| Certificate authority (CA) |
Ein Unternehmen oder eine Organisation, die die Identität von Einheiten (z. B. Websites, E-Mail-Adressen, Unternehmen oder Einzelpersonen) validiert und sie durch die Ausstellung elektronischer Dokumente, die als digitale Zertifikate bekannt sind, an kryptografische Schlüssel bindet. |
|
| Decentralized Identifier (DID) |
Ein global eindeutiger Identifikator (URI), der dezentral (ohne Abhängigkeit von einer Drittinstanz) gebildet wird. DID wird verwendet um Objekten, Subjekten oder juristischen Personen eine eindeutige Identität zu verleihen. Der dezentrale Ansatz ermöglicht es, dass die Kontrolle über den Identifikator vollständig beim Ersteller dieser verbleibt, ohne das eine Drittinstanz ein User-Management betreiben muss. Die DID besteht aus dem DID Schema, aus der DID Methode und aus einem eindeutigen String, der direkt aus dem dazugehörigen Public Key abgeleitet wird. Beispiel: did:example:123456789abcdefghi. Eine DID ist immer eindeutig verknüpft mit einem Private und Public Key Pair. Da der DID-String aus dem Public Key abgeleitet wird und der dazugehörige Private Key beim DID Controller verbleibt, lösen DIDs zwei wesentliche Probleme: Erstens wird, für Vertrauen zu generieren, die Abhängigkeit von einer Drittinstanz, bzw. vom Faktor Mensch entfernt. Zweitens wird der DID Controller zur DID eindeutig verknüpft, da nur der Besitzer des privaten Schlüssels die Kontrolle über die Kennung zu einer DID nachweisen kann. |
|
| DID Controller |
Die Person, die über die Kontrolle einer DID verfügt. Der DID Controller ist in der Regel das DID Subjekt, kann aber aufgrund einer digitalen Guardianship vom Subjekt abweichen (z.B. Vormünder einer nicht-mündigen Person). |
|
| DID Dereferencing |
Eine Methode in der Historie eines DID Document einen spezifischen Public Key aufzulösen. |
|
| DID Document |
Ein Datensatz, der das DID Subjekt beschreibt und welcher in der Regel öffentlich aufrufbar ist. Der Datensatz beinhaltet im Wesentlichen die DID URI und den Public key. Damit erfüllt das DID Document folgende Zwecke: Einerseits kann der Public Key einer DID abgerufen werden. Andererseits wird ermöglicht, dass der DID Controller sein Public Key Pair aus Sicherheitsgründen regelmässig aktualisieren kann, ohne dass die Historie der Keys verloren geht (siehe DID Dereferencing). DID Documents beinhalten die Basis für die Verifikation von ausgestellten Verifiable Credentials. |
|
| DID Method |
Ein Bestandteil des DID Strings, der auf eine Spezifikation mit Vorgängen verweist, mit welchen DIDs und DID Documente aufgelöst, aktualisiert und deaktiviert werden. |
|
| DID Registry |
Siehe Verifiable Data Registry (VDR). |
|
| DID Resolver |
Eine Funktion das DID Document einer DID aufzulösen. Ein Resolver ist je nach DID Methode unterschiedlich ausgeprägt. Resolver, die die DID Document Auflösung von mehreren Methoden unterstützen, nennt man Universal Resolver. Beispiel: https://github.com/decentralized-identity/universal-resolver. Universal Resolver bilden die Basis für Interoperabilität über unterschiedliche Verifiable Data Registries hinweg und gehören in jedes Digital Wallet rein. |
|
| DID Schema |
Der formale Syntax eines dezentralen Identifikators. Das generische DID-Schema beginnt mit dem Präfix did:. |
|
| DID Subjekt |
Die Person, Organisation oder Objekt, die die DID beschreibt. |
|
| DIDComm |
Ein spezifisches Kommunikationsprotokoll, um eine direkte, gesicherte und permanente Verbindung zwischen zwei digitalen Agenten, bzw. zwei Geräten mit integrierter DID herzustellen. |
|
| Digital Agent |
Eine dem digitalen Wallet übergeordnete Komponente, die die Kommunikation mit anderen Geräten oder Cloudsysteme routet. Zusätzlich ist der Agent zuständig für das Backup & Recovery der Inhalte im digital Wallet und sichert die Schnittstelle zur Secure Data Storage. |
|
| Digital Guardianship |
Eine Person oder Organisation, die juristisch oder im Rahmen einer Organisation berechtigt ist, die Kontrolle einer DID eines anderen DID Subjekts zu übernehmen und Vollmacht darüber besitzt. Die Kontrolle muss über ein "guardian credential" berechtigt werden. Beispiel: eine Organisation, die die Identitäten von Flüchtlinge, physisch und psychisch beeinträchten Personen oder Obdachlose verwaltet. |
|
| Digital Wallet |
