"Al sinds de begindagen van het internet wordt er gewerkt aan een veilig en breed geaccepteerd middel waarmee je digitaal kan aantonen wie je bent. Populaire systemen zoals bijvoorbeeld ‘inloggen met Facebook’ zijn heel gebruikersvriendelijk echter kennen nog veel tekortkomingen, bijvoorbeeld als het gaat om privacy, betrouwbaarheid van persoonsgegevens en afhankelijkheid van trusted 3rd parties. Het goede nieuws is: dit kan veranderen. Een nieuw identiteitsmiddel op basis van ‘Decentralized Identity’ heeft de belofte om meer privacy, controle voor de gebruiker en een hoge betrouwbaarheid te bieden. Decentralized Identity wordt ook wel Self Sovereign identity genoemd en komt op hetzelfde neer."
Als je meer wilt weten over dit onderwerp neem dan even contact op.
groet,
Douwe van de Ruit
3. Internet niet ontworpen voor waarde transacties en centralisatie van
machtInternet van Informatie
& Communicatie
Internet van Mensen
& Dingen
Internet van Waarde
& Vertrouwen
Vinden van informatie Informatie maken en delen Persoonlijk internet Betrouwbaar online
Data
Computaties
Database
Applicaties
Transacties
Verwerken
Business
Intelligence
Globale
Operaties
Persoonlijke
Communicatie
Mobiele
Communicatie
E-Commerce
Digitalisering interacties
van mensen en dingen
Overdracht van
Waarde
zonder
tussenpartij
Decentralisatie
van
Vertrouwen
Web 1.0: 1970 - 2000 Web 3.0: 2010 - hedenWeb 2.0: 2000 - 2010
Semantisch & data-
gedreven
Digitalisering
6. Self
actualization:
achieving one’s
full potential,
including creative activities
Wat ontbreekt er aan het huidige systeem?
Esteem needs:
prestige and feeling of accomplishment
Belongingness and love needs:
intimate relationships, friends
Safety needs:
security, safety
Physiological needs:
food, water, warmth, rest
Self-fullfillment
needs
Psychological
needs
Basic
needs
?
Access
Digital Protection
Identity
User Experience
Digital Inclusion
Self Sovereignty
Self- determination
Privacy
7. Self Sovereign Identity:
“Levenslang draagbare identiteit voor
elke persoon, organisatie of ding
welke niet afhankelijk is van een
centrale autoriteit en nooit kan
worden afgenomen”
7
9. Decentralized Identity (DID) is gebaseerd op
principes
thuis bank
Decentrale Identiteit
werk
bankthuis
werk
Centrale Identiteit
10. DIDs
Decentralized identifiers zijn URLs naar DID
documents
DID Owner
Issuers
DID documents (JSON-LD)
did : sov : ae84-d5c2-9fbdid : sov : 785ea-72cd34
entitlements, diploma’s, rights,
permissions, license, etc
Third-party verifiable credentials
opinions, preferences, consent
Self-attested verifiable credentials
# #
11. Kan DID de trusted third party overbodig
maken?
12. Wat moet er nog gebeuren voordat we de voordelen van SSI kunnen gaan
testen?
Decentralized Identifiers (DIDs)
DID Auth
DKMS (Decentralized Key
Management System
Verifiable Credentials (VC)
15. Let’s connect !
Douwe van de Ruit
Business ontwikkelaar bij KPN Strategie
28-01-2020
Editor's Notes
Mijn naam is Douwe van de Ruit, werk als business ontwikkelaar voor KPN Strategie. Ik ontwikkel samen met een team nieuwe diensten voor KPN met thema’s zoals 5G, Digital Identity, Data driven society en TechCo as a Service in het bijzonder.
Ik heb voor deze prikkelende titel gekozen omdat ik een aantal gedachten wil proberen los te maken en daarmee ook op zoek zou willen gaan naar uw perspectief over de huidige status van privacy op het internet
Sommige mensen zeggen dat het internet stuk is. Er wordt ook gezegd dat het internet as is intolerantie aanmoedigt en daarmee een broedplaats is geworden voor verdeeldheid. Dit wordt door een groot deel veroorzaakt doordat je anoniem kunt zijn. Het lullige is dat als we NIET anoniem zijn op het internet er een ander, misschien wel veel groter probleem is, namelijk je privacy. Hoogleraar Robbert Dijkgraaf stelde onlangs dat na klimaat, privacy waarschijnlijk onze volgende crisis gaat worden. Even pollen….wie is het hier niet mee eens? Ik ben het hier in ieder geval mee eens. De oorzaak van de problemen die we hebben liggen in de hoek van digitale identiteit.
