zero-knowledge – Smals Research

Contrôlez votre identité numérique grâce aux titres numériques anonymes

Kristof Verslype — Tue, 23 Sep 2025 15:44:43 +0000

Dit artikel is ook beschikbaar in het Nederlands.

Intro

Les citoyens possèdent généralement de nombreux certificats : carte d’identité, permis de conduire, diplômes, certificats d’aptitudes pédagogiques, cartes bancaires, carte d’assurance maladie, prescriptions médicales, extrait de casier judiciaire, carte de stationnement pour personnes handicapées, titres de propriété, billets de concert… Ces documents peuvent être physiques ou numériques et contiennent des données personnelles souvent sensibles.

Lorsque vous présentez un tel certificat, vous divulguez souvent plus d’informations à propos de vous que celles strictement nécessaires. Or, cela peut poser problème, notamment dans un monde numérique. Les données sont lues en une fraction de seconde et peuvent ensuite être conservées pendant de nombreuses années, ce qui permet de dresser votre profil de manière plus complète.

Voici deux exemples :

Pour acheter de l’alcool ou des feux d’artifice, ou pour accéder à des sites web à contenu érotique, il suffit en principe de prouver que l’on est majeur. Pour participer à des jeux de hasard ou à des paris, l’âge minimal est de 21 ans. La date de naissance exacte, sans parler du lieu de naissance ou du numéro de registre national, n’ont pas d’importance. Ce n’est qu’en cas d’abus, tel que la tricherie, que l’identité de la personne concernée doit pouvoir être révélée.
Pour participer à un sondage organisé par la ville de Louvain, il suffit en principe de prouver que l’on réside effectivement dans cette ville et que l’on n’a pas encore participé, éventuellement en communiquant des informations supplémentaires telles que la tranche d’âge et la commune, à des fins statistiques.

Les technologies de certification couramment utilisées aujourd’hui ne permettent pas une divulgation sélective des données personnelles ; soit vous montrez le certificat complet avec toutes les données personnelles qu’il contient, soit vous ne montrez rien. Au cours des dernières décennies toutefois, de nombreux travaux de recherche et de développement ont été menés pour mettre au point une technologie capable de remédier à cela facilement. Cette technologie, appelée “titres numériques anonymes”, a déjà été abordée dans un précédent article de blog.

Il s’agit d’une technologie favorisant la confidentialité qui recourt aux preuves à divulgation nulle de connaissance (zero-knowledge (ZK) proof) pour divulguer de manière sélective des informations personnelles. Les preuves ZK permettent à une partie de prouver une affirmation (par exemple, être âgé de plus de 18 ans) à une autre partie sans divulguer plus de détails sur cette affirmation (par exemple, la date de naissance exacte). Bien que le titre numérique lui-même soit délivré par un émetteur autorisé, la divulgation sélective ne nécessite plus le recours à un tiers de confiance.

David Chaum a réalisé en 1985 les premiers travaux novateurs et révolutionnaires en proposant une monnaie numérique anonyme. Chaum mettait déjà en garde à l’époque contre l’impact des évolutions technologiques sur la vie privée des citoyens. Sur cette base, les deux premières propositions de titres numériques anonymes ont suivi rapidement. En 2000, Stefan Brands a publié sa solution U-Prove, et en 2001, Jan Camenisch (IBM) et Anna Lysyanskaya (MIT) ont proposé Idemix, une solution plus avancée.

Au cours de ces années, j’ai manié cette technologie dans le cadre de mon doctorat, ce qui m’a valu, entre autres, un best paper award à SECRYPT 2009 à Milan, avec une solution permettant aux détenteurs de titres numériques d’utiliser un service de manière anonyme, mais pas plus d’un nombre déterminé de fois par période, par exemple pas plus de 10 fois par mois.

Caractéristiques

Tout comme pour les certificats numériques classiques, un titre numérique anonyme est délivré par un émetteur autorisé (issuer ou identity provider) au détenteur (holder).
Au moyen de preuves ZK, ce dernier peut ensuite prouver de manière sélective des informations issues du titre numérique à un vérificateur (verifier).

Les caractéristiques de base des titres numériques anonymes sont les suivantes :

Infalsifiabilité (Unforgeability). Il est impossible de falsifier un titre numérique anonyme. Seul l’émetteur peut créer des titres numériques anonymes.
Divulgation sélective d’attributs (selective attribute disclosure). Seule une partie sélectionnée des informations contenues dans le titre numérique anonyme est divulguée. Il peut s’agir de valeurs d’attributs, telles que la date de naissance, mais aussi d’informations dérivées, telles que la majorité. Toutes les autres informations contenues dans le titre numérique restent cachées au vérificateur. Idemix et U-Prove prennent tous deux en charge cette fonctionnalité.
Non-corrélabilité (Unlinkability). Des présentations multiples d’un même titre numérique anonyme à un vérificateur (identique ou différent) ne peuvent pas être reliées entre elles. U-Prove ne disposait pas encore de cette fonctionnalité, contrairement à Idemix.

