{"id":82196,"date":"2022-03-14T20:48:05","date_gmt":"2022-03-14T20:48:05","guid":{"rendered":"https:\/\/hanstimmerman.me\/?p=82196"},"modified":"2022-03-14T20:48:05","modified_gmt":"2022-03-14T20:48:05","slug":"decentrale-identificatie","status":"publish","type":"post","link":"https:\/\/hanstimmerman.me\/en\/decentrale-identificatie\/","title":{"rendered":"Decentrale identificatie"},"content":{"rendered":"

Decentrale identificatiecodes (DID: digital identifier) zijn de cryptografische tegenhanger van verifieerbare referenties (VC\u2019s). In de nieuwe wereld van \u2018zelf soevereine identiteiten\u2019<\/i> vormen DID\u2019s en VC\u2019s twee essenti\u00eble pijlers. Beiden zijn gerelateerd aan URL\u2019s en URN\u2019s in de oude bekende wereld van internet en zijn nodig voor een werkelijke zelf soeverdigital identifier)eine identiteit. Wereldwijd wordt in het World Wide Web Consortium (W3C) hard gewerkt aan deze nieuwe identifiers en de daarbij behorende nieuwe standaarden. Zie ook mijn eerdere blog<\/a> \u2018zelf beheerde identiteit\u2019.\u00a0<\/span><\/p>\n

Paradigma verandering van het internet<\/b><\/p>\n

Het internet is oorspronkelijk opgezet voor het digitaal verbinden van netwerklocaties. Wie op of achter die locatie\u00a0 <\/span>zat, was indertijd niet-relevant. Echter nu – 50 jaar later – willen we steeds beter weten wie er op een lokatie aanwezig is. Daar zijn decentrale identificatiecodes voor nodig. Een enorme paradigma verandering voor het internet. Van lokatie naar individu. Van voordeur naar wie achter die voordeur woont. De decentrale identificatiecode (DID) is die unieke identifier, vergelijkbaar met de URL\u2019s die je in de adresbalk van je browser ziet, maar dan naar personen. Bouwstenen in een nieuwe decentrale laag met identificatoren die vanzelfsprekend moeten passen in de bestaande openbare sleutel-infrastruur (PKI, private key infrastructure) van het internet.<\/p>\n

Achter elke voordeur geldt privacy, dat geldt fysiek maar ook voor het internet. V\u00f3\u00f3r de voordeur is elke woning via postcode en huisnummer vindbaar in een publieke openbare ruimte; in feite de fysieke URL. Maar achter de voordeur geldt privacy. Daar is zelfs voor de overheid een huiszoekingsbevel nodig om achter die voordeur te mogen komen. \u2018Achter de voordeur\u2019<\/i> was op het internet nooit geregeld. Een internetadres bestaat immers uit niet meer dan een URL<\/a> (Unified Network Location<\/i>) en een URN<\/a> (Unified Resource Name<\/i>), vergelijkbaar met een postcode\/huisnummer en een straatnaam. Maar om de bewoner van die woning te kennen, is aanvullend een DID nodig. Die bewoner moet ook nog kunnen bewijzen dat hij of zij inderdaad de bewoner is achter dat huisnummer of die URL.\u00a0<\/span><\/p>\n

Identificatie als bewoner op het internet<\/b><\/p>\n

Als bewoner achter een URL moet je met een openbare en priv\u00e9-sleutel kunnen bewijzen dat jij eigenaar en beheerder van die digitale identiteit bent. Encrypte kan helpen om boodschap en inhoud te versleutelen, maar kern blijft dat je uniek moet aantonen dat jij – en alleen jij – die digitale inwoner van dat virtuele huis op die URL bent. Net zoals we door een webadres in te tikken dat begint met \u2018http\u2019 of https\u2019, zouden we – als in een telefoonboek – achter de bron van een identifier moeten kunnen komen door een DID-adres in te tikken. Daar heb je nu nog een DID-resolver<\/a> voor nodig: via een gestandaardiseerd protocol een DID-document aan maken voor identiteitstoepassingen.<\/p>\n

