Recommended
More Related Content
Similar to Decentralized identity, aan de vooravond van een internetrevolutie
Similar to Decentralized identity, aan de vooravond van een internetrevolutie (20)
Decentralized identity, aan de vooravond van een internetrevolutie
- 1. Decentralized identity Douwe van de Ruit Business ontwikkelaar bij KPN Strategie 28-01-2020 Aan de vooravond van een internetrevolutie?
- 3. Internet niet ontworpen voor waarde transacties en centralisatie van machtInternet van Informatie & Communicatie Internet van Mensen & Dingen Internet van Waarde & Vertrouwen Vinden van informatie Informatie maken en delen Persoonlijk internet Betrouwbaar online Data Computaties Database Applicaties Transacties Verwerken Business Intelligence Globale Operaties Persoonlijke Communicatie Mobiele Communicatie E-Commerce Digitalisering interacties van mensen en dingen Overdracht van Waarde zonder tussenpartij Decentralisatie van Vertrouwen Web 1.0: 1970 - 2000 Web 3.0: 2010 - hedenWeb 2.0: 2000 - 2010 Semantisch & data- gedreven Digitalisering
- 4. YOU ORGAccount Siloed (fragmented) identity Standaarden: HTTPS, SSL en TLS
- 5. Third-Party IDP (federated) identity Standaarden: SAML, Oauth 2.0 en OpenID YOU IDP ORGAccount
- 6. Self actualization: achieving one’s full potential, including creative activities Wat ontbreekt er aan het huidige systeem? Esteem needs: prestige and feeling of accomplishment Belongingness and love needs: intimate relationships, friends Safety needs: security, safety Physiological needs: food, water, warmth, rest Self-fullfillment needs Psychological needs Basic needs ? Access Digital Protection Identity User Experience Digital Inclusion Self Sovereignty Self- determination Privacy
- 7. Self Sovereign Identity: “Levenslang draagbare identiteit voor elke persoon, organisatie of ding welke niet afhankelijk is van een centrale autoriteit en nooit kan worden afgenomen” 7
- 8. YOU PEER distributed ledger Self-Sovereign (decentralized) identity Standaarden: DID, DKMS, DID Auth en Verif. Cred.
- 9. Decentralized Identity (DID) is gebaseerd op principes thuis bank Decentrale Identiteit werk bankthuis werk Centrale Identiteit
- 10. DIDs Decentralized identifiers zijn URLs naar DID documents DID Owner Issuers DID documents (JSON-LD) did : sov : ae84-d5c2-9fbdid : sov : 785ea-72cd34 entitlements, diploma’s, rights, permissions, license, etc Third-party verifiable credentials opinions, preferences, consent Self-attested verifiable credentials # #
- 11. Kan DID de trusted third party overbodig maken?
- 12. Wat moet er nog gebeuren voordat we de voordelen van SSI kunnen gaan testen? Decentralized Identifiers (DIDs) DID Auth DKMS (Decentralized Key Management System Verifiable Credentials (VC)
- 13. Strategie van KPN Security
- 14. Meer weten? “Digitaal zakendoen makkelijker maken” “10 Guiding principles to SSI” “W3C Decentralized Identifiers (DIDs) specification”
- 15. Let’s connect ! Douwe van de Ruit Business ontwikkelaar bij KPN Strategie 28-01-2020
Editor's Notes
- Mijn naam is Douwe van de Ruit, werk als business ontwikkelaar voor KPN Strategie. Ik ontwikkel samen met een team nieuwe diensten voor KPN met thema’s zoals 5G, Digital Identity, Data driven society en TechCo as a Service in het bijzonder. Ik heb voor deze prikkelende titel gekozen omdat ik een aantal gedachten wil proberen los te maken en daarmee ook op zoek zou willen gaan naar uw perspectief over de huidige status van privacy op het internet
- Sommige mensen zeggen dat het internet stuk is. Er wordt ook gezegd dat het internet as is intolerantie aanmoedigt en daarmee een broedplaats is geworden voor verdeeldheid. Dit wordt door een groot deel veroorzaakt doordat je anoniem kunt zijn. Het lullige is dat als we NIET anoniem zijn op het internet er een ander, misschien wel veel groter probleem is, namelijk je privacy. Hoogleraar Robbert Dijkgraaf stelde onlangs dat na klimaat, privacy waarschijnlijk onze volgende crisis gaat worden. Even pollen….wie is het hier niet mee eens? Ik ben het hier in ieder geval mee eens. De oorzaak van de problemen die we hebben liggen in de hoek van digitale identiteit. Al sinds de begindagen van het internet wordt er gewerkt aan een veilig en breed geaccepteerd middel waarmee je digitaal kan aantonen wie je bent. Populaire systemen zoals bijvoorbeeld ‘inloggen met Facebook’ zijn heel gebruikersvriendelijk echter kennen nog veel tekortkomingen, bijvoorbeeld als het gaat om privacy, betrouwbaarheid van persoonsgegevens en afhankelijkheid van trusted 3rd parties. Het goede nieuws is: dit kan veranderen. Een nieuw identiteitsmiddel op basis van ‘Decentralized Identity’ heeft de belofte om meer privacy, controle voor de gebruiker en een hoge betrouwbaarheid te bieden. Decentralized Identity wordt ook wel Self Sovereign identity genoemd en komt op hetzelfde neer. De reden dat ik deze foto heb gebruikt is om symbolisch aan te geven dat het internet, als je het als een beschaving zou bekijken, zich naar mijn mening zich in de late middeleeuwen begeeft. En dus is het is tijd voor een digitale revolutie.