En fonction de la technologie spécifique, des fonctionnalités supplémentaires peuvent être prises en charge, notamment :

Durée de validité limitée. Le détenteur prouve au vérificateur que la date d’expiration du titre numérique anonyme n’est pas encore atteinte, sans divulguer d’autres informations sur cette date d’expiration.
Révocation. Un titre numérique anonyme peut être révoqué, par exemple après que la clé privée correspondante a été compromise ou parce que les données personnelles ont été modifiées, par exemple en cas de déménagement ou de retrait du permis de conduire. Chaque fois qu’un détenteur présente un titre numérique à un vérificateur, il prouve également que l’identifiant du titre numérique figure sur une liste blanche ou qu’il ne figure pas sur une liste noire. Ces listes peuvent être compressées en une seule valeur compacte, laquelle est actualisée à chaque nouvelle révocation. C’est ce que l’on appelle un accumulateur dynamique.
Anonymat conditionnel. En cas d’abus, l’anonymat du détenteur du titre numérique peut être levé, avec la coopération d’un tiers de confiance, et son identité est alors révélée. La justice peut ainsi faire son travail et éventuellement engager des poursuites.
Délégation. Un détenteur de titres numériques peut déléguer des titres numériques anonymes. Une personne pourrait ainsi déléguer son droit (ou son obligation) de vote à son partenaire, ce qui équivaut alors à une procuration. Pour des raisons juridiques, la délégation ne sera généralement possible que pour des individus ayant une capacité juridique et donc pas pour des mineurs, par exemple.
Combinabilité. Une divulgation sélective peut être dérivée de plusieurs titres numériques anonymes, potentiellement émis par différents émetteurs. Par exemple, un détenteur de titres numériques peut prouver avec une seule preuve ZK qu’il est titulaire d’un permis de conduire valide et qu’il est assuré, sans pour autant divulguer d’identifiant commun, tel que son numéro de registre national. Il prouve simplement que les deux titres numériques anonymes contiennent le même identifiant, comme illustré dans un précédent article.

Il est évident que les titres numériques anonymes constituent une technologie particulièrement puissante et recèlent un potentiel considérable. Malheureusement, cela ne signifie pas nécessairement qu’ils sont adoptés à grande échelle. Les sections suivantes traitent 1) des initiatives destinées à parfaire cette technologie et à la faire adopter, 2) de son utilisation dans la pratique et 3) des défis liés à la résistance à l’informatique quantique.

Initiatives

Lorsque j’ai commencé à travailler avec Idemix il y a environ vingt ans, la signature d’un accord de confidentialité était indispensable. Depuis, la situation s’est complètement inversée et il existe désormais divers projets open source. Les principaux sont IBM Idemix, Microsoft U-prove, Yivi et Hyperledger AnonCreds. Ces deux derniers proposent actuellement leurs propres implémentations d’Idemix.

La Commission européenne a déjà investi des dizaines de millions d’euros dans la recherche et le développement de technologies de titres numériques anonymes à travers des projets tels que PRIME (2004-2008), PrimeLife (2008-2011) et ABC4Trust (2011-2014).

Le battage médiatique autour de la blockchain (entre 2015 et 2019 environ) s’est accompagné d’un regain d’intérêt pour les titres numériques anonymes, en tant que concrétisation technologique du paradigme de l’identitié auto-souveraine (Self-sovereign identity – SSI). La blockchain et les titres numériques anonymes promettaient en effet quelque chose de très similaire : redonner le contrôle aux citoyens, en le retirant des mains des autorités et des intermédiaires. Beaucoup ont alors supposé à tort que la SSI nécessitait la blockchain. Ce n’est pas nécessairement le cas, mais la blockchain peut néanmoins jouer un rôle, notamment pour répertorier de manière distribuée les émetteurs reconnus et donc dignes de confiance.

Hyperledger est un projet open source sous l’égide de la Linux Foundation destiné à développer une technologie pour les réseaux blockchain autorisés (fermés et contrôlés). Hyperledger a adopté le paradigme SSI ; Hyperledger AnonCreds, actuellement un projet en incubation, met spécifiquement en œuvre une technologie de titres numériques anonymes.

