SSI und OAuth 2.0 & OIDC: Eine verbesserte Identitätslösung (DE)

SSI und zentralisierte SystemeDie Integration von Self-Sovereign Identity (SSI) mit OAuth 2.0 und OIDC verbindet dezentrale Benutzerkontrolle mit etablierter Authentifizierung und schafft so ein leistungsfähiges, hybrides Identitäts-Framework.

Überprüfbare Anmeldeinformationen in der PraxisÜberprüfbare Anmeldeinformationen (VCs), die über SSI ausgestellt werden, können als Nachweis von Attributen (z.B. Alter, Wohnsitz) innerhalb von OIDC-Flows präsentiert werden, wodurch der Datenschutz verbessert wird, indem nur die notwendigen Informationen offengelegt werden.

Technische IntegrationsmusterDie Implementierung beinhaltet die Verwendung von OIDC als Authentifizierungsschicht, während VCs die Attributprüfung bereitstellen, oft vermittelt durch eine Wallet oder einen Agenten, der mit dem OIDC-Anbieter kommuniziert.

Didits Rolle in der hybriden IdentitätDidits KI-native Identitätsplattform mit ihren modularen Lösungen für ID-Verifizierung, Lebenderkennung und Adressnachweis ist ideal positioniert, um die Ausstellung und Verifizierung von Anmeldeinformationen innerhalb eines SSI-erweiterten OIDC-Frameworks zu unterstützen, und bietet kostenloses Core KYC und flexible Integration.

Die Evolution der digitalen Identität: Von zentralisiert zu selbstbestimmt

Die digitale Identität hat sich rasant entwickelt, von einfachen Benutzernamen/Passwort-Kombinationen zu komplexen föderierten Systemen. Obwohl Protokolle wie OAuth 2.0 und OpenID Connect (OIDC) die Authentifizierung und Autorisierung erheblich optimiert haben, basieren sie immer noch weitgehend auf zentralisierten Identitätsanbietern. Dieses Modell ist zwar bequem, konzentriert jedoch Macht und Daten, was es zu einem Ziel für Sicherheitsverletzungen macht und die Kontrolle der Benutzer über ihre persönlichen Informationen einschränkt. Self-Sovereign Identity (SSI) bietet einen Paradigmenwechsel, indem es Einzelpersonen direkte Eigentums- und Kontrollrechte über ihre digitalen Identitäten und Daten durch Verifiable Credentials (VCs) ermöglicht.

SSI ermöglicht es einer Person, ihre Identitätsattribute (z.B. Alter, Adresse, Qualifikationen) als kryptografisch gesicherte VCs zu speichern, die von vertrauenswürdigen Entitäten (Ausstellern) ausgestellt wurden. Diese VCs werden in einer digitalen Wallet gespeichert, die von der Person kontrolliert wird, die sie dann selektiv Prüfern präsentieren kann, ohne sich auf eine zentrale Autorität verlassen zu müssen. Die Herausforderung besteht darin, diesen dezentralisierten, datenschutzorientierten Ansatz mit der weit verbreiteten und robusten Infrastruktur von OAuth 2.0 und OIDC zu integrieren.

Bei dieser Integration geht es nicht darum, OAuth/OIDC zu ersetzen, sondern sie zu erweitern. OAuth 2.0 und OIDC eignen sich hervorragend für die Bereitstellung sicherer Authentifizierungs- und Autorisierungs-Flows. SSI hingegen ist hervorragend geeignet, um überprüfbare, datenschutzfreundliche Nachweise von Attributen zu liefern. Durch die Kombination dieser Stärken können wir ein widerstandsfähigeres, benutzerzentrierteres und sichereres Internet aufbauen.