Al sinds de begindagen van het internet wordt er gewerkt aan een veilig en breed geaccepteerd middel waarmee je digitaal kan aantonen wie je bent. Populaire systemen zoals bijvoorbeeld ‘inloggen met Facebook’ zijn heel gebruikersvriendelijk echter kennen nog veel tekortkomingen, bijvoorbeeld als het gaat om privacy, betrouwbaarheid van persoonsgegevens en afhankelijkheid van trusted 3rd parties. Het goede nieuws is: dit kan veranderen. Een nieuw identiteitsmiddel op basis van ‘Decentralized Identity’ heeft de belofte om meer privacy, controle voor de gebruiker en een hoge betrouwbaarheid te bieden. Decentralized Identity wordt ook wel Self Sovereign identity genoemd en komt op hetzelfde neer.
De reden dat ik deze foto heb gebruikt is om symbolisch aan te geven dat het internet, als je het als een beschaving zou bekijken, zich naar mijn mening zich in de late middeleeuwen begeeft. En dus is het is tijd voor een digitale revolutie.
Voordat ik dieper in ga op het concept Self Sovereign Identity eerst even terug naar de historie van het internet en de ontwikkeling van digitale identiteit in algemene zin.
Van links naar rechts zie je een tijdlijn van het internet. Web 1.0 ging om de oerknal van het internet. Tijdens de jaren 90 werd de wereld aan internet gekoppeld. Toen KPN nog PTT telecom heette werd ISDN uitgerold en jaren later ADSL. Het zoeken en vinden van informatie was hierbij de belangrijkste drijfveer.
In de periode vanaf het jaar 2000 ontstond Web 2.0. De eerste glasvezelverbindingen werden aangesloten in NL. Het Web 2.0 had de belofte in zich dat de internetgebruiker centraal zou staan. De waarheid zou in handen zijn van het volk. De burger zou kunnen participeren, mensen zouden via het internet samenwerken en, omdat iedereen gelijk was, gloorde er hoop voor een democratische digitale wereld. Maar in de loop van de jaren verschoof de macht naar monopolistische platform Bigtechs, waaraan de gebruikers onderworpen lijken te zijn geworden. Het belangrijkste wapen van Bigtechs: jouw digitale identiteit.
Nu is Web 3.0 de volgende internet evolutie die al een aantal jaren aan de gang is en gaat over semantisch en datagedreven digitalisering, wat gaat over het optimaal delen en interacteren. Het eerder genoemde probleem van digitale identiteit en centralisatie van macht is hiermee echter nog steeds niet opgelost. Laten we het dan even hebben over Blockchain technologie. Nu de blockchain hype voorbij is en de onderliggende technische ontwikkeling niet heeft stil gestaan zie je op dit moment de eerste grootschalige successen ontstaan. Zouden deze nieuwe bouwblokken ook ingezet kunnen worden om digitale identiteit en centralisatie van macht hierbij te doorbreken? Interessante vraag toch?
Wij zien dan ook in dat Blockchain technologie langzamerhand volwassen begint te worden. Ik denk dat Blockchain technologie ingezet zou kunnen worden om een democratisch internet te ontwikkelen. Het zal met kleine stapjes gaan en om vanaf de fundering te starten moeten we beginnen met digitale identiteit. Welke smaken zijn er?
De eerste en meest eenvoudige variant van digitale identiteit is siloed fragmented identity. Als je als internet gebruiker jezelf moet kunnen identificeren dan kan je in de meeste gevallen een account aanmaken. Neem bijvoorbeeld een webshop of webservice waar je vaker gebruik van wil maken. Je maakt een account aan en je kunt op een later moment inloggen om nogmaals gebruik te maken van de service. Het voordeel is dat je overal kunt inloggen op deze manier. Nadeel is natuurlijk dat je overal je gegevens moet achterlaten en wachtwoorden moet onthouden. Voor de dienstverlener is het lastig controleren of accountgegevens kloppen. Zo zijn nepaccounts eerder regel dan uitzondering en als de accounts al de juiste persoonsgegevens zouden bevatten dan is er nog een ander probleem: GDPR compliance. Tot december 2019 is er al voor € 428,945,407 aan boetes uitgedeeld aan organisaties die hun zaken niet goed op orde hadden. Een centrale database met persoonsgegevens is voor hackers een interessant doelwit, we noemen dit ook wel privacy hotspots.
