CD-Labor für Private Digitale Authentifizierung in der Physischen Welt

Biometrische Authentifizierung, um z.B. ohne Pass zu reisen, wird kommen, birgt jedoch Risiken der Überwachung und des Datenmissbrauchs. Dieses CD-Labor forscht an vertrauenswürdigen, dezentralen Lösungen unter vollständiger Kontrolle der NutzerInnen.

Um z.B. öffentliche Verkehrsmittel benutzen oder Staatsgrenzen übertreten zu können, müssen wir Tickets bzw. einen Reisepass vorweisen. Solche physischen Objekte zur Authentifizierung können verloren, gestohlen, gefälscht, oder beschädigt werden und unterliegen daher einem Sicherheitsrisiko. Bereits in naher Zukunft wäre es technisch möglich, diese Authentifizierung auf Basis biometrischer Daten durchzuführen – Verlust oder Diebstahl physischer Elemente wären ausgeschlossen und Authentifizierung noch möglich, solange die Daten vorliegen. Solche digitalen Identitätsnachweise könnten leicht durch zentralisierte Datenbanken, welche sämtliche biometrischen Daten von NutzerInnen speichern, realisiert werden. Allerdings birgt eine zentrale Überwachung und Speicherung aller Nutzerbewegungen und -interaktionen massives Missbrauchspotential, bis hin zur Fälschung und Löschung digitaler Identitäten. Eine dadurch mögliche vollständige Überwachung und Kontrolle aller NutzerInnen ist aktuell nicht mit den universellen Grundrechten auf Privatsphäre vereinbar und mit europäischen Konzepten des Datenschutzes unverträglich.

Um digitale Identitäten zur Authentifizierung von Individuen im alltäglichen Leben dennoch nutzen zu können, ohne damit die Privatsphäre und Selbstbestimmung von einzelnen NutzerInnen zu gefährden, sind dringend dezentrale Lösungen gefordert, welche sich einer Überwachung durch zentrale Entitäten entziehen. Dieses CD-Labor für Private Digitale Authentifizierung in der Physischen Welt (Digidow) forscht daher erstmals an einer dezentralen und somit vertrauenswürdigen Infrastruktur zur biometrischen Authentifizierung. Der einzelne Nutzer behält eine bessere Kontrolle über die Interaktionen in der digitalen sowie physischen Welt und damit über die Datenspuren, die er oder sie notwendigerweise hinterlässt.

Das dezentrale Prinzip verbindet individuelle NutzerInnen in der physischen Welt mit persönlichen digitalen Agenten. Diese persönlichen Agenten ermöglichen verschiedene Formen der Authentifikation, von Bezahlung oder anderen Zugangsmechanismen der NutzerInnen. Dabei werden die NutzerInnen durch biometrische Sensoren (Kameras, Fingerabdruckscanner, etc.) identifiziert. Diese Sensoren kommunizieren die Daten dann an den persönlichen Agenten zur Verifizierung und selektiven Herausgabe nur der entsprechenden benötigten Daten. Die biometrischen Sensoren und die persönlichen Agenten werden nicht von denselben Entitäten kontrolliert und müssen daher gegenseitige Authentifizierungsschritte unterlaufen. Erst wenn alle Daten und involvierten Entitäten von allen Seiten als rechtmäßig freigegeben wurden, kann Grenzübertritt oder eine Bezahlung erfolgen.

Diese interdisziplinäre Forschungsarbeit umfasst Bereiche der Kryptographie, der Netzwerke, der verteilten Systeme, der biometrischen Authentifizierung, des maschinellen Lernens und der Sicherheit von Programmcode sowie der zugehörigen sozialen, rechtlichen und ethischen Aspekte.

Gerade jetzt, wo große kommerzielle Anbieter ihre Nutzerkonten bereits als universelle digitale Zugangskonten etablieren und wo Gesichtserkennung innerhalb ihrer Systeme und dadurch unter ihrer Kontrolle zunehmend Standard wird, ist die Suche nach dezentralisierten, vertrauenswürdigen Möglichkeiten der Authentifizierung höchst brisant und dringend.