Was ist eine dezentrale Identität (DID)? (Benutzerdatenschutz)

Definition und Kernarchitektur

1. Eine dezentrale Identität (DID) ist eine weltweit eindeutige Kennung, die nicht bei einer zentralen Behörde registriert ist oder von dieser kontrolliert wird. Es folgt dem Format did:method:identifier , beispielsweise did:ethr:0xabc123... , und wird in ein DID-Dokument aufgelöst, das öffentliche Schlüssel, Authentifizierungsmethoden und Dienstendpunkte enthält.

2. Das DID-Dokument ist in einem Distributed Ledger oder einem Peer-to-Peer-Netzwerk wie IPFS verankert und gewährleistet so Unveränderlichkeit und Überprüfbarkeit ohne Abhängigkeit von Vermittlern.

3. Eigentum und Kontrolle liegen über kryptografische Schlüsselpaare vollständig beim Benutzer – private Schlüssel verlassen niemals lokale Geräte und öffentliche Schlüssel werden nur veröffentlicht, wenn dies zur Überprüfung erforderlich ist.

4. Im Gegensatz zu herkömmlichen PKI-Zertifikaten, die von Zertifizierungsstellen ausgestellt werden, eliminieren DIDs Single Points of Failure und reduzieren systemische Vertrauensabhängigkeiten in der gesamten Web3-Infrastruktur.

5. Jeder DID fungiert als Vertrauensbasis für eine selbstsouveräne Identität und ermöglicht es Benutzern, Anmeldeinformationen auszustellen, zu halten und vorzulegen, ohne zugrunde liegende Rohdaten preiszugeben.

Datenschutzmechanismen in der Praxis

1. Zero-Knowledge-Proofs (ZKPs) ermöglichen es Benutzern, Aussagen über ihre Identitätsmerkmale – wie etwa Alter über 18 Jahre oder Staatsbürgerschaftsstatus – nachzuweisen, ohne das tatsächliche Geburtsdatum oder die Passnummer preiszugeben.

2. Selektive Offenlegung ermöglicht granulares Teilen: Ein Wallet kann nur die Berechtigung eines „akkreditierten Anlegers“ für ein DeFi-Protokoll enthalten, während der Bildungshintergrund oder die Beschäftigungshistorie geheim gehalten werden.

3. Der Widerruf von Anmeldeinformationen erfolgt außerhalb der Kette oder über Blockchain-basierte Statuslisten, wodurch eine dauerhafte Offenlegung gefährdeter oder veralteter Ansprüche verhindert wird.

4. Die lokale Schlüsselspeicherung in sicheren Enklaven oder Hardware-Wallets stellt sicher, dass private Schlüssel für dApps, Börsen oder sogar Prozesse auf Betriebssystemebene unzugänglich bleiben.

5. Verschlüsselungsebenen, die auf gespeicherte überprüfbare Anmeldeinformationen angewendet werden, verhindern den Verlust von Metadaten während der Übertragung oder Synchronisierung zwischen Geräten.

Integration mit On-Chain-Finanzsystemen

1. DID-basierte KYC-Workflows ermöglichen es Benutzern, behördliche Prüfungen einmal durchzuführen und verifizierte Anmeldeinformationen über mehrere DeFi-Protokolle, NFT-Marktplätze und DAO-Governance-Plattformen hinweg wiederzuverwenden.

2. Die JSON-RPC-Schnittstellen von Ethereum unterstützen DID-Resolver-Aufrufe direkt aus Smart Contracts und ermöglichen so automatisierte, vertrauensminimierte Berechtigungsprüfungen vor der Kreditauszahlung oder der Beteiligung.

3. Verkettete Reputationswerte, die aus DID-verankerten Transaktionsverläufen abgeleitet werden, können in unterbesicherte Kreditvergabemodelle einfließen, ohne dass die vollständige Adressaktivität offengelegt wird.

4. Cross-Chain-Bridges verwenden DID-Bescheinigungen, um den Besitz von Wallets über Ökosysteme hinweg zu validieren und so das Phishing-Risiko zu reduzieren, das mit der wiederholten Eingabe von Seed-Phrasen verbunden ist.

5. Token-Gate-Communities erzwingen Mitgliedschaftsregeln mithilfe von DID-verifizierten Anmeldeinformationen anstelle einfacher Wallet-Guthaben, was die Barrieren gegen Sybil-Angriffe erhöht.

Operationelle Risiken und Abhilfemaßnahmen

1. Der Schlüsselverlust bleibt irreversibel – in reinen DID-Systemen gibt es keine Wiederherstellungsphrasen oder zentralen Reset-Mechanismen, sodass die volle Betriebsverantwortung den Endbenutzern übertragen wird.

2. Phishing-resistente Authentifizierungsabläufe erfordern die Integration mit WebAuthn-kompatiblen Browsern und Hardware-Sicherheitsmodulen, wodurch die Zugänglichkeit für technisch nicht versierte Teilnehmer eingeschränkt wird.

3. Die On-Chain-Verankerung von DID-Metadaten wirft Bedenken hinsichtlich der Dauerhaftigkeit auf; DSGVO-konforme Löschanfragen können unveränderliche Ledgereinträge nicht löschen, was Verschleierungsstrategien außerhalb der Kette erforderlich macht.

4. Böswillige Emittenten können betrügerische überprüfbare Anmeldeinformationen generieren. Die Verifizierungslogik muss die Überprüfung des Aussteller-Widerrufs und die Validierung der kryptografischen Signatur zur Laufzeit umfassen.

5. Zwischen den DID-Methoden – did:key , did:ethr und did:pkh – bestehen weiterhin Interoperabilitätslücken, die protokollspezifische Resolver-Implementierungen erfordern und den Integrationsaufwand für Wallet-Anbieter erhöhen.

Häufig gestellte Fragen

F1: Kann eine DID mit einem echten Namen verknüpft werden? Ja, aber nur, wenn der Benutzer dies freiwillig über einen überprüfbaren Berechtigungsnachweis offenlegt, der von einer autorisierten Stelle wie einer Regierungsbehörde oder einem lizenzierten KYC-Anbieter ausgestellt wurde.

F2: Zeigen Block-Explorer DID-bezogene Aktivitäten an? Nein, Standard-Block-Explorer zeigen nur Transaktions-Hashes und -Adressen an – keine DID-Dokumente oder Anmeldeinformationspräsentationen – es sei denn, sie werden explizit von speziellen identitätsbewussten Tools indiziert.

F3: Ist es möglich, den mit einer DID verknüpften öffentlichen Schlüssel zu ändern? Ja, durch DID-Dokumentaktualisierungen, die mit dem privaten Schlüssel des aktuellen Controllers signiert wurden, vorausgesetzt, die Methode unterstützt die Schlüsselrotation und der Resolver erkennt das neue Signaturschema.

F4: Wie verifizieren dApps eine DID, ohne die Privatsphäre zu gefährden? dApps fragen dezentrale Resolver ab, um die öffentlichen Schlüssel des DID-Dokuments abzurufen, und validieren dann kryptografische Signaturen auf den vorgelegten Anmeldeinformationen – es werden keine persönlichen Daten an die Anwendung übertragen oder von dieser gespeichert.