“Vermittelte” v. “Direkte” Authentifizierung (8/8): Geht das mit Art. 20 BGEID?
Dieser Beitrag knüpft an eine Diskussion auf Twitter an:
- https://twitter.com/lauxandlaw/status/1367145656922603521
- https://twitter.com/lauxandlaw/status/1367176454715375618
Er ist zugleich ein Beitrag zur Diskussion mit Kaspar Etter auf diesem Blog, namentlich zu Punkt 3 und Punkt 4 in seinem Gastbeitrag “Fachliche Kritik am E-ID-Gesetz”. Und er ist zu lesen in Verbindung mit den anderen Beiträgen zum Thema “Vermittelte” v. “Direkte” Authentifizierung auf diesem Blog.
Oft hört man, dass Art. 20 BGEID ebenfalls quer in der Landschaft stehe, wenn man sage, das BGEID lasse dezentrale E-ID-Lösungen zu. Wenngleich Differenzierungen dem BGEID diesbezüglich durchaus gut getan hätten, so kann man nicht sagen, dass Art. 20 BGEID dezentralen Lösungen entgegen stehen würde:
Erstens, braucht es auch bei SSI-Lösungen irgendjemanden, der die Identität der Nutzerin bestätigt, und diese Stelle wird dann als IdP bestellt werden (ich weiss, man könnte die Rolle dann auch bloss als Issuer bezeichnen; aber um diese Stelle dann in eine Beziehung zum BGEID zu bringen, halte ich es dennoch für richtig, den Issuer als IdP im Sinne des BGEID zu anerkennen). Ich sehe nicht, was der Vorteil sein sollte, dem Issuer die Stellung als IdP zu verweigern. Wenn nun also eine Relying Party einen Anschlussvertrag mit einem Issuer (Dezentralen IdP) abschliesst, ist dies kein Problem. Es wird so sichergestellt, dass Relying Parties die Sicherheitslevels gemäss Art. 4 Abs. 1 BGEID einheitlich referenzieren (dies ist das von Art. 20 BGEID vorgesehene Regulierungsmodell: Der IdP trägt das E-ID-Konzept in den Markt).
Zweitens, Art. 20 lit. b BGEID sagt es ja ausdrücklich: Die Anschlussvereinbarung mit dem IdP (ggf. dem Issuer, der als dezentraler IdP nach dem BGEID anerkannt werden kann) wird auch Vorgaben zu technischen Abläufen machen. Diese Vereinbarung ist die Grundlage dafür, dass die Relying Party zur Integration einer Schnittstelle zum Routing von Anfragen in “beide Welten” — die dezentrale Welt sowie die zentrale Welt — verpflichtet ist, und zwar auch dann, wenn sie den Anschlussvertrag mit einem dezentralen IdP hat. Art. 20 BGEID sorgt somit dafür, dass die Relying Parties einheitliche Konzepte implementieren, wenn sie die E-ID akzeptieren.
Insgesamt:
- Es ist nicht ersichtlich, warum der dezentrale IdP nicht dafür sorgen können soll, dass das Regulierungskonzept des BGEID so an die betreffende Relying Party herangetragen wird.
- Es ist nicht ersichtlich, inwiefern Art. 20 BGEID dezentralen Lösungen unter dem BGEID entgegen stehen sollte.
«Wenn nun also eine Relying Party einen Anschlussvertrag mit einem Issuer (Dezentralen IdP) abschliesst, ist dies kein Problem.»
Ja, dies ist kein Problem, doch weshalb braucht eine Relying Party eine Vereinbarung mit einem IdP, wenn sie danach SSI-Identitäten von beliebigen Issuer direkt akzeptiert? Wenn die einzige Antwort darauf ist, dass dadurch die EIDCOM über die IdPs Einfluss auf die Relying Parties nehmen kann, dann steht Artikel 20 quer in der Landschaft.
«Diese Vereinbarung ist die Grundlage dafür, dass die Relying Party zur Integration einer Schnittstelle zum Routing von Anfragen in “beide Welten” — die dezentrale Welt sowie die zentrale Welt — verpflichtet ist, und zwar auch dann, wenn sie den Anschlussvertrag mit einem dezentralen IdP hat.»
In Artikel 22 steht, dass jede Relying Party jede E-ID mit dem geforderten Sicherheitsniveau zu akzeptieren hat. Da dies bereits im Gesetz steht, bildet die Vereinbarung mit dem Identity Provider keine notwendige Grundlage dafür. Zwei Welten zu unterstützen bedeutet mehr Aufwand und dadurch höhere Kosten (und aufgrund der erhöhten Komplexität auch höhere Sicherheitsrisiken), was eine Begründung erfordert. Dies führt uns zu meinem 5. Kritikpunkt (https://e-idblog.ch/2021/02/26/fachliche-kritik-am-e-id-gesetz-gastbeitrag/): Es gibt keinen vernünftigen Grund, nicht einfach die direkte Authentifizierung vorzuschreiben.
«Es ist nicht ersichtlich, inwiefern Art. 20 BGEID dezentralen Lösungen unter dem BGEID entgegen stehen sollte.»
SSI steht für Self-Sovereign Identity. Souverän bedeutet für mich, dass ich der Besitzer meiner digitalen Identität bin und sie einsetzen kann, wo auch immer ich will, bspw. auch um meine Emails an Privatpersonen zu authentisieren, welche keine Vereinbarung mit einem Identitätsanbieter abschliessen werden. Ich bin mir aber bewusst, dass dies eher eine philosophische Debatte ist, denn ich bin auch der Besitzer meines Vermögens und muss dennoch dem Staat Steuern zahlen.