Stellungnahme zum Zwischenstand des ARF für EUDI Wallets
Autor: Ben Biedermann
Im Februar veröffentlichte die Europäische Kommission einen Zwischenstand des Architecture Reference Frameworks (ARF) für European Digital Identity (EUDI) Wallets, die im Zuge der Novellierung der europäischen “Verordnung […] über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt” (eIDAS 2.0) die Grundlage für ein paneuropäisches Identitätsökosystem bilden sollen. Das ARF regelt hierzu welche Technologien, Protokolle und Architekturen für EUDI Wallets verwendet werden. Parallel zum eIDAS 2.0 Prozess stellten wir uns im Projekt ID-Ideal ähnliche Fragen und erarbeiteten eine umfassende Architektur für dezentrale Identitäten, inklusive der dazugehörigen Wallets. Unser tiefgehendes Verständnis dezentraler Identitätsarchitekturen erlaubt es uns, das veröffentlichte ARF kritisch zu lesen. Daher beschäftigt uns besonders ein unter Umständen korrelationsanfälliger Identifier, sowie die implizite Abkehr von gut kontextualisierenden Credentialformaten.
Im Projekt setzten wir bisher vorrangig auf das Verifiable Credential (VC) Data Model in der Version 1 des World Wide Web Consortiums (W3C), da durch dessen Festschreibung von JSON-LD als Datenformat, Bedeutungen einzelner Werte im Credential extern referenziert werden können und somit eine semantische Standardisierung zulassen. Dies ist besonders wichtig, da wir wie in der analogen Welt beispielsweise die Bezeichnung für ein Attribut wie den Vornamen in andere Sprachen übersetzen möchten und Identitätsausweise vergleichbar sein sollen.
Währenddessen bleibt die Common Union Toolbox zum ARF in den Use Cases der so genannten Typ 1 Konfiguration hinter der ambitionierten W3C Spezifikation für VCs zurück. Zwar wird auf W3C VCs explizit verwiesen, jedoch zeigt sich in der näheren Beschreibung zum einen die Reduktion auf einfache JSON-basierte Credentials. Zum anderen ist es fraglich, ob und inwiefern bei JSON-Web-Token (JWT) gestützter Selective Disclosure (SD), oder JWT-SD, wirklich auf den VC-Standard des W3C zurückgegriffen wird.
Somit ist abzusehen, dass VCs nach der Spezifikation des W3Cs vollumfänglich nur in Use Cases vom Typ 2, also nur außerhalb der Kernnutzen einer EUDI, die nicht weiter definiert sind, zum Einsatz kommen werden. Die Hauptkomponente des EUDI Wallets hingegen (Typ 1) scheint somit die Verlängerung von bestehenden Verfahren mit hohen Vertrauensniveaus zu sein, wie beispielsweise der deutschen elektronischen Identität (eID). Nach erfolgreichem Onboarding der Nutzerinnen und Nutzer werden Credentials außerdem vorrangig durch die Standards zur Mobile Driving Licence und aus Spezifikationen im Open ID Connect Ökosystem abgebildet.
Insbesondere im Hinblick auf das selektive und verdeckte Vorzeigen von Identitätsattributen, auch Selective Disclosure (SD) genannt, wird der W3C Standard für JSON-LD basierte VCs, um seine Linked Data Eigenschaften verkürzt. Mehr noch, die Spezifikation der Internet Engineering Task Force (IETF) für JWT-SDs inkludiert weder Linked Data Contexts, noch wird für die Erstellung der JSON-Objekte explizit der Standard des W3Cs referenziert. Somit beschneiden die Common Union Toolbox, als auch das ARF, nicht nur das VC Data Model der W3C, sondern nehmen selbst bei verdeckten Präsentationen von VCs mittels JWT-SD Korellierbarkeit von Identifiern in Kauf. Wir als Projekt ID-Ideal, insbesondere Technologiedienstleister für dezentrale Identitäten, stehen somit vor der Herausforderung unseren ambitionierten Stack auf eine Auswahl an Technologien umzustellen, die mit der Konzeption von EUDI konform gehen. Nur durch Kompatibilität mit dem ARF werden unsere Lösungen im zukünftigen eIDAS Ökosystem relevant sein.
Gleichzeitig verstehen wir unseren Auftrag weiter gefasst als lediglich die Konformität mit dem ARF herzustellen. Gerade durch die punktuellen Abweichungen in der Technologieauswahl leisten wir einen Beitrag zum Entscheidungsprozess auf EU-Ebene, den wir mit bottom-up Erkenntnissen aus der Community bereichern. So unterstützen wir langfristig ein demokratisches und optimales Ergebnis für Bürgerinnen und Bürger in ganz Europa. Unser fehlendes Mandat für engere Interaktionen mit dem technologischen Entscheidungsprozess gibt uns hier die Chance gestalterische Freiheit. Wir können vielfältige Protokolle und kreative Lösungen für Probleme finden, die sich auch in den Use Cases des EUDI Wallets finden. Wir blicken zuversichtlich einem paneuropäischen Identitätsökosystem entgegen, das top-down mit bottom-up Ansätzen kombiniert. Auf diese Weise vereinen wir Perspektiven von Bürgerinnen und Bürgern mit Anforderungen internationaler Akteure für ein zukunftssicheres europäisches Identitätssystem.