Die Lücke schließen: Wie OAuth 2.0 und OIDC mit SSI zusammenarbeiten können

Die Integration von SSI mit OAuth 2.0 und OIDC beinhaltet die Nutzung von OIDC für den Authentifizierungs-Handshake, während SSI die überprüfbaren Attribute bereitstellt. Stellen Sie sich ein Szenario vor, in dem ein Benutzer nachweisen muss, dass er über 18 Jahre alt ist, um auf einen altersbeschränkten Dienst zugreifen zu können. Traditionell würde dies bedeuten, einen Führerschein an den Dienstanbieter weiterzugeben, der ihn dann mit einer Datenbank abgleicht. Mit SSI könnte der Benutzer eine 'Alter über 18'-VC, die von einer vertrauenswürdigen Regierungsbehörde ausgestellt wurde, direkt aus seiner digitalen Wallet vorlegen. Der Dienstanbieter, der als OIDC Relying Party fungiert, könnte diese VC dann als Teil des OIDC-Authentifizierungs-Flows anfordern.

Ein gängiges Integrationsmuster beinhaltet einen OIDC-Anbieter, der als Vermittler fungiert. Wenn eine Relying Party bestimmte Ansprüche (Attribute) anfordert, könnte der OIDC-Anbieter, anstatt sie aus seiner eigenen Datenbank abzurufen, den Benutzer auffordern, eine entsprechende VC aus seiner SSI-Wallet vorzulegen. Der OIDC-Anbieter überprüft dann die Authentizität und Gültigkeit der VC (z.B. Aussteller-Signatur, Widerrufsstatus) und extrahiert die notwendigen Ansprüche, um sie der Relying Party im ID-Token oder Userinfo-Endpunkt zurückzugeben. Diese Methode behält den bekannten OIDC-Flow für die Relying Party bei und führt gleichzeitig die Datenschutz- und Überprüfbarkeitsvorteile von SSI ein.

Zum Beispiel könnte Didits Alters-Schätzung-Produkt von einem Aussteller verwendet werden, um das Alter eines Benutzers während der erstmaligen Ausstellung einer altersbezogenen VC zu überprüfen. Dies gewährleistet die Integrität des Nachweises an seiner Quelle. Ebenso stellt die ID-Verifizierung sicher, dass die Identität der Person, die die VC anfordert, vor der Ausstellung genau festgestellt wird.

Praktische Integrationsmuster und Anwendungsfälle

Es entwickeln sich mehrere Muster für diese Integration:

1. OIDC als SSI-Wallet-Schnittstelle: Der OIDC-Anbieter selbst kann die Interaktion mit der SSI-Wallet des Benutzers erleichtern. Wenn eine OIDC Relying Party bestimmte Ansprüche anfordert (z.B. is_over_18, proof_of_address), übersetzt der OIDC-Anbieter dies in eine überprüfbare Präsentationsanfrage an die Wallet des Benutzers. Der Benutzer genehmigt die Präsentation, und der OIDC-Anbieter validiert die VC, bevor er die Ansprüche an die Relying Party liefert.
2. Direkte VC-Präsentation über OIDC: In fortgeschritteneren Szenarien könnte der OIDC-Flow erweitert werden, um eine Verifiable Presentation (VP) direkt vom Benutzer anzufordern. Die OIDC-Parameter scope oder claims könnten den Typ der benötigten VC angeben. Die Wallet des Benutzers würde dann die Erstellung und Signierung der VP erleichtern, die dann zur Überprüfung an die Relying Party zurückgesendet wird.
3. Hybridansatz mit Attribut-Brokern: Ein Attribut-Broker, oft ein anderer OIDC-Anbieter oder ein dedizierter Dienst, könnte zwischen der SSI-Wallet des Benutzers und der Relying Party sitzen. Dieser Broker würde VCs in standardisierte OIDC-Ansprüche umwandeln, was die Integration für bestehende Anwendungen vereinfacht.