- Voordat ik dieper in ga op het concept Self Sovereign Identity eerst even terug naar de historie van het internet en de ontwikkeling van digitale identiteit in algemene zin. Van links naar rechts zie je een tijdlijn van het internet. Web 1.0 ging om de oerknal van het internet. Tijdens de jaren 90 werd de wereld aan internet gekoppeld. Toen KPN nog PTT telecom heette werd ISDN uitgerold en jaren later ADSL. Het zoeken en vinden van informatie was hierbij de belangrijkste drijfveer. In de periode vanaf het jaar 2000 ontstond Web 2.0. De eerste glasvezelverbindingen werden aangesloten in NL. Het Web 2.0 had de belofte in zich dat de internetgebruiker centraal zou staan. De waarheid zou in handen zijn van het volk. De burger zou kunnen participeren, mensen zouden via het internet samenwerken en, omdat iedereen gelijk was, gloorde er hoop voor een democratische digitale wereld. Maar in de loop van de jaren verschoof de macht naar monopolistische platform Bigtechs, waaraan de gebruikers onderworpen lijken te zijn geworden. Het belangrijkste wapen van Bigtechs: jouw digitale identiteit. Nu is Web 3.0 de volgende internet evolutie die al een aantal jaren aan de gang is en gaat over semantisch en datagedreven digitalisering, wat gaat over het optimaal delen en interacteren. Het eerder genoemde probleem van digitale identiteit en centralisatie van macht is hiermee echter nog steeds niet opgelost. Laten we het dan even hebben over Blockchain technologie. Nu de blockchain hype voorbij is en de onderliggende technische ontwikkeling niet heeft stil gestaan zie je op dit moment de eerste grootschalige successen ontstaan. Zouden deze nieuwe bouwblokken ook ingezet kunnen worden om digitale identiteit en centralisatie van macht hierbij te doorbreken? Interessante vraag toch? Wij zien dan ook in dat Blockchain technologie langzamerhand volwassen begint te worden. Ik denk dat Blockchain technologie ingezet zou kunnen worden om een democratisch internet te ontwikkelen. Het zal met kleine stapjes gaan en om vanaf de fundering te starten moeten we beginnen met digitale identiteit. Welke smaken zijn er?
- De eerste en meest eenvoudige variant van digitale identiteit is siloed fragmented identity. Als je als internet gebruiker jezelf moet kunnen identificeren dan kan je in de meeste gevallen een account aanmaken. Neem bijvoorbeeld een webshop of webservice waar je vaker gebruik van wil maken. Je maakt een account aan en je kunt op een later moment inloggen om nogmaals gebruik te maken van de service. Het voordeel is dat je overal kunt inloggen op deze manier. Nadeel is natuurlijk dat je overal je gegevens moet achterlaten en wachtwoorden moet onthouden. Voor de dienstverlener is het lastig controleren of accountgegevens kloppen. Zo zijn nepaccounts eerder regel dan uitzondering en als de accounts al de juiste persoonsgegevens zouden bevatten dan is er nog een ander probleem: GDPR compliance. Tot december 2019 is er al voor € 428,945,407 aan boetes uitgedeeld aan organisaties die hun zaken niet goed op orde hadden. Een centrale database met persoonsgegevens is voor hackers een interessant doelwit, we noemen dit ook wel privacy hotspots.
