Steeds meer organisaties ontdekken de mogelijkheden van SSI en werken ideeën en pilots uit. De grote fragmentatie van identiteitssystemen en ketens heeft echter tot gevolg dat er meerdere decentrale oplossingen ontstaan die niet met elkaar kunnen communiceren. Daarom introduceert de DBC, in samenwerking met haar partners, DIIP (voormalig DDIP).

Interoperabiliteit is een must
Interoperabiliteit is noodzakelijk en dient geborgd te worden aan het begin van de verschillende ontwikkelingen. Dat kunnen we doen door hetzelfde profiel van standaarden te hanteren: een Technisch Interoperabiliteit Profiel (hierna: Interop Profiel). Daarom bouwt de DBC met partners aan het Decentralised Identity Interop Profile (DIIP).

Waarom DIIP?

Samenwerking is belangrijk bij een Interop Profiel. De adoptie hangt echter tevens af van de kennis, kunde en architectuur van organisaties. Er bestaan al Interop profielen, maar een verkenning in het veld leert dat deze onvoldoende aansluiten bij de huidige kennis en mogelijkheden van organisaties.

Voor de totstandkoming van het Decentralised Identity Interop Profile (hierna: DIIP) is daarom uitgegaan naar het meest laagdrempelige profiel de introductie van SSI te vergemakkelijken. Zo kunnen organisaties sneller leren wat SSI voor hen kan betekenen en kan adoptie worden versneld. Deze componenten zijn zorgvuldig geselecteerd om naadloos aan te sluiten bij het Europese Referentie Architectuur van eIDAS. Bovendien kunnen ze gemakkelijk verder worden ontwikkeld. In de toekomst voorzien we migratie naar geavanceerdere standaarden, waarvan de overgang in een toekomstige versie van DIIP gedocumenteerd zal worden.

DIIP: Form Follows Function

DIIP pretendeert niet volledig te zijn voor elke use-case. Omdat we de volledigheid van de systeemverandering die SSI met zich mee gaat brengen niet in kaart hebben, is het complex om een sluitend Interop profiel te maken dat alle toekomstige use-cases gaat ondersteunen. Een dergelijke poging zou ons te vroeg vastzetten op bepaalde standaarden, wat innovatie zou kunnen belemmeren. Om deze reden hanteren we het principe van “Form Follows Function” van Louis Sullivan voor DIIP. De "Function" van dit profiel is om een laagdrempelige start te bieden voor SSI-implementatie en gegevensuitwisseling met andere partijen. Hierdoor heeft de "Form" van DIIP een eenvoudige structuur die in lijn is met het kennisniveau van ontwikkelaars en architecten, en die de meeste basis use-cases ondersteunt. In de komende jaren zullen er echter geavanceerdere use-cases ontstaan. Hierbij is het heel goed mogelijk dat de “Function” dan andere eisen gaan stellen aan de “Form”. In het governance team dat de integriteit van het profiel bewaakt, besluiten we dan om DIIP uit te breiden zodat de nieuwe “Form” ook interoperabel is naar de andere DIIP gebaseerde use-cases. Zo zal DIIP stapsgewijs groeien met zowel de ontwikkelingen uit de techniek als de vraag vanuit de toepassing.

Hoe verhoudt DIIP zich tot de ARF?

De Europese Unie heeft in februari 2023 de eerste versie van het Architecture Reference Frameworkgepubliceerd. Op Github staan alle standaarden die de lidstaten van de EU moeten en mogen toepassen bij het ontwikkelen van een wallet die voldoet aan de eIDAS 2.0 richtlijnen. Dit geeft al richting aan Europese interoperabiliteit. De ARF onderscheidt twee type configuraties: Type 1 en Type 2.
Type 1 is verplicht en voldoet aan de eisen om gegevens met een hoog Level of Assuranceuit te wisselen, waaronder Personal Identificatie Data (PID), dit is de digitale representatie van je identiteitsbewijs. Type 2 is optioneel en wat flexibeler dan de type 1 configuratie waardoor er use-cases mogelijk zijn met een lager Level of Assurance (LoA). In beide configuraties staan zowel de ISO standaard 18013-5 als de W3C standaard voor Verifiable Credentials op basis van JSON en JWT(SD). Type 2 configuratie staat daarnaast ook de VC voor JSON-LD toe.

