Was ist EUDI und wie passt die Zitadelle von Dusk Network…

Am 10. Februar 2023 veröffentlichte die Europäische Union ein spannendes, aber unglaublich kompliziert benanntes Dokument, nämlich The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, oder ARF. Wir werden hier auf dieses Dokument und seine Bedeutung für Europa und das Dusk Network eingehen und, um die Dinge kurz zu halten, den von der EU selbst vorgeschlagenen Abkürzungen für dieses Dokument folgen: EUDI und ARF.

Was ist EUDI?

Das Konzept einer Europäischen Digitalen Identität (EUDI) braut sich schon seit einiger Zeit zusammen. Bereits am 3. Juni 2021 kündigte die Europäische Kommission ihre Absicht an, eine Vorreiterrolle bei der Bereitstellung dieses Produkts für alle europäischen Bürger einzunehmen. Jetzt, fast zwei Jahre später, ist die EU bereit, in die Pilotphase überzugehen. Aber was steuern?

Tatsächlich ist EUDI eine Form der Identifizierung, die von jedem Bürger eines Mitgliedstaats der Europäischen Union und von jedem Unternehmen, das in der Europäischen Union tätig ist, verwendet und von jedem Unternehmen oder jeder Regierungsbehörde in der Europäischen Union akzeptiert werden kann. Anstatt bereits bestehende Identitätsmechanismen (dh nationale Personalausweise) zu ersetzen, steht EUDI neben diesen als zusätzliches digitalisiertes Identitätssystem. Beispielsweise würde eine Bank in den Niederlanden weiterhin den niederländischen Personalausweis für neue Kontoeröffnungen akzeptieren, aber auch EUDI für nicht in den Niederlanden ansässige Personen akzeptieren, was bedeutet, dass sie nur zwei Formen der Identitätsprüfung unterstützen müsste. Dies ist ein Fortschritt gegenüber den derzeitigen Möglichkeiten der Banken, entweder zu lernen, wie man eine Fülle von Identitätszertifikaten unterstützt, ODER die Dienste nur auf Personen mit niederländischen Ausweisen zu beschränken.

EUDI wäre jedoch nicht nur auf die Dienste beschränkt, für die der Personalausweis eines Mitgliedstaats verwendet wird, sondern würde sich auch auf alle Interaktionen erstrecken, bei denen Eigenschaften einer Person nachgewiesen werden müssen. Die Anwendungsfälle, die die EU selbst identifiziert hat, sind weit und breit, einschließlich:

• Sichere und vertrauenswürdige Identifizierung für den Zugriff auf Online-Dienste
• Mobilität und digitaler Führerschein
• Professionelle Business-Zertifizierungen
• Bezahlen für Dinge, bei denen unterschiedliche Preise anfallen, wie z. B. Mautstraßen
• Gesundheitsakten wie Patentzusammenfassungen oder eRezepte
• Bildungsabschlüsse und Berufsqualifikationen
• Digitale Finanzprodukte
• Digitale Reisenachweise (wie Pässe und Visa)

Derzeit ist der Nachweis von Identität und Zeugnissen in der Europäischen Union verwirrend und fehleranfällig. Tatsächlich wird für alles, was ein Bürger zu tun versucht, eine Vielzahl unterschiedlicher Zertifizierungen benötigt, die sich auch in Anzahl und Stil von Mitgliedstaat zu Mitgliedstaat unterscheiden. Getreu der europäischen Mission, alle Mitgliedsstaaten zu einem einzigen Handels- und Reiseraum zu harmonisieren, wollen sie dieses Problem mit einer einzigen EUDI für alle lösen.

Was ist ARF?

ARF ist ein aktuelles Dokument, das den Beginn der EUDI-Pilotphase markiert. Es handelt sich im Wesentlichen um eine Checkliste, auf die sich jeder Mitgliedstaat einigen und harmonisieren muss, bevor die Pilotierung beginnen kann. Das beinhaltet:

• Definition der Rollen und Verantwortlichkeiten aller Akteure im EUDI-Prozess.
• Beschreibung der funktionalen und nicht funktionalen Anforderungen des EUDI-Wallet.
• Potenzielle Bausteine ​​identifizieren.

