 So, danke, dass alle hier so früh sind im Kongress. Ich hatte die Chance, mein Security-Checkpoint heute früh durchzumachen und konnte dann in die C3-Wald reinkommen. So, diesmal geht es um Identitäten, irgendwo durchzukommen, irgendwo reinzukommen, sich zu authentisieren. Und bei diesem Projekt Hartmut geht es darum, wie man das in der digitalen Welt lösen kann, dieses Problem. Und so ein Armbändchen funktioniert in einer digitalen Welt vielleicht nicht so gut. Deswegen werde ich jetzt gleich an Hartmut weitergeben. Wir kommen zu SSE in Hamburg und hallo Remote-Cast-Experience. Ich bin Hartmut und zusammen mit einer anderen Person haben wir uns selbstbestellte Identitäten mal angeguckt von einer Nutzerperspektive und dann haben wir uns aber auch noch mal ein paar Aspekte davon angeguckt, wie was wirklich passieren muss, um das zu implementieren. So, bevor ich jetzt mal die Konsequenzen von SSE in der Nutzung angucke, gucken wir uns jetzt mal genauer an, was SSE ist. So richtig ist es noch nicht eine Technologie, die wirklich schon funktioniert. Es gibt so ein paar erste Implementierungen. Es ist mehr so ein Set von Standards. Ich sage das jetzt erstmal so, am Ende von 2020, da gibt es aber eine Menge Bewegung in der EU und der europäischen Regierung, Mechanismen, die SSE ähnlich sind zu bearbeiten. So, da gibt es jetzt zwei Standards, die auch unabhängig voneinander benutzt werden können. Es gibt den dezentralisierten Identifikator und zweitens die verifizibaren Kredenzialien. Und zusammen sind die ein sicheres und privatsphärefokussierter Autorisierungsmechanismus. So, dieses DID, das ist eine Adresse, so ähnlich wie eine UI, und wird erstellt mit einer DID-Methode, wo dann ich nochmal einen anderen Talk-Tour machen kann. Das wird aufgelöst und dann empfangen und ist quasi ein Speicher für alles, was mit deiner Identität zu tun hat. Und das kann zum Beispiel ein JSON-Dokument sein oder kann in einem anderen Dokument referenziert sein. Dieses Dokument ist genau genommen von einem DID-Kontroller verwaltet und das steht alles in der Spezifikation. Deswegen werde ich das jetzt hier mal vereinfachen und sagen, es ist nicht falsch zu denken, dass eine DID quasi dein Portemonnaie ist für deine ganzen Identitäten. Und da sieht man jetzt eine Menge Sachen. Und dieses VC ist quasi eine Verrefizierungsmethode, die ist signiert mit einem externen Schlüssel und das kann von einer verschiedenen Informationsquelle kommen. Das kann von einer Bank kommen, das kann von Führerschein sein oder die Mitgliedschaft im Lieblingsclub. Das Wichtigste ist, dass sie benutzt werden können wie eine Mitgliedskarte. Man braucht nicht die Zustimmung der Autorisierungsquelle, um das zu benutzen können als Autorisierung bei einer anderen Quelle. Und man kann da spannende Sachen machen mit nur teilweise Informationen und Beweisen mit null Vorwissen. Da müssen wir jetzt zwischen zwei Szenarien unterscheiden. Das eine, was man meistens findet, wenn man SSI sucht, ist, dass man SSI benutzt, um eine bestimmte Person zu verrefizieren. Da ist zum Beispiel etwas, was abhängig ist von dem eigenen Portemonnaie. Und diese VCs, die können beschrieben wie zum Beispiel die Siegel, die ich bekommen habe, Dinge, die ich geschafft habe, wie zum Beispiel einen Abschluss bekommen oder an einer Konferenz teilnehmen. Oder zweimal einen Berg hoch in einer bestimmten Zeit. So, dann gibt es die Schlüssel, die gesammelt wurden. Das sind Schlüssel, die Informationen entschlüsseln, auf die ich Zugriff habe. Und das können zum Beispiel Dinge, mit denen ich mit meinem Fitness-Armband gemacht habe oder Schlüssel zu meinem Auto. Und dann, letztendlich gibt es die Mächte, die mir zugeteilt wurden. Also zum Beispiel die Erlaubnis, in einem bestimmten Ort zu parken oder einen Bus fahren zu dürfen oder an einem Konzert teilnehmen zu dürfen. So, das weniger Bekannte ist zum Beispiel die Idee von Dingen zu