Ga naar inhoud

Het Dutch Decentralised Identity Profile (DDIP)

Hoewel digitalisering een efficiëntieslag teweeg heeft gebracht in processen van overheid en bedrijfsleven, heeft het ook geleid tot grotere risico’s voor de privacy en (cyber)veiligheid. Er is een verandering nodig in de manier waarop we gegevens delen. We dienen zelf weer in controle te komen over onze gegevens en te kunnen vertrouwen op informatie mèt een fundamentele borging van privacy. Deze verandering is de laatste jaren wereldwijd volop in ontwikkeling onder de noemer Self-Sovereign Identity.

Steeds meer organisaties ontdekken de mogelijkheden van SSI en werken ideeën en pilots uit. Helaas ontbreekt in de meeste gevallen een gezamenlijke aanpak. Het gevolg is een wildgroei van losse identiteitssystemen en ketens, waarbij autonomie, vertrouwen en privacy telkens opnieuw moeten worden afgewogen en geborgd. Dat vergroot de kans op fouten en maakt het lastig voor gebruikers en toezichthouders om die systemen en ketens te doorgronden. Daarmee is het ook lastig te controleren en dus te weten of privacy en andere waarden voldoende beschermd zijn.

Interoperabiliteit is een must


De grote fragmentatie van identiteitssystemen en ketens heeft tot gevolg dat er meerdere decentrale oplossingen ontstaan die niet met elkaar kunnen communiceren. Bovendien belemmeren culturele, organisatorische, politieke, juridische en economische grenzen het delen van data en de identificatie van mensen en organisaties. 


Interoperabiliteit is noodzakelijk en dient geborgd te worden aan het begin van de verschillende ontwikkelingen. Dat kunnen we doen door hetzelfde profiel van standaarden te hanteren: een Interoperabiliteit Profiel (hierna: Interop Profiel). Daarom bouwt de DBC met partners aan het Dutch Decentralized Identity Profile (DDIP).

Wat is een Interop Profiel?


Een Interop Profiel is een set aan technische protocollen en standaarden waar verschillende partijen zich aan hebben gecommitteerd. Hierdoor zijn de gegevens die uitgegeven worden voor een bepaald gebruiksscenario ook bruikbaar bij andere gebruiksscenario's die voldoen aan het Interop Profiel.


SSI


afbeelding 1. De driehoek van vertrouwen: hoe werkt de uitwisseling van credentials met SSI?


SSI stelt mensen en organisaties in staat om betrouwbaar digitaal gegevens uit te wisselen. Een Interop Profiel voor SSI biedt de volgende voordelen:

1. Het stelt issuers in staat holders te laten kiezen uit meerdere wallets die voldoen aan het Interop Profiel. Daarmee blijft keuzevrijheid geborgd. De holder kan dus zelf kiezen welke wallet te gebruiken. De wallet staat daarmee los van de organisaties waarmee gegevens worden uitgewisseld.

2. Daarnaast kunnen de uitgegeven credentials gepresenteerd worden bij alle verifiers die DDIP ondersteunen zonder dat hier aanvullende technische afspraken over gemaakt hoeven worden. 

3. Holders kunnen met de wallet van hun keuze terecht bij alle issuers en verifiers die hetzelfde Interop Profiel hanteren. Het is dus niet nodig om voor elk gebruiksscenario een aparte wallet te gebruiken. 

4. Verifiers bereiken direct alle holders die een van de wallets gebruiken binnen het Interop Profiel. Technisch betekent dit dat met slechts één integratie alle gegevens die zijn uitgegeven binnen een Interop Profiel als verifiable presentation ontvangen kunnen worden.

    Explainer bij SSI-termen

    Het concept Self-Sovereign Identity (SSI) brengt eigen termen met zich mee. De hierboven gebruikte termen worden in deze explainer uitgelegd. Voor uitleg over andere termen behorende bij SSI verwijzen we naar de glossary van het eSSIF-Lab.

    Wat is een Issuer (uitgever)?

    De issuer is in deze context de uitgever van de gegevens die gedeeld worden met een derde partij. Bijvoorbeeld de Kamer van Koophandel is de issuer van het uitreksel van het handelsregister dat een organisatie moet tonen aan een partij met wie hij zaken wil doen.

    Wat is een Holder (houder)?

    De organisatie of persoon die attributen van haar of zijn identiteit in bezit heeft.

    Wat is een Verifier (verifiërende partij)?

    De uitvragende partij die de identiteit(scomponenten) opvraagt, ook wel relying party genoemd.

    Wat is een Wallet (digitale kluis)?

    De digitale kluis waar de componenten rondom een identiteit decentraal en in beheer van de holder bewaard worden.

    Wat zijn Credentials (waarmerkingskenmerken)?

    De componenten van een identiteit, bijvoorbeeld bij een persoon de geboortedatum.

    Waarom DDIP?

    Samenwerking is belangrijk bij een Interop Profiel. De adoptie hangt echter tevens af van de kennis, kunde en architectuur van organisaties. Er bestaan al Interopprofielen, maar een verkenning in het veld leert dat deze onvoldoende aansluiten bij de huidige kennis en mogelijkheden van organisaties.

    Voor de tot standkoming van het Dutch Decentralized Identity Profile (hierna: DDIP) is daarom uitgegaan naar het meest laagdrempelige profiel om te starten met SSI. Zo kunnen organisaties sneller leren wat SSI voor hen kan betekenen en kan adoptie worden geaccelereerd. Deze componenten zijn zo gekozen dat het makkelijk is om door te ontwikkelen. In de toekomst voorzien we migratie naar geavanceerdere standaarden. De migratie hier naartoe is voorzien en wordt beschreven in een volgende versie van DDIP.

    Welke componenten zitten er in DDIP?


    DDIP bestaat uit zeven gestandaardiseerde componenten. Hiermee zijn de meeste eenvoudige gebruiksscenario's op het gebied van SSI mogelijk. Het is natuurlijk mogelijk om zelf meer componenten te kiezen, maar gebruiksscenario's met extra componenten zijn niet interpretabel binnen dit profiel.


    DDIP componenten:

    1. OpenID for Verifiable Credential Issuance
    2. OpenID for Verifiable Presentations
    3. DIF Presentation Exchange
    4. W3C Verifiable Credential JWT
    5. DID methods: DID:WEB en DID:JWK
    6. Signature types ES256
    7. Revocation method: StatusList 2021


    Voor een uitgebreide beschrijving van de componenten zie GitHub.



    Welke leveranciers zijn compatibel?


    Zowel Sphereon als Animo ondersteunen dit Interop profiel en werken er nu aan om hun wallet oplossing compatibel te maken met DDIP. We hopen dat meer aanbieders hetzelfde gaan doen, hiervoor zijn we met verschillende partijen in gesprek. 
     


    Wie zijn betrokken bij de ontwikkeling van DDIP?


    DDIP is opgestart vanuit de DBC. De eerste versie is ontwikkeld door de DBC in samenwerking met TNO, Animo en Sphereon. Het is een open initiatie waar iedereen zich bij kan aansluiten en gebruik van kan maken.

    Door wie wordt DDIP nu gebruikt?


    De DBC en bovengenoemde partijen zullen het DDIP als standaard gebruiken bij nieuwe projecten waar SSI in wordt gebruikt. Bijvoorbeeld:

    Ondernemingspaspoort

    Future Mobility data Marketplace

    Praktijkproef huurauto’s

    Zoutlogistiek


    Hoe doe ik mee?


    Neem contact op met SSI-lead van de DBC Alexander van den Wall Bake via alexander.vandenwallbake@dutchblockchaincoalition.org