Eine Software, die es erlaubt Identitäten (DIDs) zu kreeiren, zu verwalten und zu löschen. Zusätzlich Aufgaben eines Wallets sind: Speichern von Verifiable Credentials, digitale Kopien von physischen Credentials, Speichern von Visitenkarten, Verwalten der Keys (in Verbindung mit Secure Data Storage) und vieles mehr. |
|
| Digitale Signatur |
Ein kryptographisches Verfahren einen digitalen Inhalt mit einer elektronischen Signatur zu versehen. Der Verifier kann mittels Public Keys (über das DID Document) des Erstellers prüfen, dass der digitale Inhalt tatsächlich von diesem Ersteller kommt und nicht verändert wurde. |
|
| Distributed Ledger Technology (DLT) |
Ein dezentrales System zur Aufzeichnung von Daten und Werten. Diese Systeme schaffen so viel Vertrauen, dass sich die Teilnehmer auf die von anderen aufgezeichneten Daten verlassen können, um operative Entscheidungen zu treffen. Sie verwenden in der Regel verteilte Datenbanken, bei denen verschiedene Knotenpunkte ein Konsensprotokoll verwenden, um die Reihenfolge der kryptografisch signierten Transaktionen zu bestätigen. Die Verknüpfung digital signierter Transaktionen im Laufe der Zeit macht die Historie des Hauptbuchs oft praktisch unveränderlich. Die meist bekannte Form von DLT sind Blockchain und Directed Acyclic Graph. |
|
| GF DID |
Die DID des Governance Frameworks. Die GF DID kann in einem VC hinzugefügt werden, wobei der Verifier die notwendigen Informationen bekommt, ob das VC vertrauenswürdig ist. |
|
| Governance Framework |
Ein System, mit dem die aktuelle und zukünftige Nutzung der Informationstechnologie (IT) gesteuert und kontrolliert wird. Alternativ wird es als "Trust Framework" betitelt. Das Framework dient dazu, die Richtlinien, Verfahren und Mechanismen für das Funktionieren des digitalen Vertrauens innerhalb einer Vertrauensgemeinschaft zu beschreiben. Zur Anwendung kommen in der Regel Geschäfts-, juristische und technische Policies. Auch wird innerhalb eines Frameworks bestimmt, welche Identitäten (Issuer und Verifier) als vertrauenwürdig eingestuft werden. |
|
| Hash |
Ist ein eindeutiger digitaler Fingerprint von einer digitalen Nachricht. Der gleiche Input gibt immer den gleichen Output. Ziel von einem Hash ist nicht die Verschlüsselung einer Nachricht, sondern die Verifizierung der Integrität einer Nachricht. Die Aufgaben von Hash Funktionen sind eine effiziente Berechnung, Rückschliessung auf den originalen Inhalt zu verhindern und Sicherstellen, dass ein Hash-String nicht mehrfach vorkommen kann. Bekannte Funktionen von Hash sind MD5 oder SHA-256. |
|
| JavaScript Object Notation (JSON) |
Ein mögliches Format zur Ausstellung von VC. Das Format hat den Vorteil, dass es maschinell wie auch für einen Menschen einfach lesbar ist. |
|
| JSON Web Token (JWT) |
Ein mögliches Format zur Ausstellung von VC. Das Format hat den Vorteil, dass es maschinell wie auch für einen Menschen einfach lesbar ist. |
|
| JSON-Linked Data (JSON-LD) |
Ist eine Erweiterung von JSON. Damit wird ermöglicht, auf Datenbanken mit einer Beschreibung von Attributen zu verweisen und somit Attributen in VC einer "Sprache" zu untermauern. |
|
| Level-of-Assurance (LOA) |
Der Grad an Gewissheit, dass die Behauptung einer bestimmten Identität während der Authentifizierung tatsächlich die "wahre" Identität des Antragstellers ist. |
|
| Peer-DID |
Eine bidirektionale und verschlüsselte Verbindung zwischen zwei Identitäten. Der Vorteil dieses Verbindungsprotokoll ist, dass keine VDR für die Verifizierung und Kommunikation benötigt wird. Die DID ist dezentral auf den Geräten der Identitäten gespeichert und über den Austausch der Public Keys wird eine asymetrische Verschlüsselung aufgebaut, die eine sichere Kommunikation ohne zentrale Instanz ermöglicht. Die Kommunikation kann zum Beispiel über QR-Codes, NFC oder BLE Geräten hergestellt werden. |
|
| Private Key / Public Key |
Mittels dem sogenannten Key-Pair Private und Public Key wird eine asymetrische Verschlüsselung ermöglicht. Damit kann eine Partei seine Mitteilung mit dem Public Key der Gegenpartei verschlüsseln, die wiederum mit ihrem Private Key die Nachricht entschlüsseln kann. Andererseits ist es möglich eine mit einem Private Key erstellte Signatur mittels Public Key zu verifizieren. |
|
| Revoking |
