegt. Um mit der digitalen Brieftasche agieren zu können, muss der Inhaber (Holder) sich bei Benutzung authentifizieren, um Missbrauch vorzubeugen.

Eine digitale Brieftasche kann beispielsweise eine Smartphone-Applikation oder eine Computersoftware sein.



Erweiterte Definition

Eine digitale Wallet ist eine komplexe Software, die den Umgang mit digitalen Nachweisen ermöglicht. Vergleichbar mit dem physischen Portemonnaie werden darin Ausweisdokumente (eID, digitaler Führerschein, Bankkarte etc.) und Nachweisdokumente (amtl. Bescheinigungen, Registerauszüge, Berechtigungsnachweise, Urkunden u. ä.) sowie werthaltige und weitere Arten von Credentials abgelegt. Sie ermöglicht die Kommunikation und den Datenaustausch mit anderen Akteuren durch die Integration eines oder mehrerer Agents.

Der Inhaber (Holder) der Wallet nutzt eine Benutzeroberfläche (z.B. Smartphone-App oder Webseite im Browser), um auf die Schnittstelle bzw. die Funktionen des Agents zuzugreifen. Nach der Authentifizierung des Inhabers kann der Agent auf den sicheren Speicher (Secure Storage) zugreifen, um Nachweise auszustellen, zu speichern oder zu präsentieren (ggf. auch mit Signierung).

Eine Wallet bietet ein umfassendes Bild von Funktionen im Zusammenhang mit digitalen Nachweisen (VCs) im Bereich der selbstsouveränen Identitäten:

• Schutz gegenüber Angreifern und Dieben durch sichere Verschlüsselungen und Authentifizierungen

• Einhalten von Vorschriften von gewissen Governance Frameworks

• Unterstützung von standardisierter UI/UX Experience

Wallet-Typen

Es gibt verschiedene Wallet-Typen, welche sich in Bedienung sowie im Funktions- und Sicherheitsumfang unterscheiden können:

• webbasierte Anwendungen (Browser z.B. Chrome, Firefox, Safari)

• Applikationen auf Endgeräten (z.B. Wallet-Apps auf Smartphones)

• In Form speziell gesicherter Hardware Einzelne Wallets können aktuell nur spezifische digitale Formate aufnehmen. 

Synonyme / Übersetzung(en):

• Null-Wissen-Beweis

• Kenntnisfreier Beweis

Einfache Definition

Ein Kenntnisfreier Beweis (eng. Zero Knowledge Proof) ist eine Art Beweis, bei der man Nachweisen kann, dass man etwas hat/weiß ohne den Inhalt direkt Preis zu geben. Durch Frage-Antwort kann man mit dieser Art an Beweis eine hohe Privatsphäre und einen hohen Datenschutz erreichen. Durch Kryptographie wird sichergestellt, dass der Beweis gültig ist.

Beispiel: Sicherheitsdienst an der Tür zur Disko: "Sind Sie über 18 Jahre alt?" Daraufhin erstellt der Inhaber des Nachweises einen kenntnisfreien Beweis, welcher nur "Ja" beinhaltet. Dieser Beweis wird dann von Sicherheitsdienst (automatisch) validiert. Nach erfolgreicher Prüfung kann der Einlass gewährt werden.



Erweiterte Definition

Der Kenntnisfreier Beweis (ZKP), auch Zero-Knowledge Proof genannt, ist eine Form der verifizierbaren Nachweispräsentation. Es gibt zwei Arten von kenntnisfreien Beweisen: den Prädikatsbeweis (Predicate Proof) und den zusammengesetzten Beweis (Compound Proof). Beide werden mittels kryptographischer Ableitungen erstellt, um sicherzustellen, dass der Beweis mit hoher Wahrscheinlichkeit korrekt ist.



Prädikatsbeweis (Predicate Proofs)

Prädikatsbeweise sind Beweise, die nur binäre Zustände beinhalten und somit direkte Antworten auf Fragen der Akzeptanzstelle (Issuer) liefern. Der konkrete Inhalt des Nachweises (VC) wird dabei nicht preisgegeben.

Zum Beispiel fragt die Akzeptanzstelle nicht nach einem korrekten Geburtsdatum, sondern nur, ob die zu verifizierende Person über 18 Jahre alt ist. In dieser Anfrage gibt es zugleich eine kryptographische Aufgabe, die nur gelöst werden kann, wenn man im Besitz eines Nachweises ist. Der zu verifizierende Inhaber erstellt daraufhin eine Nachweispräsentation, die nur die Antwortmöglichkeiten "Ja" oder "Nein" enthält. Gleichzeitig wird die kryptographische Aufgabe gelöst und in der Nachweispräsentation verankert.



zusammengesetzte Nachweise (Compound proofs, Multi-Credential Proofs)

In den zusammengesetzten Nachweisen werden verschiedene Attribute aus verschiedenen digitalen Nachweisen zu einer gemeinsamen Nachweispräsentation kombiniert. Das Prinzip der selektiven Freigabe (selective disclosure) greift hierbei ebenfalls.

Die selektive Freigabe beschränkt sich darauf, nur einen Teil des Nachweises zu präsentieren, ohne den gesamten Nachweis zu teilen. Der zusammengesetzte Nachweis hingegen packt mehrere Teile von Beweisen in einen größeren, umfassenden Beweis. Durch die Verwendung von zusammengesetzten Nachweisen kann der Kommunikationsbedarf reduziert werden, da nur eine Anfrage/Antwort erstellt wird, anstelle von mehreren kleinen Fragen/Antworten.