Uncategorized

Was sind verifizierbare Credentials?

Was sind verifizierbare Credentials?

Es gibt ein Dokument, das fast jeder bei sich trägt und das ein Problem löst, das wir digital über drei Jahrzehnte hinweg nicht gemeinsam gelöst haben. Ihren Pass. Überreichen Sie ihn einem Grenzbeamten in Zürich, Tokio oder São Paulo. Der Beamte inspiziert ihn, überprüft das Foto, verifiziert die Sicherheitsmerkmale der ausstellenden Behörde und gibt ihn zurück. Kein Anruf bei Ihrer Regierung. Keine Datenbankabfrage in Echtzeit. Das Dokument selbst trägt den Beweis.

Versuchen Sie nun dasselbe online.

Sie melden sich auf einer Website an. Diese Website bestätigt, dass Sie ein Passwort kennen oder dass Sie eine bestimmte E-Mail-Adresse kontrollieren. Sie kann aber nicht bestätigen, dass Sie ein zugelassener Arzt sind. Oder ein zertifizierter Finanzberater. Oder ein autorisierter Vertreter einer bestimmten Institution. Dafür muss sie einen externen Service aufrufen, ein zentrales Register überprüfen oder Sie bitten, ein Dokument hochzuladen, das ein Mensch drei Tage später überprüft.

Verifizierbare Credentials sind der digitale Pass. Eine strukturierte, kryptografisch signierte Aussage über wer Sie sind oder wozu Sie berechtigt sind — ausgestellt von einer Behörde, der sowohl Sie als auch der Verifizierer vertrauen, und überprüfbar, ohne jemanden anzurufen.

Das Konzept ist nicht neu. Was neu ist: Wir haben endlich die kryptografische Infrastruktur, um es im Grosseinsatz funktionieren zu lassen, ohne die Abhängigkeiten zu recreieren, die das Konzept sollte eliminieren.

Drei Rollen, ein Dreieck

Das Modell beruht auf drei Akteuren — und die Beziehung zwischen ihnen ist das, was das Ganze funktionieren lässt.

Der Aussteller erstellt die Credential. Eine Ärztekammer zertifiziert einen Arzt. Eine Universität vergibt einen Abschluss. Ein Arbeitgeber bestätigt eine institutionelle Rolle. Der Aussteller signiert die Credential mit einem kryptografischen Schlüssel. Diese Signatur ist das digitale Äquivalent des Prägestempels auf Ihrem Pass — sie kann von jedem überprüft werden, der den öffentlichen Schlüssel des Ausstellers kennt, und sie kann nicht gefälscht werden.

Der Inhaber ist die Person oder Organisation, die die Credential beschreibt. Inhaber speichern Credentials in einer Wallet, einer Anwendung oder institutioneller Infrastruktur. Der entscheidende Unterschied zu traditionellen Systemen: Der Inhaber entscheidet, wann und mit wem er teilt. In einem Datenbankmodell kontrolliert der Aussteller den Zugriff. In einem Credential-Modell tut es der Betroffene. Das ist keine philosophische Vorliebe. Es ist eine architektonische Wahl mit direkten Auswirkungen auf Datensparsamkeit, Datenschutzbestimmungen und operative Unabhängigkeit.

Der Verifizierer ist derjenige, der überprüfen muss. Ein Krankenhausaufnahmesystem. Eine Apotheke. Eine Compliance-Plattform für Finanzen. Eine Grenzschutzanwendung. Der Verifizierer kontaktiert den Aussteller nicht. Er überprüft die kryptografische Signatur anhand des öffentlichen Schlüssels des Ausstellers — ein Prozess, der Millisekunden dauert, offline funktioniert und dem Aussteller nichts darüber verrät, wann oder wo die Credential präsentiert wurde.

Dieses Dreieck ist keine Anmeldung. Es ist eine Vertrauensbeziehung. Und der Unterschied ist strukturell, nicht semantisch.

Warum Das Wichtiger Ist Als Bessere Passwörter

Standard-Anmeldesysteme — OAuth, SAML und die Protokolle, die darauf aufgebaut sind — sind Sitzungsmechanismen. Sie bestätigen, dass Sie zu einem bestimmten Zeitpunkt das Recht haben, auf ein bestimmtes System zuzugreifen. Sie sind nicht dafür ausgelegt, dauerhafte Aussagen über wer Sie sind, über institutionelle Grenzen hinweg, zu tragen.

OAuth funktioniert gut innerhalb einer einzelnen Domain. Ein Benutzer authentifiziert sich bei einem Identitätsanbieter, erhält einen Token, greift auf Services zu. Aber sobald Sie von einer Institution zu einer anderen gehen, stösst OAuth auf eine strukturelle Einschränkung: Es wird angenommen, dass die Partei, die den Token ausgibt, die Partei ist, die sich darauf verlässt. Die Token von Institution A bedeuten Institution B nichts, wenn sie zuvor nicht eine Föderationsvereinbarung ausgehandelt haben. Wenn zehn Institutionen zusammenarbeiten müssen, benötigen Sie bis zu 45 bilaterale Vertrauensvereinbarungen. Bei hundert Institutionen sind es 4.950.

