Die Digitalisierung braucht sichere Identitäten. Natürliche Personen sichert eine Blockchain ab, Geräte eher die Publik Key Infrastructure. Die Technologieauswahl sollte stets einem Security Konzept folgen.
Sicherheit als Markttreiber: „Digitale Identitäten auf Blockchain-Basis ermöglichen für das Internet of Things neue Geschäftsmodelle“, erläutert Bitkom-Präsident Achim Berg in einer Stellungnahme auf die Ende September verabschiedete Blockchain-Strategie der Bundesregierung. „Zusammen mit den angekündigten Blockchain-Leuchtturmprojekten in der öffentlichen Verwaltung können die digitalen Identitäten einen Nachfrageschub für diese Technologie erzeugen“.
Schon länger betonen IT-Experten das riesige Potenzial von Blockchains, Industrie und Wirtschaft zu verändern. Als Schlagworte fallen unter anderem die Absicherung von Knoten im Internet of Things, die Authentifizierung von Edge-Geräte, eine verbesserte Vertraulichkeit und Datenintegrität, die Unterbrechung bestehender Public Key Infrastructure sowie die Reduzierung von Angriffen im Rahmen von Distributed Denial of Service. Fehlen darf auch nicht der Verweis auf Kryptowährungen wie Bitcoin, welche die Blockchain- Technologie populär gemacht haben.
Natürliche Personen nutzen eine Blockchain
Grundsätzlich sollte man unterscheiden, welche digitalen Identitäten eine Blockchain sichern soll. Es macht einen Unterschied, ob es sich um natürliche Personen, Geräte oder logische Einheiten handelt. Für natürliche Personen fällt die Antwort klar aus. Deren Identitäten kann und sollte man mit Blockchain umsetzten. Hier ist es sinnvoll, eine dezentrale Datenbank einzusetzen, die im Netzwerk auf einer Vielzahl von Rechnern gespiegelt vorliegt. Die Datenbank fasst ihre Einträge in Blöcken zusammen, hängt sie an vorherige Blöcke an und speichert diese. Die neuen Datenbankeinträge werden durch Public-Key-Verfahren signiert. Ein von allen Rechnern verwendeter Konsensmechanismus sichert die Authentizität der Datenbankeinträge.
Synonym wird oft die Technologie Distributed Ledger verwendet, obwohl diese nicht notwendigerweise Blockketten produziert. Gleichwohl basiert das verteilte Kontenbuch auf einer dezentralen Datenbank, die Teilnehmern eines Netzwerks eine gemeinsame Schreib- und Leseberechtigung erlaubt. Jeder kann neue Datensätze hinzufügen. Nach der Aktualisierung steht der jüngste Stand für alle bereit. Distributed Ledger ist eine besondere Ausprägung der Blockchain-Technologie, wobei ihr Konsensmechanismus zum Validieren der Einträge davon abhängt, ob der Zugang registrierungspflichtig ist oder nicht.
Anwender verwalten ihre Identität selbst
Idealerweise sollten Anwender ihre digitale Identität selbst verwalten. Hierfür steht das Konzept Self Sovereign Identity. Der Anwender ist im Besitz seiner persönlichen Daten und entscheidet über den Fremdzugriff darauf. Für die Umsetzung von Self Sovereign Identity sollte man etablierte Konzepte wie eine Public Key Infrastructure nicht über Bord werfen. Eine Public Key Infrastructure erstellt und verwaltet vertrauenswürdige elektronische Identitäten für Personen, Dienste und Dinge. Sie sorgt für eine starke Authentifizierung, Datenverschlüsselung und digitale Signaturen. Eine Certificate Authority garantiert die Vertrauenswürdigkeit der digitalen Zertifikate, die mit dem öffentlichen Schlüssel des Zertifikatsinhabers validiert werden.
Eine Public Key Infrastructure lässt sich für Self Sovereign Identity dezentralisiert weiterentwickeln. Eine Blockchain löst hierbei den Key-Server ab, der sonst die Schlüssel speichert und bereitstellt. Für den Nutzer, der selbst seine privaten Schlüssel kontrolliert und seine Zertifikate eigenhändig ausstellt, würde die Blockchain als hochverfügbare Sperrliste (Revocation List) fungieren. Das verhindert den Zugriff einer Identität, deren Zertifikat abgelaufen ist oder widerrufen wurde. Zudem lassen sich über Blockchains private Schlüssel wiederherstellen oder Transaktionen hinsichtlich eindeutiger Nachweisbarkeit und Unveränderlichkeit absichern.
Die Public Key Infrastructure verwaltet Geräte
Betrachtet man die Identität von logischen Einheiten oder physikalische Geräte im Internet der Dinge, spricht grundsätzlich nichts gegen eine Public Key Infrastructure. Bei ihr lässt sich der Identitätsbesitz klar zuordnen, da man immer die Instanz identifizieren kann, welche die Zertifikate ausstellt. Nehmen Anwender ein Gerät außer Betrieb, muss auch dessen Identität erlöschen – das lässt sich in einer Public Key Infrastructure umsetzen.
Als Argument gegen die Public Key Infrastructure führen Kritiker die Skalierung an. Prognosen sagen 75 Milliarden Geräte im Internet der Dinge für das Jahr 2025 vorher. Ein Wachstum in dieser Größenordnung wird sicher eintreten. Diese Geräteanzahl muss allerdings keine einzelne Public Key Infrastructure verwalten. Wer diesen Eindruck erweckt, betreibt Panikmache. Bereits heute managen die installierten Systeme Millionen von Zertifikaten, ohne an die Grenzen ihrer Skalierbarkeit zu stoßen.
Ein Security-Konzept für die Auswahl der Technologie
Generell empfiehlt es sich, vor dem Aufbau einer Umgebung im Internet der Dinge ein Konzept zu erarbeiten, das die Wahl der Sicherheitstechnologie leitet. Dieses Konzept legt zum Beispiel fest, welche Sicherheitsstandards mit Blockchain eingeführt werden oder wie man die kryptographischen Schlüssel schützen kann, die den Zugriff auf die Blockchain-Anwendungen ermöglichen. Ohne Antwort auf diese Fragen darauf riskiert man, ad-hoc Entscheidungen treffen zu müssen, deren Folgen sich nicht absehen lassen. Fakt ist, dass eine Public Key Infrastructure vertrauenswürdig Identitäten authentifiziert und verschlüsselte Transaktionen aktiviert. Jenseits des Internet of Things sind Kombinationen von Public Key Infrastructure mit Blockchains überlegenswert, um beispielsweise ein effizientes Distributed Ledger zu erstellen. Dieses könnte man in einem Self Sovereign Identity-Szenario für die Zertifikatstransparenz einsetzen.
Mein Fazit: Blockchain gerne da anwenden, wo es sinnvoll ist. Im Internet der Dinge ist das nicht der Fall. Da passt eine Public Key Infrastructure besser. jf
Der Autor
Andreas Philipp ist Business Development Manager bei Security-Spezialisten PrimeKey.