Zum Hauptinhalt springen
JUST TECH SOLUTIONS
8 Min. Lesezeit M.K.

Dezentrale Identität (DIDs) und Verifiable Credentials in der Praxis

Im web3-Ökosystem reden wir viel über dezentrale Finanzen, dezentrale Governance und dezentrale Infrastruktur. Aber über das fundamentalste Problem schweigen wir uns meistens aus: Identität. Wer sind Sie in einem System, das explizit darauf ausgelegt ist, ohne zentrale Autoritäten zu funktionieren? Und, noch wichtiger: Wie beweisen Sie, wer Sie sind, ohne dabei alles über sich preiszugeben?

Diese Frage beschäftigt mich seit Jahren. Nicht als abstraktes Gedankenexperiment, sondern als ganz konkretes technisches Problem, das wir bei Just Tech Solutions regelmäßig in DAO-Projekten antreffen. Ich möchte in diesem Artikel einen Überblick geben, wo wir technologisch stehen, was heute schon praktisch einsetzbar ist und wo die Reise hingeht.

Das Identitätsproblem im web3

Im klassischen Web ist Identität ein gelöstes Problem, zumindest aus technischer Sicht. Sie melden sich mit einer E-Mail-Adresse an, ein Unternehmen verifiziert Ihre Identität, und fortan wird Ihre digitale Existenz durch dieses Unternehmen vermittelt. Google weiß, wer Sie sind. Facebook weiß, wer Sie sind. Ihre Bank weiß, wer Sie sind.

Im web3 fällt diese zentrale Instanz weg. Eine Ethereum-Adresse ist pseudonym. Sie beweist Besitz eines privaten Schlüssels, aber sie sagt nichts über die Person dahinter aus. Das ist gewollt, denn Pseudonymität ist ein Feature, kein Bug. Aber es entsteht ein Spannungsfeld: DAOs brauchen Vertrauen. Governance braucht Legitimität. Und Legitimität braucht eine Form von Identität.

Die naive Lösung wäre, einfach KYC-Prozesse (Know Your Customer) aus der traditionellen Finanzwelt zu übernehmen. Aber das würde den Grundgedanken dezentraler Systeme untergraben. Was wir brauchen, ist etwas Differenzierteres: die Möglichkeit, bestimmte Eigenschaften über sich nachzuweisen, ohne die gesamte Identität offenzulegen.

DIDs: Der Grundbaustein

Decentralized Identifiers (DIDs) sind der Versuch, dieses Problem auf einer fundamentalen Ebene zu lösen. Ein DID ist ein URI, der eine Entität eindeutig identifiziert und der nicht von einer zentralen Registrierungsstelle abhängt. Der zugehörige Standard (W3C DID Core) definiert, wie diese Identifier aufgebaut sind und wie man die zugehörigen DID-Dokumente auflöst.

Ein DID sieht beispielsweise so aus: did:ethr:0x1234...abcd. Der erste Teil (did) ist das Schema, der zweite Teil (ethr) die Methode, die angibt, wie der Identifier aufgelöst wird, und der dritte Teil ist der methodenspezifische Identifier selbst. Es gibt Dutzende von DID-Methoden, von blockchain-basierten wie did:ethr oder did:ion bis hin zu einfacheren wie did:web oder did:key.

Was DIDs spannend macht, ist nicht der Identifier selbst, sondern das, was er ermöglicht: eine kryptographisch verifizierbare Verbindung zwischen einer Entität und einem Satz von öffentlichen Schlüsseln, Service-Endpoints und Metadaten, ohne dass eine zentrale Stelle diese Verbindung herstellen oder bestätigen muss.

Verifiable Credentials: Der Nachweis

Ein DID allein löst noch kein Problem. Es ist wie ein leerer Ausweis: er identifiziert Sie, sagt aber nichts über Sie aus. Hier kommen Verifiable Credentials (VCs) ins Spiel.

Ein Verifiable Credential ist ein digital signierter Nachweis, dass eine bestimmte Eigenschaft auf einen bestimmten DID zutrifft. Der Aussteller (Issuer) signiert das Credential mit seinem eigenen DID, der Inhaber (Holder) speichert es, und ein Verifizierer (Verifier) kann die Signatur prüfen, ohne den Aussteller kontaktieren zu müssen.

In der DAO-Welt ergeben sich daraus unmittelbar praktische Anwendungsfälle:

  • Mitgliedschaftsnachweis: Eine DAO stellt ein VC aus, das bestätigt, dass ein bestimmter DID Mitglied ist. Dieses Credential kann auf anderen Plattformen vorgelegt werden, ohne dass die DAO direkt eingebunden sein muss.
  • Reputationsnachweis: Ein Contributor kann nachweisen, dass er an einem bestimmten Projekt mitgearbeitet hat, ohne offenzulegen, in welcher Rolle oder mit welchem Vergütungsumfang.
  • Qualifikationsnachweis: Ein Auditor kann belegen, dass er zertifiziert ist, ohne seine vollständige Identität preiszugeben.

Bei der Arbeit an einer Community-Plattform im DAO-Umfeld haben wir genau diese Szenarien untersucht. Die Frage, wie ein Mitglied seine Zugehörigkeit nachweist, ohne dass die Plattform selbst Zugriff auf die Mitgliederliste benötigt, ist ein konkretes Designproblem, dem wir regelmäßig begegnen.

Zero-Knowledge-Proofs: Die elegante Lösung

Verifiable Credentials sind ein großer Fortschritt, aber sie haben eine Schwäche: Wenn Sie ein Credential vorlegen, sieht der Verifizierer den gesamten Inhalt. Wenn Ihr Credential sagt „Mitglied von DAO X seit 2023, Rolle: Treasurer, Stimmen: 150“, dann erfährt der Verifizierer all das, selbst wenn er nur wissen wollte, ob Sie überhaupt Mitglied sind.