Een iets beter alternatief is om gebruik te maken van een identity provider. We noemen dit doorgaans federated identity. Je kan met 1 account inloggen op meerdere services en wordt momenteel veel gebruikt. Meest populaire Identity providers zijn social platformen zoals facebook, google, linkedin, etc. Zoals alom bekend kan je met je facebook of google account inloggen bij veel webservices zonder een separaat account aan te maken. Dit lost voor een deel het probleem op van privacyhotspots. Grote voordeel voor de gebruiker is gebruikersgemak. Nieuw probleem is dat facebook en/of google precies weet waar je allemaal inlogt. Hier komt de term mass digital surveillance vandaan. Nepaccounts helaas ook nog steeds een probleem. Het probleem is hiermee eigenlijk zelfs groter geworden, denk hierbij dan aan grootschalige manipulaties ten behoeve van politieke campagnes door zogenaamde internet trolls. Door de enorme populariteit van social logins en zeer brede acceptatie bij internet dienstverleners is er op een of andere manier een perceptie ontstaan dat een dergelijke identiteitsmiddel volstaat om een internetgebruiker afdoende te kunnen verifiëren.
Laten we op het voorbeeld van facebook login wat verder inzoomen…
Social logins bieden een hoog gebruiksgemak, maar lossen eigenlijk geen van de genoemde tekortkomingen op. Daarnaast zien we nog andere problemen:
Wat zegt zo’n account nu eigenlijk over de identiteit van het individu?
Hoe weet je zeker dat het niet gaat om een nep-account?
Met welke organisaties worden mijn gegevens gedeeld? Neem het cambridge analytica voorbeeld waarbij de persoonsgegevens van miljoenen gebruikers werden gedeeld zonder toestemming om politieke campagnes te kunnen voeren dan wel manipuleren.
Hoe weet je zeker dat iemand niet liegt over zijn of haar leeftijd of andere persoonsgegevens?
En, hoe goed wordt een gebruiker eigenlijk beveiligd?
Zou Self-Sovereign Identity hier een uitkomst in kunnen bieden?
Maar wat is Self sovereign identity eigenlijk?
Self-Sovereign Identity (SSI) is een concept waarin de gebruiker niet alleen centraal staat, maar ook onvoorwaardelijke controle heeft over zijn of haar identiteit. Self sovereign identity is een levenslang draagbare identiteit voor elke persoon, organisatie of ding welke niet afhankelijk is van een centrale autoriteit en nooit kan worden afgenomen.
Er bestaan 10 guiding principes die richtinggevend zijn bij de ontwikkeling van dergelijke identiteits systemen. Het gaat hierbij om waarden zoals afhankelijkheid, privacy, transparantie, integriteit en gebruikerstoestemming.
In vergelijking met de eerdere varianten die ik liet zien zijn er in het geval van een Decentralized Identity systeem slechts twee actoren nodig om digitaal betrouwbaar te kunnen interacteren via een digitale identiteit. Geen trusted third party, geen middleman, geen big brother. Blockchain technologie wordt gebruikt om diverse verificaties te kunnen uitvoeren waarbij gewerkt wordt met 1 waarheid. Belangrijk om te weten: er worden GEEN persoonsgegevens opgeslagen in de blockchain. Wat wel op de blockchain wordt opgeslagen zijn revocations wat enigszins vergelijkbaar is met certificate revocation lists voor PKI. En hiernaast hebben organisaties de keuze om hun publieke DID gegevens te publiceren zodat DID gebruikers kunnen controleren of ze bijvoorbeeld bij een authentiek website aan het inloggen zijn.
Decentrale identiteit is een implementatie van SSI waarin de gebruiker niet alleen centraal staat, maar ook onvoorwaardelijke controle heeft over zijn of haar identiteit. Er bestaan 10 guiding principes voor Self Sovereign identity die richtinggevend zijn bij de ontwikkeling van dergelijke identiteits systemen. Het gaat hierbij om waarden zoals afhankelijkheid, privacy, transparantie, integriteit en gebruikerstoestemming.
Als we iets verder inzoomen op het concept Decentralized Identity dan komen we bij zogenaamde Decentralized Identifiers
Decentralized identifiers zijn eigenlijk URLs verwijzen naar zogenaamde DID documents en is 100% van een DID owner. Een DID owner heeft meerdere DIDs. DIDs omvatten in de basis 6 elementen onder de motorkap: 1. Een DID voor self-description
2. Een set keypairs voor ownership verificatie
3. Een set authitication protocols voor authenticatie
4. Een aantal service endpoints voor interaction
5. Timestamps voor audit history
6. Signature voor integrity
Gelukkig is het organiseren van alle identifiers en documents geautomatiseerd in technologie. Onder de motorkap worden echter vele DIDs gecreëerd per gebruiker zonder dat hij of zij dit door heeft. Overigens omschrijf ik slechts de werking van DID documents, de complete DID architectuur die momenteel wordt ontwikkeld omvat veel meer dan dit.
