83228_2021_210823_UpdateLsungsoptionen
Dieses Dokument ist Teil der Anfrage „ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte“
Kombination von Smart-eID und SSI- Ökosystem Darstellung der Lösungsoptionen - Update 23. August 2021
Fünf Optionen für die Umsetzung der Kombination von Smart-eID und SSI-Ökosystem wurden durch technische Experten definiert Kernidentität Eine Welt für Nutzer 2 Welten für Nutzer 1 2 3 4 5 Smart-eID wird mit Nur SSI-Credentials: Zugang zu Basis-ID über SSI-Kernidentitäts- Smart-eID und SSI-Kernidentitäts- anderen SSI Credentials Smart-eID wird SSI Smart-eID nachweis wird in Echtzeit nachweis werden in einer Wallet kombiniert Credential basierend auf Smart-eID kombiniert und entsprechend den ausgestellt regulatorischen Anforderungen genutzt Benötigtes Smart-eID und SSI SSI SSI SSI Smart-eID (wenn regulierter Anwendungsfall oder auf Wunsch des Verifizierers) und SSI Technologie Stack bei Verifizierern Technologie für Bestehende Smart-eID Bestehende SSI Technologie. Smart-eID mit abgeleitetem, Smart-eID mit, in Echtzeit Je nach gesetzlicher Anforderung (persönlicher Technologie Perspektivisch auch attributiertem/verschlüsseltem SSI- abgeleitetem, jeweils einmalig Präferenz) fordert der Verifizierer entweder die Kernidentitäts- Umstellung des physischen Kernidentitätsnachweis, der nur gültigem SSI-Kernidentitätsnachweis Smart-eID (hohes Vertrauensniveau) oder den nachweis Personalausweises auf SSI genutzt werden kann, wenn die SSI-Kernidentitätsnachweis an Transaktionsfreigabe durch die Smart-eID erfolgte Kombination mit Smart-eID und SSI-Nachweis Alle SSI-Nachweise werden Nach Freigabe des SSI- Nach Erstellung des SSI- Smart-eID und SSI-Nachweis werden über werden über Wallet an gemeinsam über Wallet an Kernidentitätsnachweises werden Kernidentitätsnachweises werden Wallet an Verifizierer übermittelt. Verifizierer anderen Verifizierer übermittelt. Verifizierer übermittelt. alle SSI-Nachweise gemeinsam über alle SSI-Nachweise gemeinsam über gleichen die Daten ab Nachweisen Verifizierer gleichen die Daten ab Verifizierer gleichen die Daten die Wallet an Verifizierer übermittelt. die Wallet an Verifizierer übermittelt. ab Verifizierer gleichen die Daten ab Verifizierer gleichen die Daten ab 2
Grundlegende Eigenschaften aller Lösungen Der Diensteanbieter (Verifier) muss stets ein Matching machen, ob die vorgelegte Personenidentität (egal ob Smart-eID oder Basis-ID) mit der Person auf den weiteren Nachweisen (z.B. dem Zeugnis, Impfnachweis, etc.) übereinstimmt Der User nutzt nur eine APP: eine Wallet-APP. Beim Zusammenwachsen von Smart-eID und Wallet muss das Smart-eID-Applet daher mit der Wallet App verknüpft werden. Zugleich sollen mehrere Wallet-Apps ermöglicht werden (Offenheit des Ökosystems). 1 Bei der Nutzung sowohl der Smart-eID als auch der Basis-ID ist aktuell eine Online-Verbindung nötig. Beide können in der weiteren Entwicklung aber auch offline-fähig gemacht werden. 1. Eine Option hierfür wäre es, das Smart-eID-Applet als White-Label oder OpenSource den Wallet Anbietern verfügbar zu machen, damit diese es mit ihrer Wallet-App verknüpfen und über die TSMS Infrastruktur provisionieren lassen können. 3
