In diesem Beitrag gehen wir auf das kritische Papier ein, das Vitalik Buterin, der Gründer von Ethereum, zum Iris-Scan von WorldCoin geschrieben hat. Dabei landen wir bei BrightID, deren Ansatz mir nicht sehr gut erscheint. Es mangelt an Privatsphäre und Datenschutz, und dazu muss man für die Verifizierung an einem Zoom-Call teilnehmen.
Im Folgenden gebe ich Teile der Homepage und der Erklärungen von BrightID wieder:
Beweis für Einzigartigkeit
BrightID ist ein auf Datenschutz ausgerichtetes soziales Identitätsnetzwerk, das dir ermöglicht, gegenüber Anwendungen nachzuweisen, dass du sie auf faire Weise mit nur einem Konto benutzt.
Identität ist ein Menschenrecht
Jeder hat das Grundrecht auf Zugang zu öffentlichen Gütern.
Nicht-invasiv & Privat
BrightID speichert keine persönlich identifizierbaren Informationen aus deinem Online- oder Offline-Leben.
Zugänglich
Das Gemeingut ist so gestaltet, dass jeder teilnehmen und Verifizierungen für grundlegende und faire Zugangsrechte erhalten kann.
Alles, was das Gemeingut betrifft, ist für die Öffentlichkeit zugänglich, zur Nutzung oder zur Verwaltung.
BrightID
In wenigen einfachen Schritten starten
Die mobile App installieren
Erstelle deine BrightID
BrightID
Klicken wir auf den Link, der uns zu Informationen zur App führen soll, finden wir uns bei einer recht allgemeinen Beschreibung und einem kleinen YouTube-Film wieder. Wir lesen dort etwas von Graphen. Diese waren bereits Teil des ‚Proof-of-Humanity‘, das wir im letzten Artikel dieser Reihe beleuchtet haben.
BrightID ist ein auf Datenschutz fokussiertes soziales Identitätsnetzwerk, das dir ermöglicht, Anwendungen nachzuweisen, dass du sie auf faire Weise und nur mit einem Konto nutzt.
BrightID
Jede Person besitzt eine BrightID und stellt Verbindungen zu Menschen her, die sie kennen. Ein Graph entsteht aus ihrer BrightID und ihren Verbindungen, und gefälschte BrightIDs werden durch die Analyse des Graphen erkannt.
BrightID ist ein Sprungbrett, um eine faire digitale Welt für alle Bürger der Welt zu schaffen.
Gehen wir auf der Homepage ein Abschnitt weiter, finden wir Folgendes:
Die „Meets“-Verifizierung erhalten
Einen Gastgeber bei einer Verbindungsparty treffen
Zeitplan für Verbindungspartys
Mehr über Verifizierungen erfahren
BrightID
Zeitplan für Verbindungspartys
Klicken wir auf den angegebenen Link, gelangen wir zu einem Kalender, in dem wir uns für verschiedene Zoom-Calls anmelden können. Schnell wird deutlich, dass schon an dieser Stelle Datenschutzprobleme auftreten. Da Zoom seinen Sitz in den USA hat, bleibt unklar, welche Daten letztlich gespeichert, weiterverarbeitet oder gar weitergegeben werden könnten. Ein weiteres Problem ergibt sich durch die Plattform Zoom selbst: Es ist beispielsweise sehr einfach, eine Bildschirmaufnahme zu machen, wodurch sensible Daten leicht zugänglich werden.
Mehr über Verifizierungen erfahren
Über diesen Link gelangen wir zur folgenden Erklärung:
Du bekommst in deinem BrightID Abzeichen, die zeigen, dass du verifiziert bist. Diese Abzeichen basieren auf den Kontakten, die du in BrightID knüpfst. Diese Kontakte bilden ein anonymes Netzwerk, das analysiert wird, um zu bestimmen, welche Art von Abzeichen du erhältst. Falls du nicht die passenden Kontakte für ein bestimmtes Abzeichen hast, bekommst du dieses Abzeichen nicht. Wenn du keine Abzeichen hast, wird in der App angezeigt: „Verifizierungen: keine“.
Darüber hinaus erfordern verschiedene Apps, dass du unterschiedliche Verifizierungsabzeichen besitzt. Bisher überprüfen die meisten, ob du die „Meets“-Verifizierung hast.
Es gibt bisher drei Arten von Verifizierungen, von denen zwei aktiv sind („Meets“ und „Bitu“) und eine sich in der Entwicklung befindet („Aura“).