Damit versteht man den Prozess ein ausgestelltes VC zu widerrufen. Das geschieht in der Regel über ein separates aufrubares Revocation Registry oder über eine aktualisierte Verification Method im DID Document. Der Vorteil in diesen Methoden liegt darin, dass der Verifier zu keiner Zeit den Issuer kontaktieren muss, um die Gültigkeit des VC zu überprüfen. |
|
| Secure data storage (Vault) |
Eine von dem digital Wallet separate Umgebung. Sie beinhaltet einerseits ein Encrypted Storage, das heisst eine sichere "Enklave" auf einem Computer / Smartphone, die von Trusted Execution Environments (TEE) oder Hardware Security Modules (HSM) verwaltet werden. Andererseits beinhaltet sie ein Key Management System um Daten wie Private Key und damit verknüpfte Informationen sicher zu speichern. |
|
| Selective Disclosure |
Eine Möglichkeit mittels Zero Knowledge Proof statt den ganzen Inhalt nur bestimmte Teile eines Verifiable Credentials zu teilen. Beispiel: Ein Türsteher muss von den Besucher eines Clubs nicht den Namen wissen, sondern braucht nur einen Beweis, dass das 18. Lebensjahr erreicht wurde. |
|
| Trust Framework |
Siehe Governance Framework. |
|
| Trust Registry / Trust Anchor |
Siehe Verifiable Data Registry (VDR). |
|
| Trust Triangle |
Eine tridirektionale Verbindung zwischen einem Empfänger eines Verifiable Credentials (Holder), dem Ersteller des Verifiable Credentials (Issuer) und dem Prüfer des Verifiable Credentials (Verifier). Vertrauen ohne zentrale Instanz wird hergestellt, in dem über kryptographische Signaturen und öffentlich einsehbaren Public Keys (über DID Documents) die Identitäten eindeutig zugeordnet werden können. Es gilt zu beachten, dass die Rollen innerhalb des Trust Triangles nicht fest verteilt sind. Während eine Person mit einem VC in der Regel die Rolle des Holders einnimmt, kann diese PErson während der Verifikation seines VC selbst die Rolle des Verifiers einnehmen und überprüfen, ob der Verifier seines VCs vertrauenswürdig ist. |
|
| Trusted Third Party (TTP) |
Siehe Certificate Authority (CA). |
|
| Uniform resource Resource (URI) |
Einen global eindeutigen Identifikator. Beispiel: DIDs. |
|
| Verfiable Data Registry (VDR) |
Ein Register, die allen Teilnehmer des Trust Triangles erlaubt Inhalte von DID Document aufzulösen. Der Register kann in Form eines DLTs oder einer konventionellen Datenbank aufgebaut werden. Bei einer DLT können alle Teilnehmer sicher sein, dass die Daten von den DID Document nicht unrechtmässig manipuliert wurden. Eine zentrale Angriffsfläche (Single Point of Failure) ist bei einem DLT je nach Protokoll unwahrscheinlich. |
|
| Verifiable Credential (VC) |
VCs sind eine Reihe von Aussagen (sogenannte Claims) über das DID Subjekt und werden im Sinne der SSI in Form eines überprüfbaren Berechtigungsnachweises ausgestellt, der von seinem Aussteller kryptografisch signiert ist. Digitale Berechtigungsnachweise sollen Auskunft darüber geben, wer den Berechtigungsnachweis ausgestellt hat, ob er die vom Prüfer benötigten Daten enthält, ob er manipuliert wurde und ob er noch gültig ist. |
|
| Verifiable Presentation (VP) |
Die Form, mit welcher der Holder sein VC an den Verifier beim Verifikationsprozess präsentiert. Dabei wird das VC durch den Holder zuerst signiert und danach erst präsentiert. Damit hat der Verifier einen Beweis, dass das VC tatsächlich im Besitz des DIDs ist, dem es auch ausgestellt wurde. Methoden wie ZKP ermöglichen, dass nur Teile eines VCs präsentiert werden, ohne den ganzen Inhalt zu teilen (siehe Selective Disclosure). |
|
| Verification Method |
Eine Information innerhalb des DID Documents (in der Regel ein Public Key), mit welcher die Prüfung einer digitallen Signatur kryptographisch vollzogen werden kann. |
|
| Zero Knowledge Proof (ZKP) |
Eine Methode, die in der Kryptographie verwendet wird, um zu beweisen, dass etwas bekannt ist, ohne die bekannten Informationen direkt zu offenbaren. Sie ermöglicht es im Wesentlichen, private Informationen in einem Austausch geheim zu halten. ZKP sind indirekte Beweise, mit denen man nachweisen kann, dass man ein Geheimnis kennt, ohne es jemals einer anderen Person zu offenbaren. Man beweist nur, dass man die Wahrheit sagt. Zero Knowledge Proof Camenisch-Lysyanskaya (ZKP-CL) ist ein Format mit dem VC mit dem oben erwähnten Zweck ausgestellt werden. |
|