Vi summerer opp: Selvbestemt informasjonsdeling, datastandard interoperabilitet og desentralisert identitet

Selvbestemt informasjonsdeling er avgjørende for å beskytte personvernet til individer og organisasjoner. Når data deles, er det ofte viktig å kunne begrense hvilken informasjon som deles for å minimere eksponering av sensitiv data. Dette er spesielt viktig i en tid der databrudd og misbruk av personlig informasjon er vanlig. Ved å tillate selektiv avsløring av data, kan brukere og organisasjoner ha større kontroll over hvilken informasjon som deles og med hvem. Dette er et gjennombrudd fordi det tidligere var en utfordring å implementere selektiv informasjonsdeling med kryptografi som er i samsvar med NIST-standarden, noe som er et krav for mange myndigheter og store bedrifter.

Det ble tidligere annosert på CCG sin mailing liste

E-posten diskuterer kunngjøringen av en ny kapabilitet for selektiv avsløring for W3C Data Integrity som er kompatibel med NIST-godkjent kryptografi. Dette adresserer et tidligere gap som gjorde det umulig å møte brukstilfeller for selektiv avsløring ved bruk av NIST-kompatibel kryptografi, noe som er et viktig krav for statlige og store bedriftsbrukstilfeller.

Den nye muligheten er skissert i et lysbildesett som er vedlagt e-posten, og det er en komplett implementering tilgjengelig som er kompatibel med Verifiable Credentials v2.0-arbeidet samt ECDSA-kryptosuiten. Tilbakemeldinger på tilnærmingen og interoperable implementeringer oppfordres etter hvert som arbeidet skrider frem.

E-posten uttrykker også takknemlighet for implementeringstilnærmingene som nå eksisterer for kort sikt, med en veikart for fremtiden. Det nevnes to stier:

Sikret ved bruk av Data Integrity Proofs >> SD-DI (Selektiv avsløring med FIPS-kompatibel kryptografi) >> BBS for DI (Selektiv avsløring + unlinkability).

Sikret ved bruk av VC-JWT >> SD-JWT (Selektiv avsløring med FIPS-kompatibel kryptografi) >> JWP (Selektiv avsløring + unlinkability).

Videre fremhever e-posten at målet er å sikre at uavhengig av de valgte formatene (Data Integrity eller JOSE), finnes det løsninger for selektiv avsløring både for NIST-kompatibel kryptografi og for fremtidsrettet unlinkable kryptografi (BBS). Dave Longley forventes å dele flere innblikk i tankene bak design og implementering av Data Integrity Selective Disclosure. I tillegg er det planer om å sammenligne de forskjellige løsningene for selektiv avsløring, og undersøke deres forskjellige design og avveininger, med sikte på å sikre en rettferdig sammenligning. Denne analysen forventes å bli utgitt etter at nødvendig grundig vurdering er utført,og det antydes at dette kan være et godt emne å jobbe med på kommende IIW eller RWoT-arrangementer.

Det er viktig å beskytte personvernet og sikkerheten til data på nettet, spesielt når det gjelder sensitive data som identitetsbevis og transaksjoner. For å oppnå dette, er kryptografi, som involverer teknikker for sikring av informasjon gjennom koding, avgjørende. I denne sammenhengen er standarder som W3C og NIST sentrale for å sikre interoperabilitet og pålitelighet av kryptografiske systemer. Å kunne tilpasse seg disse standardene samtidig som man ivaretar personvern er en milepæl innen teknologi.

Det ble tidligere denne måneden annonsert at man har oppnådd standard samsvar mellom viktige spesifikasjoner i data kontainer verden.

E-posten diskuterer en nylig demonstrasjon av en implementasjon som benytter AnonCreds og Data Integrity for å forbedre kryptografi og personvern. Under Verifiable Credential API-samtalene de siste to ukene, demonstrerte Patrick St. Louis fra Digital Identity Lab of Canada og Stephen Curran fra Cloud Compass, Sovrin Foundation og Province of British Columbia en fullstendig implementering av CL Signatures som en W3C Data Integrity Proof. Dette inkluderte utstedelse, presentasjon og verifisering. Dette var den første gangen en slik implementasjon ble sett. En av utfordringene med AnonCreds tidligere har vært at det ikke var i samsvar med NIST, og derfor ikke kunne brukes for enkelte store regjerings- og bedriftsbrukstilfeller. CL Signatures gir muligheter som unlinkability, range proofs og link secrets.

Det som er nytt denne gangen er en funksjon i Data Integrity kalt "cryptographic layering" eller "parallel signatures". Denne funksjonen lar deg digitalt signere samme data med mer enn én type kryptografi. For eksempel kan du med denne Data Integrity-funksjonen digitalt signere et handelsdokument ved hjelp av ECDSA (som er NIST-godkjent) og parallelt digitalt signere det samme handelsdokumentet ved hjelp av BBS eller CL Signatures (som ikke er NIST-godkjent). Dette gjør at begge digitale signaturer kan eksistere side om side med dokumentet, og hvilken som brukes er opp til Holder og Verifier å bestemme. Dette er viktig fordi det gir rom for raskere iterasjonssykluser på ny kryptografi samtidig som det sikrer en NIST-kompatibel grunnlinje. Dette legger ikke lenger samfunnene på en kollisjonskurs når det gjelder hvilken kryptografisk mekanisme man må velge, men gir rom for valg og fleksibilitet​.

Vi er ikke ferdig med å prate om digitale lommebøker. Dock skriver gode artikler spesifikt rundt digital ID lommebøker. Her er en liten oppsummering. Dette er ikke reklame for Dock, men vi liker gode ressurser med god info!