Sovrin était le pionnier le plus influent dans le domaine de la SSI utilisant la blockchain et recourrait notamment à Hyperledger AnonCreds comme base. Malheureusement, le réseau Sovrin est passé à la trappe au début de cette année. Les raisons invoquées étaient une baisse de l’utilisation, une incertitude législative, des défis techniques et un engagement limité de la part de la communauté.

Le portefeuille d’identité numérique de l’UE (EU digital identity wallet ou EUDIW en anglais), défini dans la réglementation eiDAS 2.0 (en vigueur depuis mai 2024), offre en principe une nouvelle occasion d’exploiter le potentiel des titres numériques anonymes (avec ou sans blockchain). Malheureusement, il semble que l’on ne s’oriente pas dans cette direction. En juin 2024, un groupe de cryptographes éminents a formulé des critiques à l’égard de la conception actuelle de l’EUDIW et estime qu’une nouvelle conception, avec un soutien explicite aux titres numériques anonymes, s’impose pour améliorer la confidentialité. La conception actuelle de l’EUDIW n’autorise par exemple pas la non-corrélabilité. L’intégration de titres numériques anonymes est l’un des “sujets en suspens”, mais aucun plan d’action n’a encore été établi à ce jour.

Depuis 2012, un projet appelé IRMA, qui signifie “I Reveal My Attributes” est en cours aux Pays-Bas. Il a été développé à l’université Radboud de Nimègue. En 2023, il a été rebaptisé Yivi. Yivi entend redonner aux citoyens le contrôle de leurs données, sans recourir à la technologie blockchain.

Dans la pratique

Yivi dispose notamment de sa propre implémentation du protocole Idemix ainsi que de sa propre app, qui serait utilisée par des centaines de milliers de Néerlandais. Elle est proposée par la ville de Nimègue comme solution d’identité respectueuse de la vie privée. La ville l’utilise notamment pour mener des enquêtes anonymes auprès de ses habitants.

Parallèlement, les compagnies d’assurances soutiennent Yivi, étant donné que les autres solutions d’identité numérique aux Pays-Bas ne sont pas utilisables dans ce contexte ; DigiD n’est possible qu’auprès des institutions gouvernementales, iDIN passe par une banque et n’est utilisable que par les personnes titulaires d’un compte bancaire aux Pays-Bas. Les considérations pratiques semblent ici primer sur l’aspect de la vie privée.

L’administration de la province canadienne de Colombie-Britannique a investi massivement dans le développement et l’adoption de titres numériques anonymes. Elle a consacré plus d’un million de lignes de code au projet Hyperledger Aries. La Colombie-Britannique utilise également cette technologie dans la pratique, notamment avec Hyperledger AnonCreds :

OrgBook BC met à disposition de nombreuses informations sur les entreprises de la province : numéros d’entreprise, adresses, certificats d’enregistrement, licences de vente de cannabis… Afin d’accroître la confiance dans leur exactitude, ces données sont mises à disposition sous la forme de titres numériques anonymes révocables, délivrés par des organismes du secteur public. Les citoyens peuvent obtenir, stocker et présenter des titres numériques vérifiables les concernant ou concernant leur entreprise grâce à leur BC Wallet.
Le Justice Project permet aux juges et aux avocats de consulter en ligne des documents judiciaires sensibles, auxquels seuls les juristes agréés ont accès, sans révéler leur identité.

Les applications ci-dessus se situent au niveau local. Cependant, il ne faut pas oublier que les titres numériques anonymes sont également utilisés à l’échelle mondiale.

Signal, l’application de messagerie sécurisée populaire qui compte quelque 70 millions d’utilisateurs, utilise des titres numériques anonymes pour gérer des groupes privés ; les serveurs de Signal ne voient pas quels sont les membres d’un groupe privé. Lorsqu’un membre du groupe ajoute ou supprime quelqu’un du groupe, les serveurs de Signal ne voient pas qui exécute cette action, mais seulement que cette personne en a le droit. Signal utilise pour cela des Keyed-Verification Anonymous Credentials (KVAC), i.e. des titres numériques anonymes, où l’émetteur et le vérificateur partagent une clé secrète, ce qui permet de gagner en efficacité.

Un TPM (Trusted Platform Module) est une puce de sécurité intégrée à un ordinateur. Il est notamment capable de prouver l’intégrité du système à une entité externe dans le respect de la vie privée. Pour ce faire, il utilise la technologie Direct Anonymous Attestation (DAA). Celle-ci utilise une sorte de titre numérique anonyme, lié à la puce TPM. La technologie SGX d’Intel utilise une variante de la DAA, appelée Enhanced Privacy ID (EPID). À ce jour, plus de 2,5 milliards de titres numériques EPID ont été émis. Il s’agit probablement aujourd’hui de l’application la plus réussie de la technologie des titres numériques anonymes.