Da die Umsetzung von EUDI in jedem Mitgliedsstaat mit allen anderen interoperabel sein muss, ist es entscheidend, dass alle damit beginnen, auf denselben Standards aufzubauen und eine einheitliche Terminologie zu verwenden. Dies ist wichtig, wenn es um Besonderheiten wie die Bestätigung der Gültigkeit eines Ausweises oder Dokuments geht. Wenn ein Zertifikat beispielsweise ein Ablaufdatum hat, sollte es automatisch an oder nach diesem Datum ungültig werden. Aber sollte der Aussteller auch die Möglichkeit haben, das Zertifikat jederzeit zu widerrufen, bevor das Zertifikat natürlich abläuft? Und wenn etwas „bis auf Widerruf“ gilt, braucht es dann für alle Fälle ein Verfallsdatum? Das ARF legt Richtlinien fest, wie all diese Dinge eingerichtet werden sollten, wie die Informationen zwischen den beteiligten Parteien fließen und wer Zugriff auf was haben sollte.

Dies ist von entscheidender Bedeutung, da selbst an einer einfachen Transaktion wie der Ausstellung eines ermäßigten Bahntickets für einen Studenten mehrere Parteien beteiligt sind. In diesem Beispiel gehören zu den Parteien:

• Der Student. 
• Der Bahnbetreiber.
• Die Universität (die den Status des Studenten überprüft).
• Eine nationale Studentenschaft (die den Studenten möglicherweise auch verifizieren muss).
• Betreiber des Bahnhofs (falls abweichend vom Betreiber).
• Die Bahnticket-Website, die das Ticket verkauft hat.

Wie Sie sehen können, können selbst an einer scheinbar einfachen Transaktion wie dem Kauf einer Zugfahrkarte für einen Studenten bis zu sechs verschiedene Parteien beteiligt sein. Können Sie sich vorstellen, welche Komplexität der Umgang mit anspruchsvollen Finanzinstrumenten mit sich bringt?

Warum begrüßt Dusk Network das?

Wir bei Dusk Network glauben, dass die ARF-Spezifikationen ein wichtiger Schritt zur Verbesserung des Datenschutzes und der Sicherheit im EUDI-Prozess sind: zwei unserer Hauptprioritäten. Das obige (ziemlich einfache) Beispiel eines Studenten, der eine Bahnfahrkarte kauft, unterstreicht die Notwendigkeit selektiver Offenlegungen. Sie würden es Einzelpersonen ermöglichen, nur die notwendigen Informationen zu teilen, während gleichzeitig unsichere Praktiken wie das Teilen von Ausweiskopien oder das Erfordernis personenbezogener Daten völlig obsolet würden. Sie können sich selektive Offenlegungen vorstellen, wie jemandem Ihren Führerschein zu zeigen, aber mit Ihren Fingern alle Informationen außer Ihrem Foto zu bedecken, da das alles ist, was wirklich benötigt wird.

Datenlecks werden in der Gesellschaft immer häufiger, und wir bei Dusk sind alarmiert, dass selbst die einfachsten Transaktionen ein großes Potenzial für Datenlecks bergen. Der einfachste Weg, Benutzer und Organisationen zu schützen, besteht darin, Daten entweder in einem sicheren verschlüsselten Format zu speichern oder ihnen nicht ausgesetzt zu werden.

Um diese Bedenken auszuräumen, weisen die ARF-Spezifikationen auf eine EUDI hin, die unverzichtbare Funktionen wie Ausstellung und Widerruf von Zertifikaten, Verschlüsselung, sichere Übertragung von Identität und anderen personenbezogenen Daten sowie eine Reihe von selektiven Offenlegungsoptionen haben muss. 