verwalten. Zum Beispiel der Sticker auf einer Venturescheibe oder um ein Auto zu identifizieren. Ein VC sind dann die Daten, die zur Interaktion benötigt werden. Ein Auto kann zum Beispiel den aktuellen Batteriezustand und die Modellnummer zur Verfügung stellen oder zum Beispiel wie ein Lutzand das wieder aufladen kann. Aber das Tolle ist, man braucht nicht wirklich die Bank, die dann sagt, dass man finanzielle Daten hat und was sie sind. Die Bank muss das nicht mehr zeigen. Wir müssen nicht mehr zeigen, dass wir diese Erlaubnis haben. Und zuletzt können wir noch Daten speichern über die Geschichte der Interaktion, das Archiv. So, was bedeutet das jetzt für eine echte Applikation für uns? Es ist essentiell sehr machtvoll. Wir haben das in einem EMW-Projekt einmal gemacht. Da gibt es einen Link in den Kommentaren. Und ich werde hier einmal die Ergebnisse davon zeigen. Wenn man zum Beispiel die Mobilität anguckt und vor allem auch geteilte Mobilität, also zum Beispiel die öffentlichen Verkehrsmittel und alles, was man benutzt und aber nicht besitzt, dann gibt es unterschiedliche Arten, die zu benutzen. So, zum Beispiel, wenn man jetzt gerade nicht das nächste geteilte Fahrzeug sieht, dann muss man erstmal verstehen, was für Optionen es überhaupt gibt. Das nennt sich die Entdeckung. Danach ist es relativ einfach, man bucht und dann benutzt man. Und ziemlich häufig ist es sogar noch simpler. Man hat schon einen Plan, wo man hin will. Man bucht ein Fahrzeug und man benutzt das. Vielleicht weiß man noch nicht, was man später am Tag macht, aber das folgt dann einfach dem gleichen Mechanismus. Man bucht es, man nutzt es. Es ist essentiell bedeutet, dass die intermodale Mobilität, dass das Nutzen von verschiedenen Mechanismen in einem städtlichen Umgebung klingt kompliziert, aber ist eigentlich ziemlich einfach herzustellen mit Google Maps und SSI. SSI wird benutzt, um die Erlaubnis zu erhalten und zu beweisen, dass man sie hat. Und ja, natürlich gibt es da auch Uber, die halt riesige Systeme bauen, um deine Daten zu sammeln, aber das ist absolut nicht nötig. Man muss eigentlich nur die Informationen teilen mit den Serviceprovidern, die man benutzt und auch nur die Daten, die benötigt werden für diesen Service. Man muss nicht zeigen, wo man gerade ist und den aktuellen Location-Preis geben. Wenn man jetzt hier alle Diskussionen in Hamburg gefolgt hat, dann ändert sich die Mobilität auch. Und in Hamburg gibt es eine Behörde für Verkehr und Mobilität. Zwende, die wird will einiges ändern. Ob die Zwerden da nicht schnell weggehen, aber insbesondere geht es darum, die Nutzung zu verbessern und Kontrolle zu erlangen. Der Landesbetriebsverkehr ist dafür verantwortlich, ich nur einige Straßen zu schließen, sondern auch den Verkehr zu verwalten im Allgemeinen. Obwohl, wenn man jetzt eine Identifikation, eine digitale für Autos haben will, dann braucht man eine digitale Registration. Und da gibt es so ein paar Ideen, wo man quasi extra keine Papiere mehr braucht, wenn man eine digitale ID gibt. Und mit dieser digitalen ID und der digitalen Beweis, wo man lebt, kann einem Auto quasi die Erlaubnis geben werden, irgendwo zu parken in bestimmten Orten oder sowas. Oder wenn man nach dem Corona vorbei ist, mal einen Freund einlädt, dann kann man die temporären Erlaubnisse einfach an diese Person weitergeben. Wenn man einen Klempner braucht, dann kann weniger eine digitale Beweis über die Buchung darstellen, der dem Klempner erlaubt, an dem Auto zu parken. Das heißt, diese Zugriffskontrolle muss nicht ein zentralen Identifikationsservice haben, sondern das minimiert dann die Notwendigkeit dafür, die eigenen Daten zu teilen. Zum Beispiel Zugriff auf Parkplätze, Zugriff auf beschränkte Gegenden und alles sowas kann damit gemacht werden. Vielleicht sieht man jetzt schon, wie das das Potenzial hat, die Art, wie wir mit Services interagieren, zu ändern. Und der Schlüssel