Malgré ces quelques cas d’usage à l’échelle mondiale, nous ne constatons à ce jour qu’une adoption très limitée des titres numériques anonymes dans le contexte où nous les attendons le plus, à savoir la gestion des identités.

Résistance à l’informatique quantique

Comme déjà expliqué en détail dans des articles précédents de Smals Research, il existe un risque que de puissants ordinateurs quantiques puissent à l’avenir briser la cryptographie moderne à clé publique.

L’illustration ci-dessous présente les principales techniques en matière de titres numériques anonymes proposées par le monde académique. La première génération était basée sur RSA ou les courbes elliptiques. À partir de 2004, une génération basée sur les applications bilinéaires (pairings) a suivi. La troisième génération de titres numériques anonymes est basée sur les treillis et est la première génération à utiliser une cryptographie supposée résistante à l’informatique quantique.

Illustration 1 Chronologie des principales publications relatives aux titres numériques anonymes (source)

À l’heure actuelle, seuls quelques systèmes résistants à l’informatique quantique ont donc été proposés pour les titres numériques anonymes. Ces systèmes sont encore récents et leurs performances sont insuffisantes pour être utilisés dans la pratique. De plus amples recherches s’imposent donc pour trouver des solutions efficaces et résistantes à l’informatique quantique pour les titres numériques anonymes.

Nous avons mentionné plus haut qu’un groupe éminent de scientifiques spécialisés en cryptographie plaidait en faveur de la prise en charge des titres numériques anonymes dans le portefeuille d’identité numérique de l’UE (EUDIW). Ils avancent deux arguments valables pour expliquer pourquoi la menace quantique n’est pas (encore) d’actualité.

Les titres numériques anonymes sont utilisés pour l’authentification ; une session d’authentification n’est valable que pendant un très court laps de temps, quelques minutes tout au plus. Pensez par exemple à l’authentification avec itsme, à des années-lumière du chiffrement (par exemple, la communication), où un pirate dispose de plusieurs années pour déchiffrer les données chiffrées interceptées (harvest now decrypt later). On a ainsi beaucoup plus de temps (au moins une décennie, selon votre auteur).
Les technologies de titres numériques anonymes les plus populaires aujourd’hui, comme celles proposées par Camenisch et Lysyanskaya en 2004, offrent une sécurité inconditionnelle ; même un pirate hypothétique disposant d’une puissance de calcul infinie (classique ou quantique) ne pourrait la briser, bien que la technologie – cela peut sembler contradictoire – utilise en coulisse des éléments constitutifs qui pourraient être brisés par de puissants ordinateurs quantiques.

Sur le plan technologique, rien n’empêche donc l’adoption de la technologie des titres numériques anonymes. Il existe toutefois un autre obstacle… la perception ! Emad Heydari Beni, chercheur en cryptographie au COSIC (KU Leuven) et chez Bell Labs, a récemment publié le message suivant sur LinkedIn : “Si ce n’est pas post-quantique, les acteurs de l’industrie ne veulent pas en entendre parler.” La double argumentation évoquée plus haut n’est donc probablement pas suffisamment convaincante pour l’industrie.

Dans tous les cas, veillez à ce que votre solution soit crypto-agile si vous utilisez des titres numériques anonymes, afin de pouvoir migrer rapidement vers une technologie plus récente si nécessaire.

Conclusion

En résumé, après des décennies de recherche et de développement, et malgré leur nombreux avantages, les titres numériques anonymes ne sont encore que peu utilisés dans la pratique pour réellement protéger les données à caractère personnel. Leur potentiel est loin d’être pleinement exploité, même si des projets tels que Hyperledger leur donnent une impulsion positive. Grâce notamment à Signal et Intel SGX, certains types de titres numériques anonymes sont toutefois largement adoptés.

L’absence de normes constitue un obstacle à leur adoption dans le contexte de la gestion des identités. Grâce au travail préparatoire réalisé notamment par le W3C, la Decentralized Identity Foundation, l’IETF/IRTF et l’ISO, cela devrait être possible assez rapidement, à condition qu’il y ait une volonté politique, selon le groupe de cryptographes mentionné précédemment. La technologie doit toutefois relever un autre défi, à savoir devenir résistante à l’informatique quantique.

Il est donc encore trop tôt pour dire si cette technologie va s’imposer comme un outil de gestion des identités respectueux de la vie privée. Peut-être est-ce au secteur public de prendre l’initiative et de faire des titres numériques anonymes un succès.

N’hésitez pas à nous contacter si vous êtes intéressé !

Controle over je Digitale Identiteit met Anonieme Credentials

Kristof Verslype — Tue, 23 Sep 2025 05:30:00 +0000

Cet article est aussi disponible en français.

