Self Sovereign Identity (SSI), gaat dat werken?

Report out – Seminar over Self Sovereign Identity (SSI) – Security Leadership Brussel

Op 5 oktober 2022 organiseerde Heliview Conferences & Training een workshop tijdens hun Security leadership event in Brussel over Self Sovereign Identity. De kernvraag van deze workshop: gaat het werken? Jacoba Sieders faciliteerde deze workshop en ze begon met een poll by show of hands. Haar poll, “Gaat Self Sovereign Identity (SSI) werken?” kreeg maar net meer dan 60% van de aanwezige handen. Met andere woorden, net iets meer dan 60% van de deelnemers aan de workshop geloven in SSI. Richting het eind van de workshop herhaalde ze de poll en was het resultaat nog iets minder en waren de aanwezigen dus minder optimistisch. Daar moet wel bij gezegd worden, een iemand die sceptisch begon was aan het eind van de sessie overtuigd.

Jacoba legde SSI uit binnen de Europese context. Meer specifiek: de context van Europese ambitie voor een Europese Identiteit met wallets. Traditioneel gezien betekent identity management dat een gebruiker interacteert met een organisatie. Deze organisatie registreert en beheert vervolgens de (digitale) identiteit van die gebruiker. Progressiever en moderner identity management houdt in dat een gebruiker interacteerd met een organisatie en dat de gebruiker zélf diens digitale identiteit beheert, opslaat en presenteert aan een organisatie. Het verschil hier is dat een organisatie geen identiteiten heeft om op te slaan, maar hiervoor afhankelijk is van de (geverifieerde) credentials die een gebruiker presenteert. Dit concept heet Self Sovereign Identity, want de gebruiker beheert en bepaalt zelf (Self Sovereign) wat er gebeurt met diens identiteit (Identity) en hoe deze wordt gebruikt.

Daarop volgde een groepsdiscussie over, in essentie, het succes of juist het falen van SSI zou bepalen. Hieronder vind je een globale opsomming en samenvatting van deze workshop. Een sleutelwoord in die zin is ‘globaal’, want deze lijst is geenszins volledig. Maar, deze sessie en de interactie die ontstond gaf een aantal interessante inzichten die we toch graag met je willen delen. Dus, hier gaan we:

Waarom SSI wel zou werken

Vanuit Legal perspectief staan de seinen langzamerhand op groen. Bijvoorbeel in California (US), waar het gebruik van digitale wallets voor geboorte- en overlijdensregistratie is gelegaliseerd. Met zulke stappen ontstaat juridische grond voor het gebruik van digitale wallets. Wanneer dat gebeurt vergroot de kans dat het straks makkelijker gebruikt kan worden en breder kan worden toegepast.
Efficiëntie en kostenbesparing, vooral voor de Relying Party. Deze hoeven namelijk geen papieren documenten meer te verifiëren of een papieren backoffice te onderhouden. In een voorbeeld wat gegeven, leidde deze optimalisatie van het proces tot een handeling die nog maar 6 uur tijdsbeslag had in plaats van 72.
Verbeterde privacy en beveiliging. Data wordt niet langer centraal opgeslagen in silo’s binnen organisaties, maar in een eigen wallet. Hierbij haalde iemand de databreuk van het Australische Telco aan als voorbeeld.
Ontwikkeling van GAIAX en de eigen wallet wat SSI weer verder promoot. Belangrijk om op te merken hier is wel dat anderen, zoals GAIN, ook werken aan eigen SSI-oplossingen.
Gebruiksvriendelijkheid voor de eindgebruiker
SSI gaat verder dan Identiteiten. Het omhelst ook attributen, verified credentials en self-declared credentials
Het voorkomt disintermediation. Grote organisaties moeten tenslotte met elkaar overweg kunnen want anders verliezen ze klanten en interactie met klanten
SSI bewaakt privacy veel beter en is veel beter in lijn met GDPR
De digitale generatie verwacht een soepele digitale ervaring, vergelijkbaar of beter met zoals ze dat nu hebben met big tech oplossingen die de standaard hoog hebben gezet. Een eventuele wallet zou minstens aan die verwachting moeten voldoen

Waarom SSI niet zou werken

Toegangsbeheer blijft een uitdaging. Als je de sleutel tot jouw digitale wallet eenmaal bent verloren, kun je niet meer bij jouw identiteitsdata en credentials.
De diversiteit van benaderingen en oplossingen tot SSI zijn dungespreid en elk opereert (nog) op een eigen eilandje
Adaptatie van de eindgebruiker
Privacy paradox. Gebruikers kunnen nu hun eigen data controleren, maar zijn ze in staat dit ook te doen? Of houden ze hun data bij zich totdat het delen van de data betekent dat ze er iets gunstigs voor terug krijgen?
Correlation
Legal context
Hostile environment en misbruik
Nieuwe oplossingen moeten nog altijd werken met legacy IT wat een grote uitdaging blijft