Was passiert also tatsächlich? Alle konzentrieren sich auf einen zentralen Identitätsanbieter — Google, Microsoft, Okta — und die “Föderation” wird zu einer Hub-and-Spoke-Abhängigkeit. Die Dezentralisierung war theoretisch. Die Zentralisierung ist real.

Zertifikatbasierte Systeme sehen sich einer anderen Version desselben Problems gegenüber. Traditionelle PKI kann bestätigen, dass ein Server authentisch ist. Sie kann sogar bestätigen, dass eine Person ein bestimmtes Zertifikat hält. Aber die strukturelle Schwäche ist nicht Skalierung — Betriebssystem-versendete Root-Zertifikatsspeicher handhaben das angemessen. Die strukturelle Schwäche ist Vertrauensdelegation. Jede Zertifizierungsstelle ist ein Dritter, der kompromittiert werden kann, von einer Regierung gezwungen werden kann oder einfach fehlschlagen kann. DigiNotar hat dies 2011 bewiesen. Und heute hält Let’s Encrypt allein ungefähr 60% Marktanteil für TLS-Zertifikate — eine einzelne US-Institution, die ein struktureller einzelner Ausfallpunkt für die Transportssicherheit des Internets ist.

Verifizierbare Credentials lösen dies anders. Anstatt Vertrauen durch eine zentrale Behörde zu leiten, behält jede Entität ihre eigene kryptografische Identität. Verifizierung ist direkt: Der Verifizierer liest das öffentliche Schlüsselmaterial des Ausstellers und überprüft die Signatur. Kein Vermittler, keine bilaterale Verhandlung, kein einzelner Ausfallpunkt, dessen Kompromittierung alles, das er jemals signiert hat, ungültig macht.

Selektive Offenlegung: Zeigen Sie Nur Das, Was Benötigt Wird

Eine Credential wird einmal ausgestellt und viele Male präsentiert. Aber eine Credential zu präsentieren bedeutet nicht, alles darin zu teilen.

Eine Apotheke muss wissen, dass ein Verschreibender eine gültige Registrierung des Praktikers hält. Sie muss nicht den Arbeitgeber des Verschreibenden, das Abschlussdatum oder die Fortbildungsdaten kennen. Selektive Offenlegung bedeutet, dass der Inhaber nur die Attribute teilt, die der Verifizierer anfordert — und der Verifizierer bestätigt nur, was er gefordert hat.

Das ist keine Privacy-Funktion, die nachträglich angebracht wurde. Es ist eine architektonische Eigenschaft des Credential-Formats selbst. Die Auswirkungen auf Compliance sind bedeutsam: In jeder Gerichtsbarkeit mit Datensparsamkeitsanforderungen — GDPR, das Schweizer Datenschutzgesetz, HIPAA — ist das Credential-Modell strukturell mit dem Gesetz ausgerichtet, anstatt dagegen anzukämpfen.

Von Der Spezifikation Zur Produktion

Verifizierbare Credentials sind kein Konzept an der Tafel, das jemand bauen muss. Sie sind in Produktion.

Im Schweizer Gesundheitswesen trägt SEAL — der Ausgangspunkt von Vereigns Kommunikationsschicht auf Stargate — über 800.000 verschlüsselte Nachrichten pro Monat zwischen mehr als 30.000 Arztpraxen. Jede Nachricht, die durch diese Infrastruktur verarbeitet wird, trägt verifizierbare Aussagen über die Identität des Absenders und die berufliche Autorisierung. Die empfangende Partei — ein Krankenhausaufzeichnungssystem, eine Fachklinik, eine Apotheke — verifiziert diese Aussagen unabhängig. Kein zentrales Register abgefragt. Kein Vertrauensvermittler konsultiert.

Die Vertrauensarchitektur hinter diesem System verwendet Decentralized Key Management (DKMS) — ein Designprinzip, bei dem jede Entität ihren eigenen kryptografischen Identifikator beibehält, verankert in einem nur hinzufügbaren Schlüsselereignisprotokoll. Stellen Sie sich vor, Sie setzen die Zertifizierungsstelle an den Rand: Jede Organisation wird zu ihrer eigenen Vertrauensverankerung, und jede Gegenpartei kann dieses Vertrauen überprüfen, indem sie das kryptografische Datensatz direkt liest. Keine gemeinsame CA erforderlich. Keine bilaterale Verhandlung. Kein einzelner Ausfallpunkt.

Das Schlüsselmanagement ist für operative Ausfallsicherheit konzipiert: Wenn ein Schlüssel kompromittiert wird, rotiert die Entität zu vorab zugesagten Ersatzschlüsseln, ohne ihren Identifikator zu ändern. Die Vertrauensbeziehung überlebt Schlüsselkompromittierung — etwas, das traditionelle Zertifikatssysteme nicht können, ohne jedes Credential von Grund auf neu auszustellen.