Intro

Burgers hebben doorgaans heel wat certificaten. Voorbeelden zijn de identiteitskaart, rijbewijs, diploma’s, bekwaamheidsbewijzen, bankkaarten, de ziekteverzekeringskaart, medische voorschriften, een uittreksel uit het strafregister, een parkeerkaart voor personen met een handicap, eigendomsaktes en concerttickets. Deze kunnen een fysieke of digitale vorm aannemen en bevatten – vaak gevoelige – persoonsgegevens.

Wanneer we een dergelijk certificaat tonen, geven we vaak meer gegevens over onszelf prijs dan strikt noodzakelijk. Vooral in een digitale wereld kan dit problematisch worden. De data worden in een fractie van een seconde uitgelezen en vervolgens misschien vele jaren bewaard, waarbij mogelijk een ruimer profiel over jou aangelegd wordt.

Een tweetal voorbeelden:

Om alcohol of vuurwerk te kopen, of om toegang te krijgen tot websites met erotische inhoud, moet je in principe enkel aantonen dat je meerderjarig bent. Om deel te nemen aan kansspelen of weddenschappen is de minimumleeftijd 21 jaar. De exacte geboortedatum, laat staan de geboorteplaats of rijksregisternummer, doen er niet toe. Enkel in geval van misbruik, zoals valsspelen, moet de identiteit van de persoon in kwestie onthuld kunnen worden.
Om deel te nemen aan een bevraging georganiseerd door de stad Leuven, moet je in principe enkel aantonen dat je effectief in die stad woont, en nog niet eerder gestemd hebt, eventueel aangevuld met extra info zoals leeftijdscategorie en deelgemeente, voor statistische doeleinden.

De vandaag gangbare certificaattechnologieën laten een dergelijke selectieve prijsgave van persoonsgegevens niet toe; je toont ofwel het volledige certificaat met al de persoonsgegevens die erin vervat zitten, ofwel niets. Toch is er in de laatste decennia al heel wat onderzoek en ontwikkeling gebeurd naar een technologie die daar wel vlot mee overweg kan. Die technologie luistert naar de naam anonieme credentials en kwam reeds in een vorige blogpost aan bod.

Het is een privacy bevorderende technologie die beroep doet op zero-knowledge proofs (ZKPs) om selectief persoonsinformatie prijs te geven. ZKPs laten een partij toe een bewering (vb. ouder dan 18 jaar) aan een andere partij te bewijzen zonder verdere details over die bewering (vb. exacte geboortedatum) prijs te geven. Hoewel de credential zelf wordt uitgegeven door een geautoriseerde uitgever, hoeft bij een selectieve prijsgave verder geen beroep meer gedaan te worden op een vertrouwde partij.

David Chaum deed reed in 1985 het eerste baanbrekend en visionair werk met een voorstel voor anoniem digitaal geld. Chaum waarschuwde toen reeds voor het effect van de technologische ontwikkelingen op de privacy van burgers. Daarop verder bouwend volgden kort op elkaar de twee eerste voorstellen voor anonieme credentials. In 2000 publiceerde Stefan Brands zijn oplossing U-Prove, en in 2001 werd het geavanceerdere Idemix voorgesteld door Jan Camenisch (IBM) en Anna Lysyanskaya (MIT).

In die jaren werkte ik tijdens mijn doctoraat met die technologie, wat me onder meer een best paper award opleverde op SECRYPT 2009 in Milaan, met een oplossing die credential houders toelaat anoniem van een dienst gebruik te maken, maar niet vaker dan een vast aantal keer per tijdsvenster, bijvoorbeeld niet vaker dan 10 keer per maand.

Eigenschappen

Net zoals bij klassieke digitale certificaten, wordt een anoniem credential uitgegeven door een geautoriseerde uitgever (de issuer of identity provider) aan de eigenaar (de holder). De laatste kan vervolgens, m.b.v. ZKPs selectief informatie uit de credential bewijzen aan een verifier.

De basiseigenschappen van anonieme credentials zijn:

Onvervalsbaarheid (Unforgeability). Het vervalsen van een anonieme credential is onmogelijk. Enkel met behulp van de issuer kunnen anonieme credentials aangemaakt worden.
Selectieve attribuutprijsgave (selective attribute disclosure). Slechts een geselecteerd deel van de informatie die in het anonieme credential vervat zit, wordt prijsgegeven. Dit kunnen attribuutwaarden zijn, zoals geboortedatum, maar ook afgeleide informatie, zoals meerderjarigheid. Alle andere informatie in de credential blijft verborgen voor de verifier. Zowel Idemix als U-Prove ondersteunen dit.
Onlinkbaarheid (Unlinkability). Meerdere vertoningen van eenzelfde anonieme credential aan (eenzelfde of andere) verifier kunnen niet aan elkaar gekoppeld worden. U-Prove had deze eigenschap nog niet, Idemix wel.