Digitale \u2018wallets’ zijn voor SSI\u2019s wat browsers zijn voor het web. Via je wallet maak je gebruik van deze digitale identiteitstoepassingen en -diensten. De DID als bouwsteen voor het nieuwe persoonlijke internet. Naast het internet of things (IoT) ook the internet of people (IoP). De entiteit die de DID (naam) en het bijbehorende DID document (paspoort) bestuurt, wordt de DID-controller genoemd. Dat kan voor jezelf als persoon zelf gelden, maar ook als ouder\/voogd voor een kind of bij compos mentis<\/a> situaties bij ouderen.\u00a0 <\/span>Een DID-document kan alle willekeurige data over een persoon bevatten, maar om privacyredenen is dat dat niet handig. De minimale hoeveelheid machine-leesbare metadata is in de praktijk genoeg om betrouwbare interactie met het DID-onderwerp mogelijk te maken. Dit zijn dan \u00e9\u00e9n of meer openbare sleutels, \u00e9\u00e9n of meer gekoppelde diensten, tijdstempels, digitale handtekeningen en andere cryptografische bewijzen met betrekking tot delegatie en autorisatie.<\/p>\n

Waarom PKI\u2019s niet echt werken<\/b><\/p>\n

In de PKI-vertrouwensdriehoek is het niet genoeg alleen de publieke\/private sleutels in te zetten. Je moet elk sleutelpaar zien in relatie met de controlerende autoriteit (controller) of dat nu een persoon, een organisatie of een ding is. Openbare en priv\u00e9 sleutels zijn wiskundig met elkaar verbonden zodat geen van beiden kan worden vervalst. Elk paar kan alleen maar worden gebruikt voor de functie waarvoor zij in het leven zijn geroepen en ze zijn gelinkt aan een specifiek cryptografisch algoritme. De openbare sleutel kan worden gedeeld met elke partij die veilig wil communiceren met de verwerker. De priv\u00e9-sleutel is gereserveerd voor het exclusieve gebruik van de controller of zijn afgevaardigden.\u00a0<\/span><\/p>\n

Sinds de jaren zeventig geldt het PKI-dilemma waarvoor zich tot nu toe vier verschillende oplossingen aandienden. Het eerste model ging uit van digitale certificaten, maar dat blijkt al 40 jaar minder goed te werken dan we wilden. Een tweede methode was \u2018Pretty Good Privacy<\/a>\u2019 dat uitging van vertrouwen van personen die elkaar al kenden. Een derde methode is niet te vertrouwen op derden, maar zelf de identificatiecode te genereren. Deze moet je in een openbare boekhouding kunnen vastleggen en daar blijkt blockchain fantastisch in te kunnen voorzien. De laatste en beste oplossing is \u00e9n deze zelf-certificerende identificatiecode kunnen genereren \u00e9n deze na elke sleutelrotatie zelf te kunnen verifi\u00ebren. Het ei van Columbus.\u00a0<\/span><\/p>\n

De voordelen van DID over PKI<\/b><\/p>\n

Als iedereen met toegang tot het DID-document cryptografisch de binding tussen die DID en de bijbehorende sleutel kan verifi\u00ebren, is geen TTP (Trusted Third Party<\/i>) of andere externe autoriteit meer nodig. Elke keer als het sleutelpaar verandert, maakt de lokale controller een bijgewerkt DID-document, ondertekent met de priv\u00e9-sleutel. Zelfcertificering zonder externe autoriteit. Er zijn nog meer voordelen die DID\u2019s ons geven. Bijvoorbeeld met de geboorteakte krijgt de ouder of voogd direct een verifieerbare identiteit en dus legitimatie voor de baby. Hiermee kan elke pasgeborene een levenslange, onvervreemdbare digitale identiteit krijgen. De verwerkingsverantwoordelijke blijft de ouder of voogd tot het moment van volwassenheid.\u00a0<\/span><\/p>\n