De ISO standaard wordt in de ARF gebruikt voor de “Proximity” flow. Dit betekent dat je digitale credentials aan iemand toont in de fysieke wereld. De W3C standaarden worden gebruikt voor de remote flow middels OpenID4VCI/P en SIOP om je gegevens online te presenteren. DIIP is daarmee compliant met de eisen die de ARF stelt aan de remote flow. Dat betekent dat elke use-case die we uitwerken met DIIP ook gaat werken in de eIDAS 2.0 infrastructuur. Daarnaast hebben we nog enkele componenten toegevoegd die nog niet gespecificeerd staan in de ARF zoals een revocation mechanisme en vormen op websites en organisaties te identificeren. Uit de use-cases die we hebben uitwerkt komt naar voren dat we hier niet zonder kunnen dus: Form Follows Function.

DIIP Governance

Een incrementeel ontwikkelend Interop profiel, dat zich aanpast aan de vereisten die voortvloeien uit de use-cases, vereist een solide governancestructuur. Zonder deze governance bestaat het risico dat men eigen add-ons op het profiel bouwen die niet langer interoperabel zijn met de rest. Daarom hebben we een community governance opgezet, waarbij er geen centraal orgaan is dat beslist over de opname van elementen in het Interop profiel. De partijen die actief betrokken zijn met DIIP hebben inspraak in het besluitvormingsproces. Tijdens de DIIP meet-ups bespreken we de uitgewerkte use-cases en welke functies nog ontbreken. Een (deel van de) community onderzoekt vervolgens met welke vorm de ontbrekende functionaliteit kan worden ingevuld. Hierbij wordt natuurlijk gekeken naar interoperabiliteit met de rest van het profiel, in hoeverre de vorm herbruikbaar is voor andere toepassingen en in hoeverre de voorgestelde standaard compatible is met verwachte ontwikkelingen. Zodra we een nieuwe aanvulling hebben, wordt dit toegevoegd aan DIIP met een toelichting welke functies de nieuwe toevoeging moet gaan ondersteunen. Van eventueel concurrerende componenten zal worden uitgelegd waarom deze (nog) geen onderdeel zijn geworden.

Welke componenten zitten er in DIIP?

DIIP bestaat uit zeven gestandaardiseerde open source componenten met een maturity van medium tot high. Hiermee zijn de meeste eenvoudige gebruiksscenario's op het gebied van SSI mogelijk. Het is natuurlijk mogelijk om zelf meer componenten te kiezen, maar gebruiksscenario's met extra componenten zijn niet interoperabel binnen dit profiel. Mocht je meer functies nodig hebben voor je use-case, nodigen we je uit om dit voor te leggen aan de DIIP community zodat we gezamenlijk kunnen bepalen hoe we de benodigde functie zo kunnen invullen dat andere use-cases er ook baat bij hebben.

DIIP- componenten:

1. OpenID for Verifiable Credential Issuance
2. OpenID for Verifiable Presentations
3. SIOP V2
4. DIF Presentation Exchange
5. W3C Verifiable Credential JWT
6. DID methods: DID:WEB en DID:JWK
7. Signature types ES256
8. Revocation method: StatusList 2021

Voor een uitgebreide beschrijving van de componenten, zie GitHub.

Welke leveranciers zijn compatibel?

Zowel Sphereon als Animo ondersteunen dit Interop profiel en hebben hun wallet oplossing compatibel gemaakt met DIIP. We hopen dat meer aanbieders hetzelfde gaan doen, hiervoor zijn we met verschillende partijen in gesprek.

Wie zijn betrokken bij de ontwikkeling van DIIP?
DIIP is opgestart vanuit de DBC. De eerste versie is ontwikkeld door de DBC in samenwerking met TNO, Animo en Sphereon. Het is een open initiatief waar iedereen zich bij kan aansluiten en gebruik van kan maken.

Door wie wordt DIIP nu gebruikt?

De DBC en bovengenoemde partijen zullen het DIIP als standaard gebruiken bij nieuwe projecten waar SSI in wordt gebruikt. Bijvoorbeeld:

• Ondernemingspaspoort
• Future Mobility data Marketplace
• Praktijkproef huurauto’s
• Zoutlogistiek

Voorbeelden

Één voorbeeld is de DBC website zelf! Sinds de jaarlijkse DBC Conferentie in juni jl. kan je met een compliant SSI-wallet en een "DBC Conference Attendee" credential inloggen op de website. Vervolgens kom je in de DBC Zone, een afgeschermd deel van de DBC-website. Hier vind je ook een DIIP-pagina met nog meer gedetailleerde informatie over DIIP, voorbeelden, Github repo's en data voor meetups. Wil je dit uitproberen? Klik dan op Inloggen.

Hoe doe ik mee?
Neem contact op met SSI-lead van de DBC Alexander van den Wall Bake via alexander.vandenwallbake@dutchblockchaincoalition.org