Afhankelijk van de specifieke technologie kunnen bijkomende eigenschappen ondersteund worden, waaronder:

Beperkte geldigheidsduur. De holder bewijst aan de verifier dat de vervaldatum van de anonieme credential nog niet bereikt is, zonder verdere info over die vervaldatum prijs te geven.
Revocatie. Een anoniem credential kan gerevoceerd worden, bijvoorbeeld nadat de bijhorende private sleutel gecompromitteerd werd of omdat de persoonsgegevens gewijzigd zijn, bijvoorbeeld door een verhuis of intrekken rijbewijs. Telkens wanneer een holder een credential toont aan een verifier, bewijst hij ook dat de identifier van de credential zich op een whitelist bevindt of dat deze identifier zich niet op een blacklist bevindt. Die lijsten kunnen gecomprimeerd worden tot één compacte waarde, die geactualiseerd wordt bij elke nieuwe revocatie. Dit noemt met een dynamische accumulator.
Conditionele anonimiteit. In geval van misbruik kan de anonimiteit van de credential holder, met medewerking van een vertrouwde partij, opgeheven worden en wordt de identiteit dus onthuld. Op die manier kan het gerecht zijn werk doen en eventueel tot vervolging overgaan.
Delegatie. Een credential holder kan anonieme credentials delegeren naar andere personen. Een persoon zou zo bijvoorbeeld haar recht (of plicht) om te stemmen kunnen delegeren naar haar partner. Dit is dan het equivalent van een volmacht. Delegatie zal omwille van juridische redenen veelal enkel door handelingsbekwame personen uitgevoerd kunnen worden, en dus niet door vb. minderjarigen.
Combineerbaarheid. Een selectieve prijsgave kan afgeleid worden uit meerdere anonieme credentials, potentieel uitgegeven door verschillende issuers. Een credential holder kan bijvoorbeeld met één enkel ZKP bewijzen dat hij over een geldig rijbewijs beschikt en verzekerd is, zonder daarbij een gemeenschappelijke identifier, zoals rijksregisternummer, prijs te gegeven. Hij bewijst enkel dat beide anonieme credentials dezelfde identifier bevatten, zoals ook geïllustreerd in een eerder artikel.

Het is duidelijk dat anonieme credentials een bijzonder krachtige technologie zijn en heel wat potentieel hebben. Dit betekent helaas niet per se dat er ook brede adoptie is. De volgende secties bespreken 1) de initiatieven om de technologie verder te ontwikkelen en ingang te doen vinden, 2) het gebruik ervan in de praktijk en 3) de uitdagingen m.b.t. kwantumresistentie.

Initiatieven

Toen ik ongeveer twintig jaar geleden met Idemix aan de slag ging, kon dit enkel mits het ondertekenen van een geheimhoudingsverklaring. Ondertussen is de situatie helemaal omgekeerd en zijn er diverse open source projecten. De voornaamste zijn IBM Idemix, Microsoft U-prove, Yivi en Hyperledger AnonCreds. Die twee laatsten bieden momenteel eigen implementaties van Idemix aan.

Vanuit de Europese Commissie werden via projecten zoals PRIME (2004-2008), PrimeLife (2008-2011) en ABC4Trust (2011-2014) reeds tientallen miljoenen euro’s geïnvesteerd in onderzoek en ontwikkeling naar anonieme credential technologie.

De blockchain hype (ruwweg 2015-2019) ging gepaard met een hernieuwde interesse in anonieme credentials, als technologische invulling van het Self-sovereign identity (SSI) paradigma. Blockchain en anonieme credentials beloofden immers iets zeer gelijkaardig; de controle teruggeven aan de burger, uit de handen van de allerlei autoriteiten en men-in-the-middle. Velen gingen er toen onterecht vanuit dat SSI blockchain vereist. Dat is niet noodzakelijk, maar toch kan blockchain een rol spelen, onder meer om op een gedistribueerde wijze bij te houden welke issuers erkend zijn, en dus vertrouwd kunnen worden.

Hyperledger is een open-source project onder de vleugels van de Linux Foundation dat bouwt aan technologie voor permissioned (gesloten, gecontroleerde) blockchain netwerken. Hyperledger omarmde het SSI-paradigma; Hyperledger AnonCreds, momenteel een incubatieproject, implementeert specifiek anonieme credential technologie.