- Een iets beter alternatief is om gebruik te maken van een identity provider. We noemen dit doorgaans federated identity. Je kan met 1 account inloggen op meerdere services en wordt momenteel veel gebruikt. Meest populaire Identity providers zijn social platformen zoals facebook, google, linkedin, etc. Zoals alom bekend kan je met je facebook of google account inloggen bij veel webservices zonder een separaat account aan te maken. Dit lost voor een deel het probleem op van privacyhotspots. Grote voordeel voor de gebruiker is gebruikersgemak. Nieuw probleem is dat facebook en/of google precies weet waar je allemaal inlogt. Hier komt de term mass digital surveillance vandaan. Nepaccounts helaas ook nog steeds een probleem. Het probleem is hiermee eigenlijk zelfs groter geworden, denk hierbij dan aan grootschalige manipulaties ten behoeve van politieke campagnes door zogenaamde internet trolls. Door de enorme populariteit van social logins en zeer brede acceptatie bij internet dienstverleners is er op een of andere manier een perceptie ontstaan dat een dergelijke identiteitsmiddel volstaat om een internetgebruiker afdoende te kunnen verifiëren.
- Laten we op het voorbeeld van facebook login wat verder inzoomen… Social logins bieden een hoog gebruiksgemak, maar lossen eigenlijk geen van de genoemde tekortkomingen op. Daarnaast zien we nog andere problemen: Wat zegt zo’n account nu eigenlijk over de identiteit van het individu? Hoe weet je zeker dat het niet gaat om een nep-account? Met welke organisaties worden mijn gegevens gedeeld? Neem het cambridge analytica voorbeeld waarbij de persoonsgegevens van miljoenen gebruikers werden gedeeld zonder toestemming om politieke campagnes te kunnen voeren dan wel manipuleren. Hoe weet je zeker dat iemand niet liegt over zijn of haar leeftijd of andere persoonsgegevens? En, hoe goed wordt een gebruiker eigenlijk beveiligd? Zou Self-Sovereign Identity hier een uitkomst in kunnen bieden?
- Maar wat is Self sovereign identity eigenlijk? Self-Sovereign Identity (SSI) is een concept waarin de gebruiker niet alleen centraal staat, maar ook onvoorwaardelijke controle heeft over zijn of haar identiteit. Self sovereign identity is een levenslang draagbare identiteit voor elke persoon, organisatie of ding welke niet afhankelijk is van een centrale autoriteit en nooit kan worden afgenomen. Er bestaan 10 guiding principes die richtinggevend zijn bij de ontwikkeling van dergelijke identiteits systemen. Het gaat hierbij om waarden zoals afhankelijkheid, privacy, transparantie, integriteit en gebruikerstoestemming.
- In vergelijking met de eerdere varianten die ik liet zien zijn er in het geval van een Decentralized Identity systeem slechts twee actoren nodig om digitaal betrouwbaar te kunnen interacteren via een digitale identiteit. Geen trusted third party, geen middleman, geen big brother. Blockchain technologie wordt gebruikt om diverse verificaties te kunnen uitvoeren waarbij gewerkt wordt met 1 waarheid. Belangrijk om te weten: er worden GEEN persoonsgegevens opgeslagen in de blockchain. Wat wel op de blockchain wordt opgeslagen zijn revocations wat enigszins vergelijkbaar is met certificate revocation lists voor PKI. En hiernaast hebben organisaties de keuze om hun publieke DID gegevens te publiceren zodat DID gebruikers kunnen controleren of ze bijvoorbeeld bij een authentiek website aan het inloggen zijn.
- Decentrale identiteit is een implementatie van SSI waarin de gebruiker niet alleen centraal staat, maar ook onvoorwaardelijke controle heeft over zijn of haar identiteit. Er bestaan 10 guiding principes voor Self Sovereign identity die richtinggevend zijn bij de ontwikkeling van dergelijke identiteits systemen. Het gaat hierbij om waarden zoals afhankelijkheid, privacy, transparantie, integriteit en gebruikerstoestemming. Als we iets verder inzoomen op het concept Decentralized Identity dan komen we bij zogenaamde Decentralized Identifiers
- Decentralized identifiers zijn eigenlijk URLs verwijzen naar zogenaamde DID documents en is 100% van een DID owner. Een DID owner heeft meerdere DIDs. DIDs omvatten in de basis 6 elementen onder de motorkap: 1. Een DID voor self-description 2. Een set keypairs voor ownership verificatie 3. Een set authitication protocols voor authenticatie 4. Een aantal service endpoints voor interaction 5. Timestamps voor audit history 6. Signature voor integrity Gelukkig is het organiseren van alle identifiers en documents geautomatiseerd in technologie. Onder de motorkap worden echter vele DIDs gecreëerd per gebruiker zonder dat hij of zij dit door heeft. Overigens omschrijf ik slechts de werking van DID documents, de complete DID architectuur die momenteel wordt ontwikkeld omvat veel meer dan dit.