Digitale ID-lommebøker er apper eller systemer som lar brukere lagre, administrere og dele sin personlige identitets- og akkrediteringsinformasjon i digitalt format. I stedet for å bære fysiske dokumenter som førerkort eller pass, kan personer bruke digitale ID-lommebøker for å få tilgang til og dele sine identifikasjonsdokumenter og legitimasjoner, som førerkort, sertifikater eller profesjonelle lisenser. Disse lommebøkene har blitt populære på grunn av deres bekvemmelighet, sikkerhet, og inklusivitet.

Her er hvordan digitale ID-lommebøker fungerer og deres funksjoner:

1. Lagring av Digitale Akkrediteringer: Digitale ID-lommebøker lagrer digitale versjoner av identifikasjonsdokumenter og legitimasjoner. Dette kan inkludere navn, fødselsdato, førerkort og annen informasjon.
2. Tilgang og Deling av Informasjon: Brukere kan enkelt få tilgang til og dele sin personlige informasjon uten å måtte bære fysiske kopier av dokumenter. Dette kan være spesielt nyttig for å verifisere identitet når man logger inn på nettsider eller foretar online transaksjoner.
3. Sikkerhet og Kontroll: Digitale ID-lommebøker gjør transaksjoner sikrere og muliggjør kontroll over deling av data. Brukerne har fleksibilitet til å kontrollere hvor mye informasjon de ønsker å dele med tjenester.
4. Verifiserbare Akkrediteringer: Dette er svindelsikre og umiddelbart verifiserbare digitale dokumenter som inneholder informasjon om deg og som kan brukes til å verifisere din identitet. De kan utstedes av ulike organisasjoner, som arbeidsgiveren din eller universitetet ditt.
5. Desentraliserte Identifikatorer (DIDs): Dette er en form for identifikasjon som er opprettet, eid og kontrollert av emnet for DID-en (personen eller enheten). Fordi den digitale ID-lommeboken er desentralisert, har du full kontroll over din personlige informasjon.
6. Blokkjedeteknologi: Noen digitale ID-lommebøker, som Dock Wallet, bruker blokkjedeteknologi for sikker og øyeblikkelig verifisering av legitimasjoner.
7. Statlig og Sivil Bruk: Digitale ID-lommebøker blir ikke bare brukt personlig. De adopteres i økende grad av myndigheter for sivil identitet. For eksempel har Estland implementert et digitalt ID-kortsystem som lar innbyggere få tilgang til en rekke offentlige tjenester og signere dokumenter digitalt.
8. Internasjonal Anerkjennelse: I Den europeiske union utvikles en ambisiøs digital identitetsinitiativ, European Digital Identity, for å tilby en digital identitetslommebok for EU-borgere,innbyggere og bedrifter som ønsker å identifisere seg eller bekrefte data for private og offline tjenester på tvers av EU.
9. Inkludering: Digitale ID-lommebøker kan være særlig gunstige i regioner hvor tilgang til fysiske identifikasjonsdokumenter er begrenset. Ved å tilby et digitalt alternativ kan disse lommebøkene hjelpe til med å inkludere flere mennesker i den formelle økonomien og samfunnet.
10. Innovasjon og Integrasjon med Andre Teknologier: Integrasjon av blokkjedeteknologi legger til et ekstra lag av sikkerhet og muliggjør mer effektive verifiseringsprosesser. I tillegg er det sannsynlig at digitale ID-lommebøker vil inkludere flere funksjoner og bli enda mer integrert i dagliglivet etter hvert som teknologien utvikler seg.

Det er viktig å merke seg at selv om digitale ID-lommebøker tilbyr mange fordeler, finnes det også potensielle bekymringer og utfordringer, som personvernproblemer og behovet for å sikre at disse systemene er tilgjengelige for alle medlemmer av samfunnet, inkludert de som kanskje ikke har tilgang til den nyeste teknologien.

Samlet sett representerer adopsjonen av digitale ID-lommebøker et betydelig skritt fremover i utviklingen av identifikasjonssystemer og har potensiale til å revolusjonere hvordan personlig informasjon administreres og brukes i den digitale tidsalderen

I rapporten "Emerging Tech Impact Radar: 2023" av Gartner Research, er desentralisert identitet nevnt som en del av temaet "Gjennomsiktighet og personvern". Dette temaet fokuserer på viktigheten av å være transparent og beskytte personvernet når man adopterer og skalerer framvoksende teknologier.

Desentralisert identitet er ikke ventet før om kanskje 6-9 år, som ikke samsvarer med EU sin wallet plan, om å ha ting i felt iløpet av neste år. Men det samsvarer mer med DigDir sin estimering, om at de tror ikke de har noe tilgjenglig for norges borgere ihvertfall før 2027.

Desentralisert identitet er en teknologi som gir individer kontroll over sin egen identitet og data, i stedet for å stole på sentraliserte myndigheter som regjeringer eller store selskaper. Dette er spesielt viktig i en tid der det er en eksponentiell vekst i innsamling av bedrifts- og persondata, som ofte mates inn i ulike AI-modeller for å støtte beslutningstaking og intelligens.

Desentralisert identitet er nevnt i rapporten fordi det er en teknologi som kan hjelpe organisasjoner med å være etiske og ansvarlige med AI-aktiverte systemer fra designfasen. Dette er avgjørende for å redusere risiko, levere rettferdige resultater, respektere personvern og muliggjøre forklarbarhet av AI-baserte resultater.

Ved å bruke desentralisert identitet kan teknologileverandører vise sin overholdelse av regulatoriske krav og gjennomsiktighet i AI-aktiverte løsninger, noe som kan forbedre tilliten fra både kunder og regulatoriske organer. Dette er spesielt viktig i en verden der personvern og korrekt behandling av personopplysninger er en topp prioritet for de fleste teknologileverandører, og er beskyttet av stadig skiftende regulatoriske rammer på tvers av mange land.