Sovrin was de meest toonaangevende pionier in SSI m.b.v. blockchain en gebruikte onderliggend onder meer Hyperledger AnonCreds. Helaas werd het Sovrin netwerk begin dit jaar uitgedoofd. De redenen die gegeven werden waren een dalend gebruik, wetgevende onzekerheid, technische uitdagingen en beperkte betrokkenheid vanuit de community.

De EU digital identity wallet (EUDIW), gedefinieerd in de eiDAS 2.0 regulering (van kracht sinds mei 2024), biedt in principe opnieuw een kans om het potentieel van anonieme credentials te ontsluiten (met of zonder blockchain). Toch lijkt men helaas niet in die richting te kijken. Een groep van vooraanstaande cryptografen formuleerde in juni 2024 kritieken op het huidige ontwerp van de EUDIW en menen dat een nieuw design, met expliciete ondersteuning voor anonieme credentials, nodig is om de privacy te verbeteren. Het huidige EUDIW-ontwerp laat bijvoorbeeld geen onlinkbaarheid toe. Integratie van anonieme credentials is één van de “open topics”, maar een roadmap ontbreekt vooralsnog.

Sinds 2012 loopt er in Nederland een project genaamd IRMA, wat staat voor I Reveal My Attributes. Het werd ontwikkeld aan de Radboud Universiteit in Nijmegen. In 2023 werd het omgedoopt naar Yivi. Yivi wil de controle over haar gegevens teruggeven aan de burger, zonder daarbij een beroep te doen op blockchain technologie.

In de praktijk

Yivi heeft onder meer zijn eigen implementatie van het Idemix protocol alsook een eigen app, die door honderdduizenden Nederlanders gebruikt zou worden. Het wordt aangeboden door de stad Nijmegen als privacy-vriendelijke identiteitsoplossing. De stad gebruikt het onder meer voor anonieme bevragingen van Nijmegenaren.

Daarnaast ondersteunen verzekeringsinstellingen Yivi, gezien de andere digitale identiteitsoplossingen in Nederland in dit kader niet bruikbaar zijn; DigiD is alleen mogelijk bij overheidsinstellingen, iDIN verloopt via een bank en is enkel bruikbaar door mensen met een bankrekening in Nederland. Hier lijkt de praktische overweging belangrijker dan het privacy-aspect.

Het bestuur van de Canadese provincie British Columbia heeft stevig geïnvesteerd in de ontwikkeling en adoptie van anonieme credentials. Ze heeft meer dan een miljoen regels code gecommit naar het Hyperledger Aries project. British Columbia gebruikt de technologie, samen met onder meer Hyperledger AnonCreds ook in de praktijk:

OrgBook BC stelt heel wat informatie over bedrijven in de provincie ter beschikking: ondernemingsnummers, adressen, registratiebewijzen, licenties om cannabis te verkopen, etc. Om het vertrouwen in de juistheid ervan te verhogen, worden deze data ter beschikking gesteld onder de vorm van revoceerbare anonieme credentials, uitgegeven door publieke sectororganisaties. Burgers kunnen met hun BC Wallet verifiable credentials over henzelf of over hun onderneming verkrijgen, opslaan en tonen.
Het Justice Project laat rechters en advocaten toe gevoelige gerechtelijke documenten, waar enkel erkende juristen toegang tot mogen hebben, online op te vragen zonder hun identiteit prijs te geven.

Bovenstaande toepassingen situeren zich op een lokaal niveau. Toch mogen we niet vergeten dat anonieme credentials ook op globale schaal toegepast worden.

Signal, de populaire beveiligde berichten app die ongeveer 70 miljoen gebruikers telt, maakt gebruik van anonieme credentials voor het beheer van private groepen. De Signal servers zien niet wie tot een private groep behoort. Wanneer een groepslid iemand aan de groep toevoegt of eruit verwijdert, zien de Signal servers niet wie dit doet, enkel dat die persoon het recht daartoe heeft. Signal gebruikt daarvoor Keyed-Verification Anonymous Credentials (KVACs), wat anonieme credentials zijn, waarbij de issuer en de verifier een geheime sleutel delen, wat leidt tot efficiëntiewinsten.

Een TPM (Trusted Platform Module) is een security chip in een computer. Het is, onder andere, in staat om op een privacyvriendelijke manier de integriteit van het system aan een externe entiteit te bewijzen. Daarvoor maakt het gebruik van Direct Anonymous Attestation (DAA). DAA gebruikt een soort anonieme credential, gekoppeld aan de TPM-chip. Intels SGX gebruikt een DAA-variant, genaamd Enhanced Privacy ID (EPID). Ondertussen werden meer dan 2,5 miljard EPID-credentials uitgegeven. Het is vandaag wellicht de meest succesvolle toepassing van anonieme credential technologie.