hier ist Dezentralisierung. Mit SSI können wir das Timing von dem Erhalten und dem Prüfen von rechten Entkuppeln und können unabhängig prüfen, ob ein Auto richtig geparkt ist und ob jemand mit dem Bus fahren darf. Es gibt außerdem die Daten zurück an die Individuen und es vereinfacht die Integration von Systemen. Es ist jetzt die Nutzerin, die entscheiden können, wo sie mit wem Datenteil. Warum haben wir das aber noch nicht? Das Problem ist nicht, dass es nicht möglich ist. Das Problem ist eher, dass die meisten Vorteile hier für den Nutzer sind und solange es also keine Nutzer gibt, werden keine Services das einfügen. Und natürlich ohne Services bleiben wieder keine Nutzer. Wir glauben, dass es eine gute Chance gibt, dass SSI noch zu etwas führen wird. Es gibt eine große Nachfrage in der EU und unter deutschen Regierungen nach solchen Services und solchen Systemen. Und wenn hier Leute eine Idee haben, wie man die Privatsphäre verbessern kann und wie man SSI eine richtige Lösung machen kann, starten wir eine Idee. Danke fürs Zuhören erst mal. Ich hoffe, ihr habt das gehört und ich freue mich auf eure Werte und Antworten. So, willkommen zurück von diesem Video von HardMood über, wie man sich authentisiert mit digitalen Identitäten. Es gibt noch keine Fragen, die gestellt wurden. Wir laden euch alle ein, in den Hacken zu kommen und Fragen über dieses Projekt zu stellen. Unser Signalengel wartet schon auf eure Frage. Ihr habt auch die Möglichkeit, noch vielleicht Twitter zu benutzen und andere Feedbackoptionen. HardMood, du hast dieses Projekt hier in Hamburg gemacht. Was war der Vorteil davon, es hier in der tollen Stadt zu machen? Der Grund dafür, es in Hamburg zu machen, war, dass zum einen das Projekt, da ging es darum, Echtwelt-Applikationen zu finden. Das ist sehr schwierig auf einer globalen oder EU-weiten Skala. Also haben wir es sehr lokal gemacht. Und der andere Aspekt ist, dass wir in Hamburg eine Menge Projekte haben im Moment, die im Mobilitätsbereich, die noch laufen, und dachten, dass Mobilität dafür eigentlich ein ziemlich guter Startpunkt ist, um digitale Identitäten und so was auszuprobieren. Also, ja, da ist nicht ganz so sicher, wie wenn man jetzt in sowas wie dem Bankwesen anfängt, aber es ist eine sehr häufig genutzte Anwendung. Und ja, genau um sowas zu etablieren, muss es halt auch genutzt werden. Und wenn man es in der Transportation nutzen kann, in Mobilität, dann wird die Technologie dadurch auf jeden Fall geboostet. Das war so die Idee, dass wir damit in Hamburg ausprobieren und das zusammen mit der Stadt machen. Das war es, was wir tatsächlich auch bestätigen konnten im Nachhinein. Wir haben das jetzt nah zusammengearbeitet mit dem LBV und dem HVV und dem Hasbar, um zu identifizieren, wie wir da Menschen erreichen können und in einfacher Service das zur Verfügung stellen. Okay, ich habe eine Frage hier gerade reinkommt. Ich sehe nicht so richtig, wie sich das unterscheidet von dem, was David Chom in den 90s gemacht hat. Ich weiß nicht, was David Chom in den 90s gemacht hat. Vielleicht kann die Person, die das gefragt hat, das noch erklären. Das, was hier neu ist, ist, dass die Standards, die entwickelt sind, die werden entwickeln in etwas, was in der echten Welt genutzt werden kann. SSI ist im Moment nur ein Standard vom World Wide Web Consortium. Aber es gibt da mehrere Gruppen und wir sind nur eins von einigen Gruppen und Projekten, die das als technische Standard benutzen. Und es gibt da etwas, was halt nicht zum Beispiel OpenID ist, was eine federierte ID ist, sondern es ist eine wirklich dezentralisierte ID und eine ID, die auch gepusht wird von der deutschen Regierung. Und das ist eine neue Situation. Das bedeutet nicht, dass die Technologie mega neu ist. Also ein großer Teil von SSI ist die Kryptografie mit öffentlichen Schlüsseln. Aber die Art, wie wir es jetzt benutzen, ist etwas, wo wir den Eindruck haben, dass