Das klingt ein wenig vertraut, nicht wahr?

Warum Citadel für EUDI verwenden?

Zitadelle ist die datenschutzfreundliche digitale Identitätslösung von Dusk, die Datenschutz, Compliance, Dezentralisierung und einen One-and-Done-Ansatz für KYC ermöglicht. Als solches wäre es aus mehreren Gründen eine gute Wahl für EUDI, vor allem aber aus Datenschutz-, Compliance- und Effizienzgründen.

Der Datenschutz ist ein zentrales Anliegen aller am EUDI-Prozess Beteiligten. Zitadelle wird mit gebaut Zero-Knowledge-Beweise (ZKPs), was bedeutet, dass private Daten nicht preisgegeben werden müssen, um zu bestätigen, dass eine Person rechtmäßigen Zugang zu einem Dienst hat, berechtigt ist, in ein Land einzureisen, oder ein rechtmäßiges Recht hat, sich irgendwo aufzuhalten. Dieser Ansatz für Datenschutz und Identität ist neu und revolutionär und ermöglicht eine Lösung, die die Privatsphäre schützt und gleichzeitig eine sichere Identitätsprüfung bietet. In diesem Sinne geht es über das derzeitige Bestreben der EUDI hinaus, eine digitale Version dessen herauszugeben, was bereits existiert. 

ZKPs haben die Befugnis zu beweisen, dass etwas ohne weitere Offenlegung wahr ist, und im Fall der EUDI würde dies dazu führen, dass Menschen die Befugnis erhalten, ihre Berechtigung nachzuweisen, ohne ihre Identität preisgeben zu müssen. Unabhängig davon, ob sie in ein Land einreisen, ein Bankkonto eröffnen oder sogar auf einen Dienst zugreifen, Citadel würde sicherstellen, dass ihre Daten privat bleiben, und die Wahrscheinlichkeit von Hackerangriffen drastisch verringern.

Compliance ist ein weiterer Vorteil, den Citadel bietet, insbesondere programmierbare Compliance. Die EU kann ihre Vorschriften selbst in Citadel programmieren, was nicht nur die Einhaltung sicherstellt, sondern es auch einfacher macht, die Vorschriften bei Änderungen zu aktualisieren. 

Beispielsweise hätte während des Brexits Citadel als EUDI verwendet werden können, um das System zu aktualisieren und zu ändern, was erlaubt war und was nicht, wodurch es einfacher wurde, die Einhaltung der Vorschriften aufrechtzuerhalten. Vermutlich wären die EUDIs von britischen Bürgern ungültig gemacht worden. 

Schließlich ist Effizienz ein entscheidender Vorteil von Citadel. Im Gegensatz zu herkömmlichen Systemen, die eine umfangreiche Datenspeicherung und Compliance-Abteilungen erfordern, eliminiert Citadel diese Kosten. Mit Citadel müssten keine redundanten Kopien von Datenbanken verwaltet werden, in denen die digitalen Identitäten von etwa 450 Millionen Menschen neben ganzen Rechts-, Compliance- und Cybersicherheitsabteilungen gespeichert sind. Es würden nur Berechtigungsnachweise übermittelt, Daten jedoch nicht. Wenn es nichts zu hacken gibt, besteht keine Notwendigkeit für all diesen Overhead. 

Zusammenfassend lässt sich sagen, dass Citadel das Potenzial hat, sowohl der EU als auch ihren Bürgern die Privatsphäre, programmierbare Compliance und Effizienz zu bieten, die sie benötigen, um digitale Identitäten zum Erfolg zu führen. Dank der Verwendung von Zero-Knowledge-Kryptografie und programmierbarer Compliance bietet Citadel einen neuen Ansatz für die digitale Identität, der sowohl sicher als auch effizient ist und das Potenzial hat, die Art und Weise, wie wir die Identitätsprüfung angehen, zu revolutionieren.