Ondanks deze enkele globale use cases zien we tot op vandaag slechts een zeer beperkte adoptie van anonieme credentials in de settings waar we het het meest zouden verwachten: identiteitsbeheer.

Kwantumresistentie

Zoals reeds uitvoerig in eerdere Smals Research artikels toegelicht, is er het gevaar dat krachtige kwantumcomputers in de toekomst moderne publieke sleutelcryptografie zouden kunnen breken.

De onderstaande figuur geeft een overzicht van de belangrijkste technieken voor anonieme credentials die door de academische community voorgesteld werden. De eerste generatie was gebaseerd op RSA of elliptische krommen. Vanaf 2004 volgde een generatie gebaseerd op bilineaire afbeeldingen (pairings). De derde generatie anonieme credentials is gebaseerd op lattices en is de eerste generatie die gebruik maakt van cryptografie die verondersteld is kwantumresistent te zijn.

Figuur 1 Tijdlijn van belangrijkste publicaties m.b.t. anonieme credentials (bron)

Momenteel zijn er dus slechts enkele kwantumresistente systemen voor anonieme credentials voorgesteld. Deze systemen zijn nog jong en onvoldoende performant om in de praktijk inzetbaar te zijn. Er is dus meer onderzoek vereist naar efficiënte kwantumresistente oplossingen voor anonieme credentials.

Dit artikel vermeldde reeds dat een vooraanstaande groep wetenschappers in cryptografie ervoor pleiten om ondersteuning voor anonieme credentials in de EU digital identity wallet (EUDIW) te voorzien. Ze geven twee geldige argumenten waarom de kwantumdreiging niet of nog niet van toepassing is.

Anonieme credentials worden gebruikt voor authenticatie; een authenticatiesessie blijft maar een zeer korte tijd geldig; niet meer dan enkele minuten. Denk bijvoorbeeld aan authenticatie met ItsMe. Dit staat in schril contrast tot encryptie (bijvoorbeeld communicatie), waarbij een aanvaller vele jaren heeft om de onderschepte vercijferde data te decrypteren (harvest now decrypt later). We kunnen voor authenticatie dus veel korter op de bal spelen en hebben dus veel meer tijd (minstens een decennium, volgens jouw schrijver).
De vandaag meest populaire anonieme credential-technologieën, zoals diegene voorgesteld door Camenisch en Lysyanskaya in 2004 bieden onvoorwaardelijke veiligheid; zelfs een hypothetische aanvaller met oneindige (klassieke of kwantum-) rekenkracht zou ze niet kunnen breken, hoewel de technologie – dit kan contradictorisch klinken – onderliggend gebruik maakt van bouwblokken die wel met krachtige kwantumcomputers gebroken zouden kunnen worden.

Er zijn dus geen technologische redenen die de adoptie van anonieme credential-technologie in de weg staan. Wel is er nog een ander obstakel… perceptie! Emad Heydari Beni, een onderzoeker cryptografie aan COSIC (KU Leuven) en Bell Labs, postte onlangs op LinkedIn het volgende bericht: “Indien het niet postkwantum is, willen de mensen uit de industrie niet eens naar je luisteren”. Bovenstaande tweeledige argumentatie is bijgevolg wellicht onvoldoende overtuigend voor de industrie.

Zorg er in elk geval voor dat je oplossing crypto-agile is als je met anonieme credentials aan de slag gaat, zodat je snel kan migreren naar een nieuwere technologie wanneer nodig.

Conclusie

Samengevat worden anonieme credentials na decennia onderzoek en ontwikkeling en ondanks hun potentieel in de praktijk nog maar in beperkte mate gebruikt om persoonsgegevens echt te beschermen. Haar potentieel wordt nog bijlange niet ten volle benut, al geven projecten zoals Hyperledger er wel een positieve stimulans aan. Ook worden dankzij onder meer Signal en Intel SGX specifieke types anonieme credentials wel degelijk breed geadopteerd.

Een obstakel voor de adoptie in de context van identiteitsbeheer is het gebrek aan standaarden. Dankzij het voorbereidend werk door onder meer W3C, de Decentralized Identity Foundation, IETF/IRTF en ISO zou dat, mits een politieke wil, vrij vlot mogelijk moeten zijn, aldus de eerder vermeldde groep cryptografen. De technologie heeft trouwens nog een andere uitdaging op haar pad, met name overtuigend kwantumresistent worden.

Het blijft momenteel dus koffiedik kijken of de technologie zal doorbreken als tool voor privacyvriendelijk identiteitsbeheer. Misschien is het aan de publieke sector om hier het voortouw in te nemen en anonieme credentials tot een succesverhaal te maken.

Aarzel niet ons te contacteren bij interesse!