Digitale Identitäten: Blockchain oder Public Key Infrastructure für Internet of Things nutzen?

Das Bundeskabinett hat im September 2019 seine Blockchain-Strategie verabschiedet. Darauf reagierte der Digitalverband Bitkom Ende November mit einer Stellungnahme, in der Präsident Achim Berg erklärte: „Digitale Identitäten auf Blockchain-Basis können insbesondere für das Internet of Things neue Geschäftsmodelle ermöglichen. Zusammen mit den angekündigten Blockchain-Leuchtturmprojekten in der öffentlichen Verwaltung können sie der Technologie nachfrageseitig den notwendigen Schub geben“.

Schon länger betonen IT-Expertem das riesige Potenzial von Blockchains, Industrie und Wirtschaft zu verändern. Als Schlagworte werden unter anderem die Sicherung von IoT-(Internet of Things)-Knoten, Edge-Geräte mit Authentifizierung, verbesserte Vertraulichkeit, die Unterbrechung bestehender Public Key Infrastructure (PKI) oder die Reduzierung von DDoS-Angriffen genannt. Und auch Kryptowährungen wie Bitcoin basieren auf der Blockchain-Technologie. Grundsätzlich ist jedoch zu unterscheiden, welche digitale Identitäten eine Blockchain in einem Anwendungsszenario feststellen soll. Handelt es sich um natürliche Personen, Geräte oder logische Einheiten?

Digitale Identitäten: Blockchain und die Self-Sovereign Identity

Für natürliche Personen fällt die Antwort eindeutig aus: Deren digitale Identitäten kann und sollte man mit Blockchain umsetzten. Hier ist es sinnvoll, eine dezentrale Datenbank einzusetzen, die im Netzwerk auf einer Vielzahl von Rechnern gespiegelt vorliegt. Die Datenbank fasst ihre Einträge in Blöcken zusammen, hängt sie an vorherige Blocks an und speichert diese. Die neue Datenbankeinträge werden durch Public-Key-Verfahren signiert.

Ein von allen Rechnern verwendeter Konsensmechanismus sichert die Authentizität der Datenbankeinträge. Synonym wird nun oft Distributed-Ledger-Technologie (DLT) verwendet, obwohl diese nicht zwingend Blockketten produziert. Gleichwohl basiert das „verteilte Kontenbuch“ auf einer dezentralen Datenbank, die Teilnehmern eines Netzwerks eine gemeinsame Schreib- und Leseberechtigung erlaubt. Jeder kann neue Datensätze hinzufügen. Nach der Aktualisierung steht der neueste Stand für alle bereit. DLT ist eine besondere Ausprägung der Blockchain, wobei ihr Konsensmechanismus zum Validieren der Einträge davon abhängt, ob der Zugang registrierungspflichtig ist oder nicht.

Digitale Identitäten: Umsetzung mit Public Key Infrastructure

Idealerweise sollte jeder digitale Identitäten selbst verwalten, wofür das Konzept Self-Sovereign Identity (SSI) steht. Der Nutzer ist im Besitz seiner persönlichen Daten und entscheidet über den Fremdzugriff. Für die Umsetzung von SSI sollte man jedoch bestehende Konzepte wie eine Public Key Infrastructure (PKI), die heute zum Standard in einem Netzwerk gehört, nicht über Bord werfen. Eine PKI erstellt und verwaltet vertrauenswürdige digitale Identitäten für Personen, Dienste und Dinge. Sie sorgt für eine starke Authentifizierung, Datenverschlüsselung und digitale Signaturen. Eine Certificate Authority (CA) garantiert die Vertrauenswürdigkeit der digitalen Zertifikate, die mit dem öffentlichen Schlüssel des Zertifikatsinhabers validiert werden.

Public Key Infrastructure versus Blockchain

Eine PKI lässt sich für SSI dezentralisiert weiterentwickeln. Eine Blockchain löst hierbei den Key-Server ab, der sonst die Schlüssel speichert und bereitstellt. Für den Nutzer, der selbst seine privaten Schlüssel kontrolliert und seine Zertifikate eigenhändig ausstellt, würde die Blockchain als hochverfügbare Revocation List (Sperrliste) fungieren. Ein Fremdzugriff, dessen Zertifikat abgelaufen ist oder widerrufen wurde, kann so nicht stattfinden. Zudem ließen sich über Blockchains private Schlüssel wiederherstellen oder Transaktionen hinsichtlich eindeutiger Nachweisbarkeit und Unveränderlichkeit absichern.

Wenn wir nun die Identität von logischen Einheiten oder physikalische Geräte im IoT- oder IIoT-Umfeld betrachten, spricht grundsätzlich nichts gegen eine PKI. Bei ihr lässt sich klar der Identitätsbesitz zuordnen, da man immer die Instanz identifizieren kann, welche die Zertifikate ausstellt. Wenn Hersteller ein Gerät außer Betrieb nehmen, muss auch dessen Identität erlöschen – was man in einer PKI umsetzen kann.

Als Gegenargument zum PKI-Ansatz wird oftmals die Skalierung angeführt und auf Prognosen verwiesen, die 75 Milliarden IoT-Geräte für 2025 vorhersagen. Wachstum in der Größenordnung wird sicher eintreten. Diese massive Geräteanzahl muss jedoch nicht eine einzelne PKI verwalten – wer den Eindruck in der Diskussion erweckt, betreibt Panikmache. Die installierten Systeme managen heute bereits Millionen von Zertifikaten, ohne an die Grenzen der Skalierbarkeit zu stoßen.

Digitale Identitäten: Einführung von Sicherheitsstandards

Generell empfiehlt es sich, vor dem Aufbau einer IoT-Umgebung ein Konzept zu erarbeiten. Dieses muss offene Fragen für den Blockchain-Einsatz beantworten: Welche Sicherheitsstandards werden mit Blockchain eingeführt? Wie kann man die kryptographischen Schlüssel schützen, die den Zugriff auf die Blockchain-Anwendungen ermöglichen? Ohne Antworten darauf riskiert man, ad-hoc gegebenenfalls überhastete Entscheidungen treffen zu müssen, deren Folgen sich nicht absehen lassen.

Tatsache ist, dass eine PKI vertrauenswürdig Identitäten authentifiziert und sichere, per TSL verschlüsselte Transaktionen aktiviert. Jenseits des IoT-Umfeldes sind Kombinationen von PKI mit Blockchains durchaus überlegenswert, um beispielsweise über einen Merkle Hash Tree ein effizientes Distributed Ledger zu erstellen. Dieses könnte man für Zertifikatstransparenz in einem SSI-Szenario einsetzen. Blockchain also gerne da anwenden, wo es sinnvoll ist – im IIoT-Umfeld ist das nicht der Fall.

Lesen Sie auch: Digitalisierung in der Industrie: 5 Trends für produzierende Unternehmen

Über den Autor: Andreas Philipp ist Business Development Manager bei PrimeKey.