es noch nicht bisher passiert ist. Great. So, da gibt es eine weitere Frage noch über die Sicherheit von diesem System. Was stoppt ein Service Provider daran, meine Daten zu speichern, die vom VC angeboten werden und sie dann zu missbrauchen. Ist das außerhalb meiner Kontrolle im SSI-System? Na ja, die fundamentale Änderung im SSI-System ist, dass du als erstes Kontrolle über deine Daten hast und mit wem man sie teilt. Und dann, wenn man sie geteilt hat, kommt das natürlich auf die Temps of Service, auf die Nutzungsbedingungen an. Wenn zum Beispiel der Mobilitätsprovider, dann braucht sich kein Zugriff auf diese Daten. Also gibt es nicht wirklich einen Grund, für sie zu speichern. Also sie müssen es nicht speichern. Und das kommt natürlich wieder sehr auf die Regulationen an. Wenn es da zum Beispiel eine DSGVO-artige Regulation gäbe, die es wirklich schwierig macht und teuer macht für Provider solche Daten zu speichern. Moment, ist es halt so, dass die Daten zu speichern ist für Leute immer noch wesentlich profitabler, als sie nicht zu speichern. Und das heißt, für einfache Nutzungsanwendung ist es halt so, dass es Leuten einfacher macht, weniger Daten zu benutzen. Das ist was, wo wir glauben, dass große Serviceprovider, wie zum Beispiel zero auf, da sehen wir das schon, dass das einfach weniger Daten gespeichert werden und dass wir das auch mit weiteren Arten von Daten sehen können. Wie macht man das, Leute, sich sicherfühlen mit SSI? Wie macht man das? Also es ist zum Beispiel die privaten Daten, die da reinfließen in die Identität. Naja, da gibt es zwei Probleme. Das eine ist, sich wirklich sicherfühlen und das andere ist, die ganzen Services immer noch in einer angenehmen Weise nutzen. Wenn wir zum Beispiel mit den Bürgern von Hamburg sprechen, dann ist zum Beispiel das, worüber man, wenn man so einmal anfängt, darüber zu sprechen, dann gibt es wirklich einen großen Willen dazu, die eigenen Daten zu schützen. Ein gutes Beispiel dafür ist die deutsche Covid-App, die verhältnismäßig sicher ist, aber eine Menge der Diskussionen darüber, wie dieser App Daten teilt und dann einen Moment, nach dem es diskutiert wurde, dass es sowohl gehen Leute online und bestellende Pizza mit irgendeinem Provider, der jede Menge Daten schweichert und nichts zurückkippt. In unserem Konzept davon, was wir hatten, was wir definieren mussten, wo ist dieser beste Punkt dazwischen, etwas super komfortabel zu machen und etwas super sicher zu machen? Wenn man da so was guckt, wie zum Beispiel, wo werden jetzt die Daten gespeichert? Wenn du dir wirklich eine Menge Sorgen machst darüber und SSI soll dir natürlich erlauben, dass du deinen eigenen Service-Provider oder deinen eigenen Hardware-Store haben kannst, um deine Daten zu speichern. Wenn man sich die Bürger von Hamburg anguckt, wird man wahrscheinlich nicht viele Leute finden, die das machen würden. Das heißt, man braucht wahrscheinlich irgendwelche Provider, denen vertraut wird, wo wir zum Beispiel die Verkasse arbeiten. Da gibt es aber auch Leute, die vielleicht gar nicht so interessiert daran sind, um diese Daten zu nehmen und zu nutzen und zu monetarisieren. Man kann diesen Leuten eventuell trauen, deine Daten zu verwalten. Die nächste Frage ist dann, wo zeigt man, welche Daten man jetzt teilt? Da sind wir noch nicht an einem Punkt, wo wir das definieren können, aber das, worüber wir nachgedacht haben, ist, dass es da ein ziemlich gutes Modell gibt, damit, wie Apps auf Handys installiert werden, das fast Leute schon kennen. Also, wie bei anderen Projekten haben, sind wir, glaube ich, den ähnlichen Fahrt gegangen und haben gesagt, wenn es eine Anfrage nach Daten gibt, dann wird das auftauchen, so ziemlich ähnlich wie jemand, der bestimmte Daten an von dir lesen will. Und wenn wir das weitermachen wollen, dann braucht man natürlich einen Komfortabilitätsfaktor, dass wenn was immer wieder angefragt wird, dann