Verifiable Credentials: De digitale toekomst van certificaten en identiteit

Deze bijdrage werd ingezonden door Fabien A. P. Petitcolas van Smals. Omwille van het relevante perspectief en de actualiteit van het onderwerp publiceert de redactie ze integraal op ITdaily.

Fysieke certificaten, zoals een rijbewijs, universitaire diploma’s, de Europese ziekteverzekeringskaart (EZVK), of het A1-attest voor werken in het buitenland (PD A1), en meer in het algemeen belangrijke “papieren” documenten, hebben verschillende nadelen. Ze zijn onderhevig aan verlies, diefstal, beschadiging of onbevoegde duplicatie, en ze bieden niet gemakkelijk de mogelijkheid om gegevens te minimaliseren zoals vereist door de General Data Protection Regulation (GDPR) van de Europese Unie.

Verifiable credentials (VC – “verifieerbare attesteringen”) zijn digitale en cryptografisch beveiligde versies van fysieke certificaten die digitaal iets over een persoon kunnen bewijzen, zoals zijn of haar identiteit, een behaalde kwalificatie, een recht of specifieke feitelijke informatie, terwijl de vrijgegeven informatie tot een minimum wordt beperkt¹.

Deze verifiable credentials worden gedefinieerd als een reeks van een of meer claims door een uitgevende instelling. Net als fysieke certificaten kunnen deze verifiable credentials het volgende bevatten:

Informatie met betrekking tot de identificatie van het onderwerp (bijv. persoon, organisatie, object) van de verifiable credentials (bijv. naam, foto, identificatienummer)
Informatie met betrekking tot de uitgever van de attestering (bv. overheid, authentieke bron, gemeenten)
Informatie met betrekking tot de soort attestering in kwestie (bijv. verzekeringskaart, invaliditeitskaart, paspoort, identiteitskaart)
Informatie met betrekking tot specifieke kenmerken of eigenschappen die de uitgever stelt over de betrokkene (bijv. geboortedatum, recht op sociale zekerheid, nationaliteit)
Bewijs van de manier waarop de verifiable credential is gecreëerd (bijv. vernieuwing van een eerdere attestering, fysieke aanwezigheid van een burger in een administratiekantoor)
Informatie over de beperkingen die van toepassing zijn op de verifiable credential (bv. geldigheidsduur van de attestering)

De belangrijkste spelers die betrokken zijn bij een architectuur voor verifiable credentials worden in Figuur 1 beschreven en omvatten:

Onderwerp: entiteit waarover claims worden gemaakt (bijv. persoon, organisatie, dier, levenloos voorwerp).
Houder: de entiteit die op dat moment de virtuele waarde bezit en deze aan de controleur presenteert. Dit kan de betrokkene zijn, maar ook een andere bevoegde natuurlijke of rechtspersoon.
Uitgever: entiteit die aanspraken maakt op een of meer onderwerpen door een verifiable credential te creëren op basis van deze aanspraken (bijv. een instelling die verantwoordelijk is voor de coördinatie van de sociale zekerheid).
Controleur/verificateur: een entiteit die verifiable credentials ontvangt van de houder door middel van een indiening en in ruil daarvoor diensten en voordelen verleent².
E-portemonnee: entiteit die de verifiable credentials van een houder opslaat, met inbegrip van de software die namens de houder interageert met het ecosysteem.
Verifieerbaar gegevensregister: conceptueel een via het internet toegankelijk register dat alle essentiële gegevens en metadata bevat die andere spelers in staat stellen om te interageren.

*Figuur 1 – De rollen en informatiestromen die de basis vormen van een architectuur voor verifiable credentials*

De houder van een verifiable credential kan het tonen aan een controleur, die de authenticiteit van de accreditatie en de identiteit van de houder kan verifiëren. Het proces van de uitgifte van een verifiable credential omvat het koppelen van een claim van de uitgever over een onderwerp aan de identifier van het onderwerp met behulp van cryptografisch bewijs. Het is deze koppeling die het mogelijk maakt subsets van verschillende attesteringen te combineren (zie hieronder). Eenmaal uitgegeven, kan een verifiable credential voor langere tijd worden bewaard en voor meerdere doeleinden en op meerdere manieren worden aangeboden.

Vrijgeven van identiteitsattributen

Het vrijgeven van attributen levert over het algemeen vertrouwelijkheidsproblemen op. Dit is het geval in systemen waar een online identiteitsprovider op aanvraag toegangstokens creëert. In dergelijke systemen kan de identiteitsprovider de activiteiten van zijn gebruikers volgen of, erger nog, zich hun identiteit toe-eigenen. Dit is ook het geval bij systemen die offline tokens aanmaken (bijv. X509) omdat ze de gebruiker vragen om meer attributen prijs te geven dan strikt noodzakelijk en online transacties koppelbaar maken aan verschillende domeinen.

Met behulp van de selectieve openbaarmakingstechniek (“selective disclosure”) kunnen houders van verifiable credentials alleen de informatie presenteren die ze willen tonen, terwijl ze de rest van hun gevoelige gegevens privé houden. Deze techniek is vooral nuttig wanneer een gebruiker een specifieke claim moet bewijzen, maar niet alle informatie op bijvoorbeeld zijn identiteitskaart wil delen.