Stellen Sie sich ein Finanzinstitut vor, das einen neuen Kunden an Bord nimmt. Anstatt Kopien einer Stromrechnung zu sammeln und zu speichern, könnte das Institut (Relying Party) über einen OIDC-Flow einen 'Adressnachweis'-VC anfordern. Didits Adressnachweis-Lösung könnte vom Versorgungsunternehmen (Aussteller) verwendet werden, um die Adresse zu überprüfen und die VC ursprünglich auszustellen. Das Institut überprüft dann die Authentizität der VC, ohne das zugrunde liegende Dokument speichern zu müssen, was den Datenschutz verbessert und die Datenhaftung reduziert. Zur Betrugsprävention kann Didits Passive & Aktive Lebenderkennung während des anfänglichen Identitätsverifizierungsprozesses bei der Ausstellung einer grundlegenden VC entscheidend sein, um sicherzustellen, dass die Person real und anwesend ist.

Herausforderungen und der Weg nach vorn

Obwohl die Vorteile klar sind, birgt die Integration von SSI mit OAuth/OIDC Herausforderungen. Dazu gehören die Etablierung von Vertrauensrahmen für VC-Aussteller, die Standardisierung von VC-Formaten und Präsentationsaustauschprotokollen sowie die Gewährleistung einer nahtlosen Benutzererfahrung für die Verwaltung digitaler Wallets und die Genehmigung von Präsentationen. Die Interoperabilität zwischen verschiedenen SSI-Ökosystemen und OIDC-Anbietern ist entscheidend für eine breite Akzeptanz.

Der Weg nach vorn beinhaltet die fortgesetzte Zusammenarbeit zwischen Standardisierungsgremien, Identitätsanbietern und Technologieanbietern. Die Konzentration auf entwicklerfreundliche Tools und APIs wird die Akzeptanz beschleunigen. Da SSI an Bedeutung gewinnt, wird die Fähigkeit zur nahtlosen Integration mit etablierten Identitätsinfrastrukturen von größter Bedeutung sein. Didits KI-native, modulare Architektur ist darauf ausgelegt, sich an diese sich entwickelnden Identitätsparadigmen anzupassen und flexible Bausteine für eine robuste Verifizierung bereitzustellen.

Wie Didit hilft

Didit ist führend beim Aufbau der offenen, modularen Identitätsschicht für das moderne Internet und somit ein idealer Partner für die Implementierung von SSI-erweiterten Identitätslösungen. Unsere KI-native Plattform bietet eine Suite von zusammensetzbaren Identitäts-Primitiven, die sowohl als Aussteller als auch als Prüfer innerhalb eines SSI-OIDC-Frameworks dienen können. Zum Beispiel können Didits ID-Verifizierung (OCR, MRZ, Barcodes) und NFC-Verifizierung-Funktionen von Ausstellern genutzt werden, um die physischen Dokumente einer Person mit hoher Sicherheit zu überprüfen, bevor eine Verifiable Credential ausgestellt wird. Unsere Passive & Aktive Lebenderkennung stellt sicher, dass die Person, die den Nachweis anfordert, real und anwesend ist, und bekämpft Deepfakes und Spoofing-Versuche am Ausstellungsort.

Darüber hinaus kann Didits AML-Screening & -Überwachung in den Prozess der Nachweisausstellung integriert werden, um die Einhaltung der Vorschriften zu gewährleisten, während der Adressnachweis Wohnsitzansprüche überprüft. Für Prüfer, die SSI-erweiterte OIDC-Ansprüche konsumieren, kann Didit als robustes Backend fungieren, um Attribute abzugleichen oder bei Bedarf zusätzliche Prüfungen durchzuführen. Unsere modulare Architektur bedeutet, dass Sie genau die Komponenten auswählen können, die Sie benötigen, ohne in aufgeblähte Pakete gezwungen zu werden. Mit kostenlosem Core KYC und ohne Einrichtungsgebühren ermöglicht Didit Unternehmen, ihre Identitätslösungen effektiv zu experimentieren und zu skalieren, um sicherzustellen, dass sie für die Zukunft der dezentralen und überprüfbaren Identität gerüstet sind.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Holen Sie sich noch heute eine kostenlose Demo.

Beginnen Sie kostenlos mit der Überprüfung von Identitäten mit Didits kostenlosem Tarif.