DIDs (Part I): Gradbase
Heute möchte ich euch, wie angekündigt, das erste DID Projekt vorstellen.
Gradbase – mit dezentralität hat es meines Erachtens nach leider nicht wirklich etwas zu tuen, da sie auf Ihrem Unternehmen als alleiniger Herausgeber (Issuer) dieser (D)ID basieren.
Disclamer: Die hier beschriebenen Analysen habe ich selbst verfasst und stellen meine persönliche Meinung dar, sollten jedoch einige Fakten oder Annahmen fehlerhaft oder gar gänzlich falsch sein, freue ich mich über ein Kommentar oder eine E-Mail mit entsprechenden Gegenbeweisen – Ich werde der Sache nachgehen und etwaige Unstimmigkeiten korrigieren.
Gradbase ist für mich persönlich ein absolutes Beispiel eines nicht vollständig zu Ende gedachten Systems. Das Problem ist vermutlich der die „althergebrachte“ Herangehensweise ein vormals als zentral gedachtes Projekt, nun auf einem dezentralen Ledger zu referenzieren um ihm ein höheres Vertrauen zu sichern.
Das Problem: Der Anbieter „Gradbase Limited“ tritt hier als einziger Akteur auf, der in (deren) „perfekten Welt“ berechtigt ist valide digitale Identitäten auf die Blockchain zu schreiben. Zusätzlich wird damit geworben das die Daten verschlüsselt in der Bitcoin Blockchain stehen, was zwei weitere Probleme aufwirft. Zum einen sind die Daten permanent für immer mit ein und der selben Verschlüsselung in der Blockchain gespeichert und zwar die Rohdaten (Name, Geburtsdatum, Adresse, Noten, etc.) – niemand kann jedoch garantieren, das die Daten auch in 30 Jahren noch sicher sind, oder ob wir dann von vielen Identitäsdiebstählen hören werden, die auf jenem Datenschatz basieren.
Zum anderen wird der Schlüssel zum Entschlüsseln auf deren Servern oder gar im QR-Code (der auf die Zeugnisse gedruckt werden soll) gespeichert d.h. zum Betrachten der Daten wird eine nur von Gradbase herausgegebe App oder Web-App verwendet – ist diese offline oder die Firma gar insolvent sind die Daten des QR-Codes wertlos. Zudem könnte jeder der den Schlüssel zur Entschlüsselung kennt (er steht ja mutmaßlich im QR-Code) die Datensätze beliebig verwenden > Bei einem Identitätsdiebstahl bräuchte man dann lediglich den „Schlüssel“ besitzen um alle weiteren Daten zur Person auf der Seite von Gradbase abzufragen.
---
Initial gepostet auf meinem Blog unter: https://crypto-logisch.com/dids-gradbase/ am 22. März 2019