In de context van de coördinatie van de sociale zekerheid, als een burger zich in een verificatiesituatie bevindt met een gekwalificeerde controleur, is selectieve bekendmaking niet gepast, aangezien diensten en voordelen mogelijk niet worden verstrekt als slechts een subset van informatie wordt bekendgemaakt. Voor niet-gekwalificeerde controleurs (bv. bedrijven die bepaalde elementen van een socialezekerheidsdocument willen controleren) kan selectieve openbaarmaking daarentegen wel een rol spelen.

Bekende cryptografische technieken

Op basis van zero knowledge proofs (“nulkennisbewijs” – ZKP) zijn privacybehoudende attribuutgebaseerde attesteringen (privacy-preserving attribute-based-credentials) of geanonimiseerde attesteringen (anonymous credentials) voorgesteld als een veelbelovende techniek voor het vaststellen van verifiable credentials. Succesvolle implementaties van deze techniek zijn onder andere IBM’s Identity Mixer en Microsoft’s U-Prove. Een subset van de mogelijkheden van Idemix wordt ook al enkele jaren gebruikt in het Nederlandse IRMA-project. Dit project heeft Nederlandse burgers al in staat gesteld om identificatie-informatie met geverifieerde attributen te verkrijgen van een aantal organisaties, waaronder de Nederlandse Burgerlijke Stand.

Deze techniek begon meer aandacht te krijgen in het midden van de jaren 2010, met het Europese ABC4Trust-project en ook na de opkomst van het self-sovereign identity (SSI) concept. Self-sovereign identity is een model van digitale identiteit waarbij een gebruiker beschikt over technieken om een digitale identiteit te creëren, te verifiëren en (vooral) te bezitten die kan worden vrijgegeven tussen vertrouwde partijen. Dit betekent over het algemeen dat wanneer een gebruiker een identiteitsclaim indient bij een betrouwbare partij, de gegeven identiteit geverifieerd kan worden zonder directe tussenkomst van de Identity Provider, wat voordelen heeft voor de privacy van de gebruiker.

Geanonimiseerde attesteringen kunnen alle informatie in een fysiek identiteitsbewijs uitdrukken, met als extra voordeel dat ze gecombineerd kunnen worden (zie Figuur 2) en dat alleen de vereiste attributen onthuld kunnen worden (selectieve openbaarmaking) of zelfs informatie die van die attributen is afgeleid. Een emblematisch voorbeeld is de geboortedatum: het is mogelijk om alleen de leeftijd te onthullen, alleen de leeftijdscategorie (bijv. 50-60 jaar), of zelfs alleen het feit dat de persoon boven of onder een bepaalde leeftijd is, enz. zonder de exacte geboortedatum te onthullen.

Figuur 2 – Voorbeeld van selectieve openbaarmaking en afgeleide effecten. De betrokkene heeft in zijn elektronische portemonnee, in de vorm van verifiable credentials: 1) een nationale identiteitskaart met foto, 2) een treinticket waarvan het gereduceerde tarief afhankelijk is van specifieke voorwaarden (handicap en leeftijd) en 3) een invaliditeitskaart. Wanneer het ticket wordt gecontroleerd, genereert de elektronische portemonnee een presentatie met de meeste informatie op het ticket, de foto op de identiteitskaart en een cryptografische afleiding van de geboortedatum die de leeftijd van de persoon bewijst en een andere cryptografische afleiding die de geldigheid van de gehandicaptenkaart op het moment van de controle bewijst. Dit alles wordt beschermd door cryptografisch bewijs.

Conclusies

Verifiable credentials, die momenteel worden gestandaardiseerd door het World Wide Web Consortium maken het mogelijk fysieke attesteringen om te zetten in een digitaal formaat dat kan worden opgeslagen in een elektronische portemonnee zoals een European Digital Identity Wallet (EUDIW). Hun succes is afhankelijk van een “netwerkeffect” dat teweeggebracht zou kunnen worden door de eIDAS 2.0 verordening (elektronische identificatie en vertrouwensdiensten), die een belangrijke stap is in de ontwikkeling van interoperabele digitale identiteiten in Europa voor zowel de publieke als de private sector.

Een techniek voor het implementeren van verifiable credentials is via anonieme attesteringen, die sinds het begin van de jaren 2000 ontwikkeld zijn om authenticatie en identificatie veilig en met respect voor de privacy mogelijk te maken. De onderliggende cryptografische technieken – onmisbaar voor de werking van talloze scenario’s die vertrouwen op verifieerbare identificatiegegevens – zijn welbekend, maar de bruikbaarheid van de resulterende technologieën voor eindgebruikers, hoewel van cruciaal belang, is nog grotendeels onontgonnen terrein.

Dit artikel is een individuele bijdrage van Fabien A. P. Petitcolas, IT Research Consultant bij Smals Research. Dit artikel is geschreven onder zijn eigen naam en weerspiegelt op geen enkele wijze de standpunten van Smals. Interesse om bij Smals te werken? Neem dan een kijkje naar het huidige uitgebreide jobaanbod.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

Vrijgeven van identiteitsattributen

Bekende cryptografische technieken

Conclusies

nieuwsbrief