o wegenerMay 16, 2022
Lilith Wittmann

Ich beschäftige mich seit einem halben Jahr mit sogenannten "selbstbestimmten digitalen Identitäten" (#SSI). Also einem Verfahren um sich mithilfe einer App auszuweisen.

Das klingt erstmal sehr cool und digital, ist aber leider ziemlich gefährlich. Ich habe mal versucht meine Recherchen zusammenzufassen.
https://lilithwittmann.medium.com/mit-dem-personalausweis-zum-onlineshopping-wie-selbstbestimmt-sind-selbstbestimmte-identit%C3%A4ten-f096a5bdd55a

May 14, 2022 at 11:00amWeb
Show threadAndre C.May 14, 2022
@Lilith Ich habe das mit den ZKP's so verstanden, dass ein Nutzer (N) über eine vertrauenswürdige Authority (A) bestimmte Informationen vertraulich an einen Dienstleiter (D) weitergeben kann. Ich habe das bei einem Forschungsprojekt einmal so umgesetzt, dass N bei A eine UUID erstellen kann, die gewisse Informationen (z.B. Volljährigkeit) bereithält und an D weitergeben kann. D konnte dann 1. bei A die information abfragen und 2. überprüfen ob N wirklich der Aussteller der UUID ist. (1/2)
Show threadAndre C.May 14, 2022
@Lilith Ist das inetwa wie es auch umgesetzt werden soll? Ich denke ein Verfahren, dass weniger Informationen über den Nutzer preisgibt wäre kaum möglich. Könnte man dann nicht nur in den Fällen einen Nutzer eindeutig zuordnen, in denen er bei einem Dienstleister genügend Informationen preisgibt? (2/2)
Show threadLilith WittmannMay 14, 2022
@andrec Gibt drölfzig implementierungen. Naja es gibt zkps ja auch schon ohne jegliche signaturen und uuids.
Im neuen Personalausweis.
Show threadSebastian LasseMay 14, 2022

@Lilith

Ja, gerade schon gelesen. Danke.

Zu “(ZKPs) sind als Konzept zwar viel älter als “Selbstbestimmte Identität”, werden aber von Befürwortern des Konzeptes häufig als Teil davon bezeichnet.”:

Mir ist aufgefallen, daß (leider) inzwischen auch viele “Self Sovereign Identity” mit “Nomadic Identity” gleichsetzen oder verwechseln.

Show thread★totsch★May 14, 2022
@Lilith Wow! Danke.
Show threadAnarchieLebenMay 14, 2022
@Lilith klingt richtig spannend. Danke fürs teilen und bereitstellen.
Show threadSebastianMay 14, 2022
@Lilith
Vor 18 Minuten war dieses Thema noch komplett unter meinem Radar. Vielen Dank für deine Arbeit und diese großartige Zusammenfassung. 😘
Show threadxroMay 15, 2022

@Lilith
Danke für die Recherche. Ja eID klingt erstmal praktisch, muss aber sehr sehr sorgfältig umgesetzt werden.

Was ich bei dir herauslese, ist aber dass die Incentives schon mal komplett falsch verteilt sind. Der Staat kassiert für jede Datenabfrage, sollte gleichzeitig aber auch dafür sorgen dass möglichst wenig Bürgerprivatinfo weitergegeben wird.

Von dem ende von mehreren Accounts gar nicht zu sprechen.

Show threadxroMay 15, 2022
@Lilith
Falls ich mich richtig erinnere an Verhandlungen über eID in AT über die epicenter.works berichtet hat, dort wollte die Regierung ernsthaft umgeschaut das Angebot von Banken und Versicherungen annehmen, die eID für den Staat kostenlos zu entwickeln und auf ihrer Infrastruktur zu betreiben und zu warten. Wo noch dazu jeder Ausweis-check eine online Abfrage gewesen wäre und Ort wie Zeit wie Zweck jeder Überprüfung getrackt worden wäre.
Show threadedhorMay 15, 2022
@Lilith sehr spannend zu lesen. Ich verstehe aber diesen Punkt nicht: „sondern händigt den Ausweis dem Onlineshop aus und der macht eine Kopie davon, von der er beweisen kann, dass sie echt ist.“
Warum wird die Kopie nicht auf meinem Endgerät gemacht und dann an den Onlineshop gesendet? Warum ist der Shop gleichzeitig Notar? Hat das technische Gründe?
Show threadBuntbartMay 15, 2022

@Lilith
Danke für deine Arbeit und die Veröffentlichung!

Ich habe allerdings die Befürchtung, dass das Maß an Komplexität dieser Thematik die meisten Leute überfordert, wenn sie nicht gerade technisch versiert und digitalpolitisch interessiert sind. In meinem Umfeld gibt's davon nur wenige.

Die meisten haben ggü Datenschutzabwägungen derart kapituliert, dass sie jeden Strohhalm ergreifen werden, der im Alltag kurzfristig Erleichterung verspricht.

Show threadt3sseraktMay 15, 2022

@Lilith

Dabei geht es auch anders:

https://git.gnunet.org/bibliography.git/plain/docs/dissens2021.pdf

Im Text steht zwar:

"instead of controlling the subject’s data, IdPs
in SSI are certification bodies that provide attestations for the authenticity of certain
attributes."

Die Problematik dahinter wird aber auch adressiert:

"but such certifications can be socially problematic as they could give too much
power to certification authorities, that might be better vested with legal guardians."

Show threadSteffen VoßMay 15, 2022
@Lilith Super-guter Artikel! Danke!
Show threadK.-H. ZimmerMay 16, 2022

@Lilith Danke für den interessanten und erhellenden Artikel, den ich gerne weiterleite.

Für künftige Werke mein Wunsch:
Bitte nenne unter dem Artikel zusätzlich zu deinem Vorschlag, dir auf Twitter zu folgen, auch die Option, dir auf Mastodon zu folgen. :)

Show threadMartin G.May 16, 2022

@Lilith Bei #App höre ich sowieso meistens auf zu lesen.

#App = meistens auf meinen Endgeräten eh nicht installierbar.

Show threadKlausDec 25, 2022
@Lilith Deine Kritik an SSI ist mir nicht 100% klar bzw. auch nicht die alternative Welt.
Zum einen höre ich durch dass Du die Wallet auf dem Smartphone für angreifbar hälst. Wäre es besser wenn die Daten (verschlüsselt etc.) in der Cloud zu halten?
Show threadKlausDec 25, 2022

@Lilith das andere was ich durchhöre ist das die Anwendungen bzw. Anforderungen so niemals datensparsam würden.

WIe kann es anders gehen? Wenn ich eine Onlinebestellung mache könnte das auch anonym für den Shop erfolgen. Ich muss nur mit dem Shop über den Warenkorb einig sein. Danach bezahle ich und wenn ein Shipper meine Daten für genau diesen Vorgang braucht bekommt nur der diese (wenn ich sie für ihn für diesen Vorgang freigebe).
Das geht über Smart Contracts aber auch klassich.