Was Macht Eine Credential “Verifizierbar”

Das Wort leistet spezifische technische Arbeit. Eine Credential ist verifizierbar, wenn drei Bedingungen erfüllt sind:

  1. Signaturverifizierung. Die kryptografische Signatur des Ausstellers kann gegen einen öffentlichen Schlüssel überprüft werden, dem der Verifizierer vertraut oder den er durch einen vertrauenswürdigen Auflösungsprozess entdecken kann
  2. Manipulationsbeweise. Jede Änderung an der Credential nach der Ausstellung bricht die Signatur — der Verifizierer erkennt sie sofort
  3. Widerrufsprüfung. Der Aussteller kann Widerrufsinformationen veröffentlichen, ohne zu offenbaren, welche spezifischen Credentials widerrufen wurden, und schützt damit die Privatsphäre des Inhabers sogar im Widerrufsprozess

Diese drei Eigenschaften sind das, was eine verifizierbare Credential von einer selbst behaupteten Aussage unterscheidet. Jeder kann einen Jobtitel in eine E-Mail-Signatur setzen. Nur ein vertrauenswürdiger Aussteller kann eine signierte, nicht abzulehnbare Credential erstellen, die eine dritte Partei unabhängig bestätigen kann — und die der Inhaber kontrolliert.

Die Echte Frage

Das Legacy-Modell der digitalen Identität — ein Anbieter hält Ihre Daten, Sie authentifizieren sich bei diesem Anbieter — hat das frühe Internet angemessen unterstützt. Es unterstützt keine Umgebungen, in denen mehrere Institutionen gegenseitig Aussagen über Personen, Rollen und Autorisierungen vertrauen müssen, ohne die Kontrolle an einen gemeinsamen Vermittler abzugeben.

Verifizierbare Credentials stellen eine andere Architektur dar. Identitätsaussagen werden vom Betroffenen gehalten. Ausgestellt von angemessenen Behörden. Verifizierbar durch jede Partei, die diesen Behörden vertraut. Ohne Vermittler. Ohne zentrale Engpässe. Ohne die Datenschutzauswirkungen zentralisierter Datenspeicher.

Die Technologie ist bereitgestellt. Die Standards reifen. Die Produktionszahlen wachsen. Die Frage für jede regulierte Organisation ist nicht mehr, ob verifizierbare Credentials funktionieren — sondern was mit denen geschieht, die warten, während ihre Peers eine Vertrauensinfrastruktur aufbauen, die tatsächlich kryptografische Beweise liefert, anstatt alle zu bitten, einfach ihr Wort dafür zu nehmen.

Weiterlesen

Wie dezentralisierte Vertrauensinfrastruktur in regulierten Sektoren funktioniert
Uncategorized

Wie dezentralisierte Vertrauensinfrastruktur in regulierten Sektoren funktioniert

1961 versammelten sich Diplomaten aus Dutzenden von Ländern im Haag, um ein überraschend hartnäckiges Problem zu lösen: Wie wird ein von Behörden eines Landes ausgestelltes Dokument von Behörden eines anderen Landes als authentisch anerkannt? Die Antwort, die sie produzierten — die Apostille-Konvention — besticht durch ihre Einfachheit. Ein standardisiertes Zertifikat, das dem Dokument beigefügt ist, […]

Weiterlesen →
Warum das Gesundheitswesen eine neue Vertrauensschicht braucht
Uncategorized

Warum das Gesundheitswesen eine neue Vertrauensschicht braucht

Es gibt ein Gedankenexperiment in der Philosophie, das als Schiff des Theseus bekannt ist. Wenn man jede Planke eines Holzschiffs einzeln austauscht — ist es dann noch dasselbe Schiff? Die Gesundheits-IT führt seit drei Jahrzehnten ihr eigenes Experiment durch: analoge Komponenten werden Stück für Stück durch digitale ersetzt, in der Annahme, das zugrundeliegende Vertrauensmodell würde […]

Weiterlesen →
SEAL — die Secure Communication Layer, auf die der US-Markt gewartet hat
Uncategorized

SEAL — die Secure Communication Layer, auf die der US-Markt gewartet hat

“Als Seed-Investor von Vereign AG bin ich sehr stolz und geehrt, die Erreichung eines wichtigen Meilensteins mit dem nationalen Rollout der gesicherten Messaging-Plattform des Schweizer Nationalen Gesundheitssystems zu sehen. Ich habe mich für eine Investition in Vereign entschieden, weil ihr Ansatz eine der komplexesten Herausforderungen löst, denen wir gegenüberstehen: Wie man gesicherte und verifizierte Kommunikation […]

Weiterlesen →

Verifizierte Kommunikation — gebaut und im Einsatz, nicht nur beschrieben.

Die Vertrauensinfrastruktur von Vereign ist im gesamten Schweizer Gesundheitswesen im Einsatz. Buchen Sie einen 30-minütigen Architektur-Review, um zu klären, was souveräne Kommunikation für Ihre Organisation bedeutet.

Architektur-Review buchen
Schweizer Datenschutz DSGVO-konform Open Source AGPLv3+ Schweizer Hosting