will man vielleicht so was haben, was man wiederholen kann, wo klar ist, ah, okay, das ist was, was wir schon kennen und das ist was, was normal ist. Und dann, wenn etwas kommt, was ungewöhnlich ist, dass das was ist, was mit mehr Detail gezeigt wird. Könntest du mehr darüber erzählen, wie die Dezentralisierung von dem ganzen Ding funktioniert? Ja, in vielen Arten. Das Wichtigste ist die Idee von wo, wo liegt das Kredenzial? Die meisten Zugriffskontrollen, das muss in der digitalen Welt, brauchen quasi, dass man zu einer vertrauten Quelle geht und ihr sie nach Informationen fragt. Also, wenn ich mich einloggen will, sagen wir zum Beispiel bei einer bestimmten, mit einer Badge oder sowas, wenn ich nachgucken will, ob deine Badge jetzt echt ist, dann gehe ich zu der Badge hersteller und frage die. Und mit SSI ist es nicht mehr nötig, weil die Badge ist signiert und diese Signatur kann verifiziert werden. Das heißt, ich brauche nicht mehr die Person, die die Badge ausgehändigt hat, sondern ich kann einfach die Badge angucken und entscheiden, ob sie legitim ist. Und wenn sie legitim ist, dann kann ich dem entscheiden, dir zu trauen. Und ich kann auch weitere Mechanisten benutzen und zu gucken, ob sie immer noch gültig ist. Zum Beispiel Ablaufdaten von, zum Beispiel, einem Führerschein, bei so Dingen wie, ja, und zum Beispiel auch, wenn die Regierung zum Beispiel den Führerschein weggenommen hat. Aber die Existenz des Dokuments ist genug, um zu verifizieren, dass es echt ist. Und das ist eine wichtige Komponente der Dezentralisierung. Und da sehen wir jetzt zum Beispiel auch, dass, wenn wir zurückgehen zu den Object-IDs, ein selbstfahrendes Auto kann alle nötigen Informationen für die Interaktion mit Service das einfach in sich haben. Und es gibt nicht den Grund für das Internet. Es kann alles direkt auf der Edge gemacht werden, also in lokaler Kommunikation. Das ist auch was, was erlaubt wird hier durch. So, es gibt hier jetzt noch ein weiteres Kommentar zu diesen David Shonding, der hat Straßenpreise und Dezentralisierung von solchen Sachen für die holländische Regierung gemacht. Das klingt ziemlich ähnlich. Ja, ich werde das mir auf jeden Fall mal angucken. Und wir haben natürlich auch nicht alles selber gemacht in diesem Projekt. Was wir benutzen ist, dass dieses SSI-Identifikationsblatt, da gibt es bereits ein Projekt im HVV, was sich damit beschäftigt, basierend auf den aktuellen Lutzungsschemata darstellt. Also so, dass zum Beispiel, wenn du die S-Panzon so und so benutzt hast, dass die automatischen Tagesticket gekauft wird und nicht individuelle Einsteltickets. Die aktuelle Lösung ist der davon abhängig von Daten. Einfach, dass viele Daten gesammelt werden und geschweichert werden und auch nicht weggeworfen werden und die würden quasi eine lange Zeit beim HVV bleiben. Und das heißt, wir haben dieses aktuelle System in diesem Plan genommen und haben ihn einfach geändert auf eine Art, der etwas datenfreundlicher ist. So, letzte Frage jetzt. Siehst du einen... Glaubst du, dass es nötig ist, dass dafür reguliert werden muss, damit solche Technologie für uns nützlich wird? Ja, solange es da keine Regulationen gibt, ist die Chance, dass so etwas wie das hier erfolgreich wird, ist ziemlich gering. Aber es bedeutet nicht, dass alles reguliert werden muss. Ich glaube, das Wichtige ist, dass Leute anfangen, ein System zu benutzen. Und wenn es dann vorhanden ist und eine gewisse Nutzerbasis existiert, dann wird es auch kommerziell legitimist zu benutzen. Und als ein Startding, das ist vielleicht was wie so... kommunale Services, wenn z.B. alle Städte in ganz Deutschland jetzt irgendwie entscheiden, dass ihre Services nur von einem sicheren Identitätssystem verfügbar sind, dann würde das auf jeden Fall bedeuten, dass jeder ein digitales Identifikationssystem hat, das sie benutzen können. Und das wäre schon mal ein guter Start. Copyright WDR 2021