- Een DID kan eigenlijk gezien worden als een autonome identiteit die je zelf aanmaakt en vult met erkende attributen en kenmerken over uw identiteit. Een DID is zoals gezegd een URL die naar de gebruiker verwijst. Deze URL is voor iedereen uniek en geeft complete controle over het gebruik van persoonlijke data. Er is hier dus geen sprake van het aanmaken of registreren van een account bij een centrale partij, dit kunt je allemaal zelf doen. Wanneer u een DID aanmaakt, bijvoorbeeld via een app op de telefoon, wordt er een unieke identifier gemaakt (uw URL) met bijbehorende cryptografische sleutels. Met deze sleutels kunt u eigenaarschap van de nieuwe DID aantonen. Persoonsgegevens worden in de vorm van digitale bewijzen aan de DID gekoppeld. Een digitaal bewijs is een stukje informatie over uzelf, gekoppeld aan uw DID en ondertekend door een geautoriseerde partij. Alle denkbare informatie kan in de vorm van bewijzen worden opgeslagen, zoals naam, werkgever, telefoonnummer, kredietverleden, diploma’s of bankrekeningnummer. De gebruiker verzamelt deze bewijzen bij verschillende instanties en bewaart ze op de telefoon, om later te kunnen delen met anderen. Dit heeft drie grote voordelen: 1. U heeft controle over de informatie die wordt gedeeld; 2. De informatie die u deelt is betrouwbaar; 3. Het delen van informatie gebeurt één-op-één: er is geen derde partij bij betrokken. In het concept van DID worden de persoonsgegevens ook wel verifiable credentials (digitale bewijzen met attributen) genoemd. Wat uniek is is dat je bijvoorbeeld kunt aantonen dat je ouder bent dan 18 zonder je geboortedatum te laten zien of te bewijzen dat je een Nederlands staatsburger bent zonder je adres of woonplaats te delen. Dit kan door de techniek Zero Knowledge Proof en is de ultieme vorm van dataminimalisatie en privacy. Dit klinkt veelbelovend of niet?
- Er moet nog echter nog veel gebeuren. De kansen voor verbeteringen die we in onze huidige systemen ervaren, zullen de komende jaren waarschijnlijk nog verder toenemen. We gebruiken en delen namelijk steeds meer data met steeds meer diensten. Door Internet of Things zal dit versnellen, bijvoorbeeld als we kijken naar de verwachte groei van het aantal aangesloten apparaten in het kielzog van deze technologie. Internet of Things apparaten kunnen pas autonoom deelnemen aan de economie als deze zijn uitgerust met een digitale identiteit zoals mensen dat ook hebben. Hiervoor zijn creatieve en innovatieve oplossingen nodig, en daar zien we een potentiele rol voor SSI en DID’s. Een van de redenen daarvoor is omdat Digital Identity voor het eerst kan worden gevat in een web standaard. Er zijn op dit moment twee zeer actieve werkgroepen die samen werken aan Self Sovereign Identity als standaard, de DID werkgroep en de Verifiable credentials werkgroep bij de W3C. Naast W3C zijn er nog andere organen die betrokken zijn bij de ontwikkeling. Oasis voor DKMS. DIF en IETF voor DID auth. Er moet echt nog veel gebeuren maar er is ook al veel gedaan. Wat is het moment om hierop in te stappen? Goede vraag.
- DID is zoals ik in het begin heb verteld gebaseerd op de principes van self-sovereign identity en heeft tot doel het teruggeven van controle aan de gebruiker. Nu is het feit, dat dit met andere technieken in het verleden vaker is getracht, en met wisselend succes. Ook het concept van self-sovereign identity kent een aantal uitdagingen. Denk hierbij aan aspecten rondom wet- & regelgeving, normenkaders en technologie. KPN onderzoekt de mogelijkheden binnen het wettelijke kader en ziet in self-sovereign identities een innovatieve nieuwe manier om de digitale weerbaarheid van burgers, consumenten en organisaties te vergroten. We combineren hierbij de jarenlange ervaring met actuele kennis en inzichten om met gepaste stapjes deze innovatie te adopteren en om te zetten in klantwaarde. KPN heeft geen uitgesproken voorkeur voor centrale of decentrale identiteiten, maar we erkennen dat de waarde afhankelijk kan zijn van de toepassing. Wij willen de volledige life cycle van identiteiten op een toekomstbestendige manier organiseren. Als marktleider op het gebied van digitale identiteit in Nederland innoveren wij daarom bewust met dergelijke nieuwe concepten. Als thoughtleader willen we nu en in de toekomst voorop lopen op digitale identiteit. Wellicht wat stevige uitspraken echter we willen echt aan de slag, en dit doen we het liefst samen met u, bent u er klaar voor? Dank u wel
- Ik wil jullie graag bedanken en heb nog een aantal links toegevoegd in deze slide. Nogmaals bedankt, geniet van de presentaties.