Een ander voordeel levert de koppeling van service-endpoint URL\u2019s aan een DID. Hierdoor kunnen \u2018agent-endpoints<\/i>\u2019 direct ondersteunen om DID-to-DID verbindingen tot stand te brengen, communicerend via het DIDComm-protocol<\/a>. Vergelijkbaar met de DNS-functie<\/a> voor IP-adressen en daarom van essentieel belang voor SSI\u2019s. Vergelijkbaar met de TSL (Transport Security Layer) om een veilige HTTPS-verbinding tussen webbrowser en webserver te maken. DID\u2019s kunnen onmiddellijk, lokaal en on-the-fly worden gegenereerd om een (nieuwe) verbinding te maken met een andere identiteit. Op die manier is werkelijke peer-to-peer communicatie tussen twee geverifieerde, decentrale identiteiten via het internet mogelijk. \u00a0 \u00a0 \u00a0<\/span><\/p>\n

Privacy by design<\/b><\/p>\n

DID\u2019s zullen de veiligheid op het internet verbeteren. Veiligheid is nodig om uiteindelijk ook privacy mogelijk te maken. Privacy is ook zorgen dat persoonlijke informatie alleen wordt gedeeld met identiteiten die uw informatie voldoende beschermen en niet gebruiken of verkopen zonder uw toestemming. DID\u2019s zetten die bescherming op zijn kop: u genereert en deelt telkens wanneer u een relatie aangaat met een nieuwe vertrouwende partij een \u2018pairwise unieke DID<\/i>\u2019. Die vertrouwde partij is de enige partij die uw DID kent, u heeft deze er immers speciaal voor aangemaakt! En die vertrouwde partij heeft dat vice versa ook gedaan. Privacy in het kwadraat! Zo heb je je eigen permanente priv\u00e9 kanaal om met iedereen die je wilt, peer-to-peer te communiceren en verifieerbare persoonlijke documenten uit te wisselen. Jij geeft immers elke keer een machtiging aan een door jou vertrouwde partij en jij kunt zien hoe die informatie is en wordt gebruikt. Een privaat trust-netwerk dat GDPR voor ogen had.\u00a0<\/span><\/p>\n

Photo by Mo<\/a> on Unsplash<\/a><\/p>","protected":false},"excerpt":{"rendered":"

DID\u2019s zullen de veiligheid op het internet verbeteren. Veiligheid is nodig om uiteindelijk ook privacy mogelijk te maken. Privacy is ook zorgen dat persoonlijke informatie alleen wordt gedeeld met identiteiten die uw informatie voldoende beschermen en niet gebruiken of verkopen zonder uw toestemming. DID\u2019s zetten die bescherming op zijn kop: u genereert en deelt telkens wanneer u een relatie aangaat met een nieuwe vertrouwende partij een \u2018pairwise unieke DID\u2019. Die vertrouwde partij is de enige partij die uw DID kent, u heeft deze er immers speciaal voor aangemaakt! En die vertrouwde partij heeft dat vice versa ook gedaan. Privacy in het kwadraat!<\/p>","protected":false},"author":3,"featured_media":82199,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[211,194,71,72,75,80,138],"tags":[128,132,134,214,215,82,109],"class_list":["post-82196","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-zelf-soevereine-identiteit","category-transformatie","category-digital-economy","category-digitalisation","category-innovation","category-trusted-it","category-strategie","tag-kwaliteitsborging","tag-trust","tag-toekomst","tag-identiteit","tag-digital-identifier","tag-transformatie","tag-innovation"],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/hanstimmerman.me\/wp-content\/uploads\/2022\/03\/mo-NKhckz9B78c-unsplash-e1647290370275.jpg?fit=2147%2C731&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/posts\/82196","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/comments?post=82196"}],"version-history":[{"count":3,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/posts\/82196\/revisions"}],"predecessor-version":[{"id":82198,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/posts\/82196\/revisions\/82198"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/media\/82199"}],"wp:attachment":[{"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/media?parent=82196"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/categories?post=82196"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/tags?post=82196"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}