Microsoft verhuist netwerk voor decentrale identiteiten naar mainnet van Bitcoin

Je kent het vast wel. Je wil een gebruikersaccount aanmaken op één van je favoriete websites en maakt gebruik van de knop om in te loggen via een andere dienst, Facebook bijvoorbeeld. Het moderne smoelenboek fungeert dan als zogeheten identity provider, geeft wat van je persoonsgegevens door aan de partij die ze opvraagt en voilá, het aanmaken van je account is gereduceerd tot een klik op een knop.

Al sinds de begindagen van het internet wordt gewerkt aan een veilige en breed geaccepteerde manier om digitaal aan te kunnen tonen wie je bent. Huidige systemen zoals ‘inloggen met Facebook’ kennen allerlei tekortkomingen, waarvan (een gebrek aan) privacy en beschikbaarheid de belangrijkste twee zijn.

Er zijn inmiddels tientallen bedrijven en diensten die functioneren als identiteitsprovider. Denk aan andere sociale netwerken, zoals Twitter en LinkedIn. Maar ook techreuzen als Google, Microsoft en Apple. Dikke kans dat je bij twee of meer van deze bedrijven persoonsgegevens hebt staan. Het gevolg ervan is niet alleen dat je persoonsgegevens over meerdere silo’s zijn verspreid, je geeft vaak ook de zeggenschap over je persoonsgegevens weg.

Decentrale identiteit

Hoe kunnen we ervoor zorgen dat iemand zélf beschikt over de persoonsgegevens die hij in een online omgeving wil of moet gebruiken? Dat is waar de decentrale identiteit voor moet zorgen. Deze vorm van de digitale identiteit valt onder de parapluterm self-sovereign identity, kortweg SSI. Daarin centraal staat soevereiniteit, het recht om zelf het hoogste gezag uit te oefenen over je persoonsgegevens, zonder dat je daarvoor verantwoording schuldig bent aan iemand anders.

In de context van decentrale identiteiten staat de decentralized identifier (DID) centraal. Daarmee kan je bewijzen dat je de enige rechtmatige eigenaar bent van persoonsgegevens, vergelijkbaar met de functie die een private key heeft bij het ondertekenen van Bitcointransacties.

Het idee is dat jij de enige bent met toegang tot de gegevens die iets over jouw fysieke identiteit onthullen, net zoals je er in de fysieke wereld zelf voor kiest wie je inzage geeft in je papieren paspoort. Als een online dienst gegevens nodig heeft, kan je een specifiek digitaal paspoort aanmaken voor die dienst. Daarmee kan je bijvoorbeeld eenmalig toegang geven tot de opgevraagde gegevens. Zie een DID als een unieke en versleutelde URL naar zo’n paspoort. Hoe de dienst weet dat het écht jouw gegevens zijn? Omdat jij de sleutels bezit waarmee je dat kan bewijzen.

ION als DID-netwerk

“Het is niet moeilijk om een basaal DID-protocol te maken”, schrijft Daniel Buchner, één van Microsofts teamleden die aan ION heeft gewerkt. “Maar het is zeer uitdagend om een decentraal en schaalbaar netwerk te bouwen, zonder enige afhankelijkheid van centrale mechanismen of diensten.”

Dit is de opdracht waarmee techneuten van Microsoft op pad zijn gestuurd. Ze doen dat overigens niet alleen. Microsoft is onderdeel van de Digital Identity Foundation (DIF), een samenwerkingsverband van tientallen grote en kleine bedrijven, waaronder grote namen als IBM en accenture, maar ook bedrijven die we kennen vanuit de cryptowereld, zoals BitPay, Gemini en Casa.

De afkorting ION staat voor Identity Overlay Network. ION is dus geen tool of programma, maar een netwerk voor de opslag van DID’s en daaraan gerelateerde documenten. De schematische weergave ervan ziet er als volgt uit:

De architectuur van ION is vergelijkbaar met die van het Lightning Network. Het functioneert als een tweede laag bovenop Bitcoin. Deelnemers aan het ION-netwerk (de ION Nodes in de afbeelding) zorgen ervoor dat de DID’s in batches worden vastgelegd op de blockchain van Bitcoin en handelen de communicatie af die nodig is voor het opvragen en verifiëren van persoonsgegevens, die op hun beurt opgeslagen staan op een zogeheten Content Addressable Storage Network (CAS Network).

Het fungeert als een open, publiek en permissionless DID-netwerk. Iedereen kan de benodigde software installeren en eraan deelnemen. Bitcoin wordt gebruikt als de veilige en betrouwbare kluis voor het bewaren van de DID’s. De ION-nodes draaien opensourcesoftware, op GitHub gepubliceerd door de DIF. Voor de opslag van de paspoortgegevens zelf wordt IPFS gebruikt, een peer-to-peernetwerk voor de distributie van gegevens. Zo hoeven je persoonsgegevens in principe nooit je eigen apparaat te verlaten.

Zin om je handen vies te maken en deins je niet terug voor een berg technische termen? Dan is deze Docker-container een handig startpunt.

Europees initiatief

De kans is klein dat je in 2020 of 2021 al gebruikmaakt van dit soort digitale paspoorten. Maar dát ze er komen, lijkt onvermijdelijk. In Nederland is het een aandachtsgebied van TNO en ook de Nederlandse Rijksdienst voor Identiteitsgegevens is ermee bezig. Vanuit de Europese Unie is SSI gebombaardeerd tot één van de vier bouwblokken van de European Blockchain Services Infrastructure (EBSI).

Krijgen we dan weer allerlei verschillende diensten en applicaties waarover persoonsgegevens verspreid zijn? Daar lijkt het niet op. Vanuit het W3C wordt aan een open standaard gewerkt, met als doel dat verschillende netwerken en applicaties dezelfde taal spreken en uitwisselbaar zijn. Zo zou het, in theorie, niet moeten uitmaken op welke manier je paspoorten beheert, als je het maar doet volgens de afspraken.

Mooie ontwikkelingen!