Zero-Knowledge-Proofs (ZKPs) lösen dieses Problem auf mathematisch elegante Weise. Ein ZKP erlaubt es Ihnen, eine Aussage zu beweisen, ohne die zugrundeliegenden Daten offenzulegen. Sie können beweisen, dass Sie Mitglied einer bestimmten DAO sind, ohne zu verraten, seit wann, in welcher Rolle oder mit wie vielen Stimmen. Sie können beweisen, dass Sie über 18 sind, ohne Ihr Geburtsdatum preiszugeben. Sie können beweisen, dass Ihr Kontostand über einem bestimmten Schwellenwert liegt, ohne den genauen Betrag zu nennen.

In der Praxis kombiniert man VCs mit ZKPs zu sogenannten „Selective Disclosure“-Mechanismen. Der Inhaber eines Credentials kann wählen, welche Attribute er offenlegt und welche er nur als Zero-Knowledge-Beweis präsentiert. Das ist kein theoretisches Konstrukt mehr. Frameworks wie Circom, Noir oder Semaphore machen ZKPs für Entwickler zunehmend zugänglich.

Wem gehört Ihre Identität?

Hinter der technischen Diskussion steht eine philosophische Frage, die mich umtreibt: Wem gehört eigentlich Ihre digitale Identität?

Im heutigen System gehört sie faktisch den Plattformen. Ihr Google-Konto existiert auf Googles Servern, nach Googles Regeln. Wird Ihr Konto gesperrt, verlieren Sie Zugang zu einem wesentlichen Teil Ihrer digitalen Existenz. Das Gleiche gilt für Facebook, Twitter oder jede andere Plattform, die „Login with...“ anbietet.

DIDs und VCs versprechen ein anderes Modell: Self-Sovereign Identity (SSI). Ihre Identitätsdaten liegen bei Ihnen, typischerweise in einer Wallet auf Ihrem Gerät. Sie entscheiden, wem Sie welche Informationen preisgeben. Keine Plattform kann Ihnen Ihre Identität entziehen, weil keine Plattform sie besitzt.

Das klingt utopisch, und in gewisser Weise ist es das auch noch. Die Benutzererfahrung von SSI-Wallets ist heute noch weit entfernt von der Einfachheit eines „Login with Google“-Buttons. Key Management ist fehleranfällig. Der Verlust eines privaten Schlüssels kann den Verlust der gesamten digitalen Identität bedeuten. Social Recovery und Multi-Device-Synchronisation sind noch nicht ausgereift.

Aber ich bin überzeugt, dass die Richtung stimmt. Die Frage ist nicht, ob wir selbstbestimmte digitale Identitäten brauchen, sondern wie schnell die Technologie benutzerfreundlich genug wird, um massentauglich zu sein.

Praktische Herausforderungen

Aus unserer Erfahrung bei Just Tech Solutions sind die größten Hürden nicht technischer, sondern organisatorischer Natur:

Standardisierung: Es gibt zu viele konkurrierende Standards und DID-Methoden. Ein VC, das mit did:ethr ausgestellt wurde, ist nicht automatisch mit einem System kompatibel, das did:web erwartet. Die Interoperabilität verbessert sich, aber sie ist noch nicht dort, wo sie sein müsste.

Vertrauensanker: VCs funktionieren nur, wenn der Verifizierer dem Aussteller vertraut. In einem dezentralen System stellt sich die Frage: Wer bestimmt, welche Aussteller vertrauenswürdig sind? Trust Registries und Trust Frameworks sind ein aktives Forschungsgebiet, aber es gibt noch keinen Industriestandard.

Skalierung: ZKPs sind rechenintensiv. Auf mobilen Geräten kann die Generierung eines Beweises mehrere Sekunden dauern. Für eine reibungslose Benutzererfahrung ist das noch zu langsam. Hardware-Beschleunigung und optimierte Beweissysteme wie PLONK oder Groth16 verbessern die Situation kontinuierlich.

Was bedeutet das für DAOs?

Für DAO-Projekte, mit denen wir zusammenarbeiten, lautet meine Empfehlung: Beginnen Sie jetzt mit DIDs und VCs, aber erwarten Sie nicht sofort Perfektion. Konkret bedeutet das:

  • Implementieren Sie DID-basierte Authentifizierung als Alternative zu Wallet-Connect. Es ist ein kleiner Schritt, der aber die Grundlage für alles Weitere legt.
  • Experimentieren Sie mit VCs für Mitgliedschaftsnachweise. Die Technologie ist reif genug für interne Anwendungsfälle.
  • Beobachten Sie die ZKP-Entwicklung aufmerksam. Selective Disclosure wird in den nächsten ein bis zwei Jahren praxistauglich werden.
  • Trennen Sie Identitätsdaten konsequent von Anwendungsdaten. Diese Architekturentscheidung zahlt sich aus, unabhängig davon, welcher Standard sich durchsetzt.

Dezentrale Identität ist kein fertiges Produkt. Es ist ein sich entwickelndes Ökosystem aus Standards, Protokollen und Werkzeugen. Aber es ist auch das Fundament, auf dem alles andere aufbaut. Ohne verlässliche Identität gibt es keine verlässliche Governance, keine verlässliche Reputation und kein verlässliches Vertrauen. Und ohne Vertrauen gibt es keine funktionierende DAO.

Die technischen Puzzleteile liegen auf dem Tisch. Es ist an uns, sie zusammenzusetzen.

Zurück zum Blog