1. Smart-eID wird mit anderen SSI Credentials kombiniert Unternehmen Nutzer Onboarding und Ausstellung Kernidentität Ausstellung weiterer Credentials (z.B. Zeugnis) Prozess des Zeugnis wird geholt und Onboardings Wallet auf Smartphone Personalisiert Smart-eID SSI-Credential wird bzw. der laden (Ableitung PA) ausgestellt 1 Ausstellung Prozess der Nutzer bewirbt sich bei Nutzer Prüft ID über Smart- Macht einen Proof Verifizierung Unternehmen und star- entsperrt eID (klassisches eID- Nutzer gibt Smart-eID Request (SSI VC) für (inkl. Kombination PIN ein tet Zeugnisübertragung Wallet 2 System) Zeugnisdaten mit anderen Nachweisen) Unternehmen bekommt Übertragung wird und interpretiert die freigegeben Datensätze 1. Je nach Credential findet bei der Ausstellung ggf. eine Identitätsprüfung statt 2. Face-ID/Fingerabdruck/PIN – aufgrund PIN-Eingabe beim Verifizierungsvorgang optional, kann durch den Nutzer deaktiviert werden 4
2. Nur SSI-Credentials: Smart-eID wird zu SSI Credential Unternehmen Nutzer Onboarding und Ausstellung Kernidentität Ausstellung weiterer Credentials (z.B. Zeugnis) Prozess des Onboardings Wallet auf Smartphone Personalisierung Zeugnis holen (SSI VC) 1 bzw. der laden (Ableitung PA) Ausstellung Prozess der PIN-Eingabe Unternehmen Nutzer bewirbt sich bei Nutzer Macht einen Proof Übertragung Verifizierung Unternehmen und star- entsperrt Request (SSI VC) für für wird bekommt und (inkl. Kombination Verifizierungs- interpretiert den tet Zeugnisübertragung Wallet2 ID und Zeugnisdaten freigegeben vorgang Datensatz mit anderen Nachweisen) 1. Je nach Credential findet bei der Ausstellung ggf. eine Identitätsprüfung statt 2. Face-ID/Fingerabdruck/PIN – aufgrund PIN-Eingabe beim Verifizierungsvorgang optional, kann durch den Nutzer deaktiviert werden 5
3. Zugang zu Basis-ID über Smart-eID Identifizierungsdienstleister Wallet Herausgeber Kernidentitätsnachweis Unternehmen Nutzer Ausstellung weiterer Onboarding und Ausstellung Kernidentität Credentials (z.B. Zeugnis) Prozess des Onboardings SSI Issuer erstellt Zeugnis wird geholt Wallet auf Smartphone Personalisiert Smart-eID verschlüsselten/attributierten und SSI-Credential bzw. der laden (Ableitung PA) SSI Kernidentitätsnachweis wird ausgestellt 1 Ausstellung Prozess der SSI Kernidentitäts- Nutzer bewirbt sich bei Nutzer Unternehmen fragt Verifizierung Unternehmen und star- entsperrt verifizierte Identität Nutzer gibt nachweis wird durch (inkl. Kombination Personalausweis PIN ein eID Server tet Zeugnisübertragung Wallet 2 ab freigeschaltet mit anderen Nachweisen) Unternehmen bekommt Übertragung wird und interpretiert den freigegeben Datensatz 1. Je nach Credential findet bei der Ausstellung ggf. eine Identitätsprüfung statt 2. Face-ID/Fingerabdruck/PIN – aufgrund PIN-Eingabe beim Verifizierungsvorgang optional, kann durch den Nutzer deaktiviert werden 6
4a. SSI-Kernidentitätsnachweis wird in Echtzeit basierend auf Smart-eID ausgestellt Identifizierungsdienstleister Wallet Herausgeber Kernidentitätsnachweis Unternehmen Nutzer Onboarding und Ausstellung Kernidentität Ausstellung weiterer Credentials (z.B. Zeugnis) Prozess des Onboardings Zeugnis wird geholt und Wallet auf Smartphone Personalisiert Smart-eID SSI-Credential wird bzw. der laden (Ableitung PA) ausgestellt 1 Ausstellung Prozess der Unternehmen fragt Wallet veranlasst Nutzer bewirbt sich bei Nutzer Nutzer gibt Verifizierung Unternehmen und star- entsperrt verifizierte Idenität Ausstellung des SSI Personalausweis PIN (inkl. Kombination ab, d.h. Proof Request Kernidentitäts- tet Zeugnisübertragung Wallet 2 ein wird gestellt nachweises mit anderen