Een DID kan eigenlijk gezien worden als een autonome identiteit die je zelf aanmaakt en vult met erkende attributen en kenmerken over uw identiteit. Een DID is zoals gezegd een URL die naar de gebruiker verwijst. Deze URL is voor iedereen uniek en geeft complete controle over het gebruik van persoonlijke data. Er is hier dus geen sprake van het aanmaken of registreren van een account bij een centrale partij, dit kunt je allemaal zelf doen. Wanneer u een DID aanmaakt, bijvoorbeeld via een app op de telefoon, wordt er een unieke identifier gemaakt (uw URL) met bijbehorende cryptografische sleutels. Met deze sleutels kunt u eigenaarschap van de nieuwe DID aantonen.
Persoonsgegevens worden in de vorm van digitale bewijzen aan de DID gekoppeld. Een digitaal bewijs is een stukje informatie over uzelf, gekoppeld aan uw DID en ondertekend door een geautoriseerde partij. Alle denkbare informatie kan in de vorm van bewijzen worden opgeslagen, zoals naam, werkgever, telefoonnummer, kredietverleden, diploma’s of bankrekeningnummer. De gebruiker verzamelt deze bewijzen bij verschillende instanties en bewaart ze op de telefoon, om later te kunnen delen met anderen. Dit heeft drie grote voordelen:
1. U heeft controle over de informatie die wordt gedeeld;
2. De informatie die u deelt is betrouwbaar;
3. Het delen van informatie gebeurt één-op-één: er is geen derde partij bij betrokken.
In het concept van DID worden de persoonsgegevens ook wel verifiable credentials (digitale bewijzen met attributen) genoemd. Wat uniek is is dat je bijvoorbeeld kunt aantonen dat je ouder bent dan 18 zonder je geboortedatum te laten zien of te bewijzen dat je een Nederlands staatsburger bent zonder je adres of woonplaats te delen. Dit kan door de techniek Zero Knowledge Proof en is de ultieme vorm van dataminimalisatie en privacy. Dit klinkt veelbelovend of niet?
Er moet nog echter nog veel gebeuren. De kansen voor verbeteringen die we in onze huidige systemen ervaren, zullen de komende jaren waarschijnlijk nog verder toenemen. We gebruiken en delen namelijk steeds meer data met steeds meer diensten. Door Internet of Things zal dit versnellen, bijvoorbeeld als we kijken naar de verwachte groei van het aantal aangesloten apparaten in het kielzog van deze technologie. Internet of Things apparaten kunnen pas autonoom deelnemen aan de economie als deze zijn uitgerust met een digitale identiteit zoals mensen dat ook hebben.
Hiervoor zijn creatieve en innovatieve oplossingen nodig, en daar zien we een potentiele rol voor SSI en DID’s. Een van de redenen daarvoor is omdat Digital Identity voor het eerst kan worden gevat in een web standaard. Er zijn op dit moment twee zeer actieve werkgroepen die samen werken aan Self Sovereign Identity als standaard, de DID werkgroep en de Verifiable credentials werkgroep bij de W3C. Naast W3C zijn er nog andere organen die betrokken zijn bij de ontwikkeling. Oasis voor DKMS. DIF en IETF voor DID auth. Er moet echt nog veel gebeuren maar er is ook al veel gedaan. Wat is het moment om hierop in te stappen? Goede vraag.
DID is zoals ik in het begin heb verteld gebaseerd op de principes van self-sovereign identity en heeft tot doel het teruggeven van controle aan de gebruiker. Nu is het feit, dat dit met andere technieken in het verleden vaker is getracht, en met wisselend succes. Ook het concept van self-sovereign identity kent een aantal uitdagingen. Denk hierbij aan aspecten rondom wet- & regelgeving, normenkaders en technologie. KPN onderzoekt de mogelijkheden binnen het wettelijke kader en ziet in self-sovereign identities een innovatieve nieuwe manier om de digitale weerbaarheid van burgers, consumenten en organisaties te vergroten. We combineren hierbij de jarenlange ervaring met actuele kennis en inzichten om met gepaste stapjes deze innovatie te adopteren en om te zetten in klantwaarde.
KPN heeft geen uitgesproken voorkeur voor centrale of decentrale identiteiten, maar we erkennen dat de waarde afhankelijk kan zijn van de toepassing. Wij willen de volledige life cycle van identiteiten op een toekomstbestendige manier organiseren. Als marktleider op het gebied van digitale identiteit in Nederland innoveren wij daarom bewust met dergelijke nieuwe concepten. Als thoughtleader willen we nu en in de toekomst voorop lopen op digitale identiteit. Wellicht wat stevige uitspraken echter we willen echt aan de slag, en dit doen we het liefst samen met u, bent u er klaar voor?
Dank u wel
Ik wil jullie graag bedanken en heb nog een aantal links toegevoegd in deze slide. Nogmaals bedankt, geniet van de presentaties.