Die Kritik an der Umsetzung der ID Wallet ist auf jeden Fall berechtigt. Die ID Wallet ist aber nicht an schlechtem Design, sondern an jungfräulicher Technik gescheitert. Nein, diese Technik gibt es nicht schon seit 20 Jahren, sondern ist erst wenige Jahre alt.
Ich bin Entwickler und beschäftige mich beruflich mit der ID Wallet (als Anwender, nicht Herausgeber) und vor allem dem darunter liegenden Identitätskonzept namens „Self-Sovereign Identity“ (SSI). Im Gegensatz zu heutigen Identitätsmodellen, bei welchen der User sich jedesmal neue Accounts erstellen muss, ist das bei SSI genau andersrum. Hier hat der User seine eigene, autonome Identität auf Basis von Schlüsselpaaren erstellt und Dritte können Informationen zu dieser Identität abfragen. Die Identität wird in Form von Decentralized Identifiers (DIDs) repräsentiert.
Was die ID Wallet genau macht, ist, dass sie dem User eine DID erstellt und ermöglicht, dass man zu dieser DID den Personalausweis ableitet und diese mit anderen Akteuren verschlüsselt teilen kann. Dafür gibt es den Verifiable Credential Standard, der wie der DID Standard erst vor kurzem von dem W3C veröffentlicht wurde. Der abgeleitete Personalausweis ist also fest mit dieser DID (und später auch mit einem Linked Secret) verbunden und kann nicht von Dritten geklaut oder wiederverwendet werden. Wenn man den Ausweis teilt, wird eine Proof Presentation erstellt, die ausschließlich dann entschlüsselt werden kann, wenn man direkt mit dem Eigentümer des Credentials verbunden ist.
Die genannten Kritikpunkte sind berechtigt, allerdings ist das unterlege Aries Protokoll noch nicht ausgereift genug, um den Use Case perfekt abzudecken. Wie man hier im Repo sieht, wird daran aber intensiv gearbeitet. Die ID Wallet kam einfach zu früh.
Warum ist die ID Wallet die Zukunft?
Mit DIDs können User automatisch digitale Identitäten erstellen, mit denen man sich Online authentifizieren und, wenn notwendig, mit dem abgeleiteten Personalausweis identifizieren kann. Die Daten werden dabei „on-demand“ abgefragt und nicht in großen Datenbanken gespeichert, die immer wieder gehackt werden. Der User muss sich nicht mehr als die PIN zu seinem Smartphone merken. Klassische Username+Passwort Kombinationen würden der Vergangenheit angehören. Unternehmen müssten deutlich weniger Geld aufwenden, um DSGVO-kompatibel zu sein und vieles mehr. Mir ist bewusst, dass das aktuelle Identitätskonzept im Internet nie ganz verschwinden wird, aber Vorhaben wie die ID Wallet bringen echte, verifizierbare, und sichere Identitäten ins Internet, ohne viel Aufwand wie Foto vom Ausweis machen, hochladen, alle Daten manuell eingeben, Video-Ident und was es nicht alles gibt. Gebt dem doch einfach mal eine Chance