Nachweisen) Unternehmen SSI Kernidentitätsnachweis wird bekommt und Übertragung durch eID Server für einmalige interpretiert den wird freigegeben Verwendung ausgestellt Datensatz Hinweis: Credential wird nicht durch das Wallet geleitet, sondern direkt vom Smart eID-Server an den Verifizierer gegeben (kein End-to-End- 1. Je nach Credential findet bei der Ausstellung ggf. eine Identitätsprüfung statt 2. Face-ID/Fingerabdruck/PIN – aufgrund PIN-Eingabe beim Verifizierungsvorgang optional, kann durch den Nutzer deaktiviert werden Prozess zwischen Halter und Verifizierer) 7
4b. SSI-Kernidentitätsnachweis wird in Echtzeit basierend auf Smart-eID ausgestellt Identifizierungsdienstleister Wallet Herausgeber Kernidentitätsnachweis Unternehmen Nutzer Onboarding und Ausstellung Kernidentität Ausstellung weiterer Credentials (z.B. Zeugnis) Prozess des Zeugnis wird geholt und Onboardings Wallet auf Smartphone Personalisiert Smart-eID SSI-Credential wird bzw. der laden (Ableitung PA) ausgestellt 1 Ausstellung Prozess der Unternehmen fragt Wallet veranlasst Nutzer bewirbt sich bei Nutzer Nutzer gibt Verifizierung Unternehmen und star- entsperrt verifizierte Idenität Ausstellung des SSI Personalausweis PIN (inkl. Kombination ab, d.h. Proof Request Kernidentitäts- tet Zeugnisübertragung Wallet2 ein wird gestellt nachweises mit anderen Nachweisen) Unternehmen SSI Kernidentitätsnachweis SSI Kernidentitätsnachweis wird bekommt und Übertragung wird nach Zeitraum von durch eID Server für kurzfristige interpretiert den wird freigegeben einigen Minuten revoziert Verwendung ausgestellt Datensatz 1. Je nach Credential findet bei der Ausstellung ggf. eine Identitätsprüfung statt Hinweis: Anders als in Option 4a wird das 2. Face-ID/Fingerabdruck/PIN – aufgrund PIN-Eingabe beim Verifizierungsvorgang optional, kann durch den Nutzer deaktiviert werden Credential hier in das Wallet geladen 8
5. Smart-eID und SSI-Kernidentitätsnachweis werden in einer Wallet kombiniert und entsprechend den regulatorischen Anforderungen genutzt Identifizierungsdienstleister Wallet Herausgeber Kernidentitätsnachweis Unternehmen Nutzer Ausstellung weiterer Onboarding und Ausstellung Kernidentität Credentials (z.B. Zeugnis) Prozess des SSI Kernidentitäts- Zeugnis wird geholt und Onboardings Wallet auf Smartphone Personalisiert Smart-eID nachweis wird SSI-Credential wird bzw. der laden (Ableitung PA) automatisch ausgestellt ausgestellt 1 Ausstellung Regulierter Anwendungsfall + auf Wunsch Prozess der Nutzer bewirbt sich Prüft ID über Smart- Nutzer gibt Macht einen Proof Verifizierung bei Unternehmen und eID (klassisches eID- Smart-eID PIN Request (SSI VC) (inkl. Kombination startet Zeugnis- System) ein Zeugnisdaten mit anderen übertragung Nachweisen) Unternehmen Unternehmen Nutzer entsperrt übermittelt welches Unregulierter Anwendungsfall Übertragung wird bekommt und Wallet 2 Vertrauensniveau freigegeben interpretiert den benötigt wird Macht einen Proof Datensatz Request (SSI VC) für ID und Zeugnisdaten Hinweis: Im unregulierten AF keine formelle hoheitliche Identifizierung (obgleich Identität 1. Je nach Credential findet bei der Ausstellung ggf. eine Identitätsprüfung statt 2. Face-ID/Fingerabdruck/PIN – aufgrund PIN-Eingabe beim Verifizierungsvorgang für regulierte AF optional, kann durch den Nutzer deaktiviert werden initial aus dem PA abgeleitet wurde), daher auch keine zusätzliche PIN-Eingabe 9