Randvoorwaarden voor werkbare SSI

Heldere use cases die nodig zijn om te zorgen dat het werkt
Politiek moet bereid zijn om mee te bewegen ten gunste van verdere ontwikkeling van SSI oplossingen
Standaardisatie en interoperabiliteit van diverse SSI oplossingen moet mogelijk zijn
Trust lists & revocation lists. Om te zorgen dat SSI werkt, heb je vertrouwde en erkende wallets en uitgevers nodig en ook weten welke op de no-go lijst staan
Vanuit het inclusiviteitsprincipe moet bepaald zijn wie allemaal toegang heeft tot deze oplossing
Je hebt nog altijd meer traditionele identiteitsuitdagingen op te lossen, zoals enrolment, federation, etc.

Dus, gaat Self Sovereign Identity (SSI) werken? Conclusie en doorkijk

Hoe SSI zou kunnen werken is waarschijnlijk verschillend per industrie. Bijvoorbeeld in geval van monopolie-industrieën vs. industrieën met sterke onderlinge concurrentie. Daarbij komt dat wanneer je begint met het uitrollen, zowel SSI/Digital oplossingen als ’traditionele’ oplossingen voor een tijdje ondersteund moeten worden. Verdere vragen die de vraag gaat Self Sovereign Identity (SSI) werken meebrengt, zoals zou de achterliggende technologie gebaseerd moeten zijn op blockchain of niet, open source ja of nee, wat voor label moet het krijgen, zijn nog onbeantwoord.

Rond het einde van de workshop kwam het belangrijke punt van timing op. Timing en doorlooptijd van het ontwikkelen van deze oplossing hangt weer enorm af van alle bovengenoemde factoren. De over het algemeen geaccepteerde timing die aan deze ontwikkeling wordt gehangen is 10 – 15 jaar. Tegen die tijd zou een goed werkende, geïntegreerde en breed beschikbare oplossing wel gerealiseerd moeten kunnen zijn.

De vraag blijft natuurlijk: hoe ontwikkelt de wereld zich in de tussentijd? De Roblox Generation is tegen die tijd (online) opgegroeid en zou zomaar een andere koers kunnen varen dan degene die zich nog een voornamelijk analoge wereld kan herinneren.

Note: deze samenvatting is geschreven door Henk Marsman en Jacoba Sieders. Geenszins kan dit als compleet of perfect worden aanschouwd, maar is bedoelt om bij te dragen aan ons gezamenlijk begrip van SSI, de oplossingen die worden ontwikkeld en de ontwikkelingen daaromheen.

Over de auteurs

Henk Marsman
Digital Identity Thinker & Principal consultant

henk.marsman@sonicbee.nl

Henk Marsman is principal consultant bij SonicBee en heeft meer dan 20 jaar ervaring in het werkveld cybersecurity en met name identity & access management (IAM). Vanuit zijn expertise is hij frequent spreker, moderator of dagvoorzitter op diverse congressen en bijeenkomsten. Vanuit zijn onderzoek naar de ethiek rondom nationale digitale identiteits-oplossingen draagt hij bij aan een duurzame, inclusieve digitale samenleving.

Jacoba Sieders
Independent Digital Identity / IAM strategist

Jacoba Sieders is een onafhankelijke digital identity expert. Meer dan 20 jaar bekleedde ze leiderschapsposities voor IAM en KYC bij grote banken in Nederland, Luxemburg, India en European Investment Bank. Ze is lid van verschillende internationale expertgroepen en thinktanks, was onderdeel van de Dutch Blockchain Coalition’s SSI Initiative en was lid van de NEN/ISO technische werkgroep. Ook was Jacoba lid van de raad van advies bij IDNext, een onafhankelijke Europese thinktank over Identity en de raad van advies voor EU ESSIF Lab on SSI. Tot slot is ze lid van onze eigen Raad van Advies en werkt ze met Capitar Security.

About SonicBee

SonicBee is the Identity and Access management (IAM) company providing innovative and intelligent managed services and business consultancy to make businesses faster, smarter and more secure. We ensure that everything and everyone within your environment can access information in a safe, compliant and smart way.

We challenge the existing market by looking at identities and data in a new way. SonicBee provides managed services, advisory services and trainings focused on increasing our society’s cyber security and creating business value.