Wat is Proof of Identity / Het KYC-probleem?

Identificatie voor welke dienst dan ook, gebeurt nu nog vaak via een DigiD van de overheid, of via onze identiteitskaart. In sommige gevallen moeten we zelfs gegevens per post versturen. De blockchain zou dit kunnen verhelpen, maar ook daarbij lopen we tegen verschillende uitdagingen aan.

Wat is het KYC-probleem?

Als we het hebben over ‘KYC’, bedoelen we de term ‘Know Your Customer’. Dit is een term die regelmatig wordt gebruikt bij applicaties waarbij toetsing van de klant noodzakelijk is. Denk bijvoorbeeld bij het aanvragen van leningen. Het is niet voor niets dat deze term een belangrijke plaats heeft in de bankenwereld.

KYC is het gegeven dat een bedrijf de identiteit van haar klanten moet toetsen. Dat is nu nog een proces waar, gek genoeg, het bedrijf centraal staat. Op dit moment groeit de wens voor een veiligere, meer gedecentraliseerde manier van werken. Om die manier van werken te omarmen, moeten bedrijven accepteren dat het proces iets complexer wordt. Alle partijen moeten namelijk overeenstemming bereiken over hoe de persoonlijke data gebruikt wordt en aan welke criteria de verificatie van identiteit moet voldoen.

Er is hier een paradox: de identiteit moet geaccepteerd worden, zonder dat er al te veel vertrouwen aan te pas moet komen. Hoe kun je nu een identiteit accepteren zonder vertrouwen? Het antwoord neigt naar: ‘niet’, maar feitelijk doen we dit al: de overheid checkt veel processen al voor ons.

Dus wat is hier wenselijk? Willen we dat de overheid bijvoorbeeld ons Ethereum-adres verifieert en daarbij onze identiteitsgegevens gebruikt? En dat de overheid daarmee dus onze persoonsgegevens publiceert? Ja, en nee. We leggen dit uit aan de hand van het e-residency program van de Estse overheid.

Een user-case: het e-residency program van de Estse overheid

Misschien heb je wel eens gehoord van het e-residency program, dat in goede banen wordt geleid door de overheid van Estland. Hiervoor maakt de overheid aldaar gebruik van smart contracts. Hoe dit precies werkt, is een lang verhaal. In het kort uitgelegd, komt het er op neer dat er ‘digital signage’ wordt gebruikt. Dit is een soort digitale handtekening die wordt opgeslagen op de blockchain en iedere keer kan worden gebruikt bij het ondertekenen van een smart contract. Je bevestigt hiermee je identiteit.

Een digi-ID apparaat in Estland kan al gebruik maken van zogenaamde ‘RSA signatures’, die geverifieerd worden door een smart contract. Zo’n signature kan jouw identiteit linken aan een Ethereum-adres. Er zijn talloze applicaties te bedenken waarvoor dit handig is: snel een nieuwe (digitale) bankrekening openen, het afsluiten van een verzekering of het ondertekenen van een contract. Het lost het ‘KYC-probleem’ op een heel elegante en veilige manier op. Goed om te weten: RSA-verificatie gebeurt niet op de Blockchain. De integratie daarvan wordt al wel besproken.

Interoperabiliteit

Interoperabiliteit is een van de key features die de blockchain te bieden heeft. Hiermee wordt bedoeld dat verschillende systemen feilloos met elkaar kunnen communiceren en samenwerken Denk bijvoorbeeld aan DAO-deelnemers, het gebruik van welke dienst dan ook, veilige wallets en talloze andere apps. Ze kunnen allemaal dezelfde ‘proof of identity’-informatie leveren. Wat ‘Proof of Identity’ nu precies inhoudt, wordt nu uitgelegd.

Proof of Identity?

Proof of Identity is niets meer of minder dan het kunnen aantonen wie je bent. Als een agent jouw op straat vraagt om je te kunnen legitimeren, wordt er verwacht dat je je ID-kaart of paspoort kunt tonen. Datzelfde geldt online. Dat houdt tegelijkertijd in dat de anonimiteit verdwijnt. Dat gaat dan in tegen de principes van de blockchain, die een bepaalde mate van anonimiteit verwacht.

Voordelen van de blockchain als ruggengraat

Het gebruik van de blockchain wordt in steeds meer sectoren omarmt. Het zou nuttig kunnen zijn in bijvoorbeeld de retail, bij banken, bij het stemmen en bij het afsluiten van verzekeringen. De blockchain zou dus ook kunnen dienen als controleur van identificatie.

Wat als je zou kunnen bewijzen dat je precies dezelfde persoon bent als degene die je claimt te zijn, zonder daarvoor allerlei papierwerk in te vullen? Dan zou het handig zijn als instanties gewoon de informatie van de blockchain te kunnen checken. Hiervoor gebruikt de blockchain key-pair. Persoonlijke informatie wordt dan opgeslagen in de vorm van hashes, die kunnen worden gebruikt voor allerlei identiteit gerelateerde attributen, zoals de naam, het burgerservicenummer, een vingerafdruk of andere biometrische informatie.

Daarna kan de gebruiker een erkende partij te verzoeken de hashes te verifiëren door te bevestigen dat de informatie klopt. Als een partij nu authenticatie nodig heeft, kan deze de informatie opvragen bij de blockchain.

Uitdagingen van de blockchain

Is het allemaal al zo ver? Nee, we zijn er nog lang niet. Er zijn namelijk grote uitdagingen die overbrugd moeten worden. Een daarvan is dat er een vertrouwensband moet zijn. Een andere uitdaging is dat er verschillende onafhankelijke deelnemers moeten zijn om de blockchain te calculeren en het daadwerkelijk betrouwbaar en gedecentraliseerd te maken.

Met andere woorden: er is behoorlijk wat rekenkracht nodig. Bij de Bitcoin zagen we dat zulke deelname wordt beloond met een kleine hoeveelheid bitcoin (mining). Hoe dit bij andere platformen moet worden geïmplementeerd, is nog de vraag.

Potentie

De kans bestaat dat gebruikers hun identiteit ‘kwijtraken’ doordat ze hun telefoon verliezen, een beveiligde flashdrive kwijtraken of een andere drager die data bevat van de opgeslagen informatie op de blockchain. In zo’n geval kan de gebruiker geen nieuwe identiteit aanvragen of de oude als vermist of gestolen opgeven. Er is namelijk geen centraal orgaan dat identiteiten controleert op de blockchain. Er moet samenspraak zijn en die is er niet. Dat is wel anders in de huidige situatie, waarbij de gemeente het enige orgaan is dat identiteitsbewijzen kan uitgeven.

Als deze problemen zouden worden opgelost, zou blockchain de volgende grote stap kunnen worden in de authenticatiewereld. Een digitale identiteit voor alle diensten, overal ter wereld, met het hoogste beveiligingsniveau, kracht en support van de blockchain. Dat zou de manier waarop we ons identificeren voorgoed kunnen veranderen.