BrightID-Verifizierungsabzeichen
BrightID
Und so funktioniert die „Meets“-Verifizierung:
Du erhältst in deinem BrightID Verifizierungsabzeichen, die auf den Kontakten basieren, die du knüpfst. Bei der „Meets“-Verifizierung verbindet sich ein Nutzer mit einer speziellen Gruppe von Personen, den sogenannten Hosts oder „Seeds“. Wenn sich der Nutzer und der Host gegenseitig verbinden, erhält der Nutzer die „Meets“-Verifizierung. Eine einzige Verbindung genügt.
In der Praxis veranstalten die Hosts regelmäßige Verbindungspartys über Zoom, bei denen sich die Nutzer mit dem Host verbinden können.
Was muss man bei den Treffen tun? Es ist erforderlich, dass man sich im Video klar erkennbar zeigt und sinnvoll antwortet, wenn der Host Fragen stellt. Wer dies nicht tut, wird vom Host nicht verifiziert. Daher ist es wichtig, an Meetings in einer verständlichen Sprache teilzunehmen oder einen Übersetzer zur Seite zu haben.
Jedes Treffen beginnt pünktlich und ist nur für 5 Minuten offen für neue Teilnehmer. Bisher haben etwa 73.000 Menschen erfolgreich an einem Treffen teilgenommen. Die Verbindung wird über einen QR-Code oder einen Link hergestellt, der vom Host präsentiert wird.
Nach einem erfolgreichen Treffen und der Verbindung dauert es etwa eine halbe Stunde, bis man die „Meets“-Verifizierung erhält. Sie erscheint dann als Abzeichen im BrightID-Profil des Nutzers.
BrightID
Es wird schnell klar, dass es zahlreiche Möglichkeiten für das Abgreifen von Daten gibt und die Anonymität dabei stark eingeschränkt ist. Berücksichtigen wir zusätzlich die Fähigkeiten bereits existierender KI-Systeme, können selbst geringe Datenmengen für weitreichende Analysen verwendet werden. In Kombination mit anderen personenbezogenen Daten lassen sich dadurch sehr detaillierte Profile erstellen.
Kommen wir nun zur „Bitu“-Verifizierung, die mich in ihrer Art schon an ein Social-Credit-System erinnert.
„Bitu“-Verifizierung
Die „Bitu“-Verifizierung überprüft Nutzer anhand ihrer Position im Netzwerkgraphen. Nutzer sollten bestimmte Handlungen ausführen, um näher an die Hauptregionen des Graphen zu rücken und das zu vermeiden, was sie von diesen Regionen entfernt.
Es gibt in BrightID verschiedene Arten von Verbindungsstufen, die zeigen, wie gut eine Person die anderen kennt, mit denen sie sich verbindet: bereits bekannt, gerade getroffen und verdächtig. Die richtige Wahl der Verbindungsstufe ist bei „Bitu“ sehr wichtig.
Um verifiziert zu werden, musst du dich in den Hauptregionen des Graphen befinden. Da der Graph nur auf der Basis von „Bereits bekannten“ Verbindungen erstellt wird, solltest du solche Verbindungen mit Freunden und Familie herstellen, die bereits in den Hauptregionen platziert sind. Beachte dabei, niemals eine „Bereits bekannte“ Verbindung mit jemandem herzustellen, den du nicht kennst, da diese Person ein Angreifer sein könnte. Ihre Entfernung aus den Hauptregionen würde auch dich aus diesen entfernen.
„Bitu“ vergibt Punkte an Nutzer, die steigen, wenn sie eine „Bereits bekannte“ Verbindung mit verifizierten Freunden oder Familienmitgliedern herstellen. Verschiedene Apps können unterschiedliche Punktzahlen für die Verifizierung benötigen.
„Bitu“ bestraft auch Nutzer, die „Bereits bekannte“ Verbindungen mit Fremden herstellen. Du bekommst fünf Minuspunkte, wenn du gemeldet wirst oder als „Verdächtig“ markiert wurdest. Ein Minuspunkt wird ebenfalls vergeben, wenn Freunde oder Familienmitglieder mit „Bereits bekannten“ Verbindungen bestraft werden. Diese indirekte Bestrafung motiviert Nutzer, auf die Aktivitäten ihrer Freunde und Familie zu achten.
Um Strafen zu vermeiden, überprüfe so schnell wie möglich deine Verbindungsliste und stelle sicher, dass die Verbindungsstufen für alle Verbindungen richtig gewählt sind. Aktualisiere die Stufe, wenn du eine „Bereits bekannte“ Verbindung mit jemandem findest, den du gerade erst auf einer Verbindungsparty getroffen hast.
Deinen „Bitu“-Punktestand und eine Liste der Verbindungen, die dich direkt oder indirekt bestraft haben, findest du im „Bitu-Verifizierung“-Bildschirm unter der Liste der „Erfolge“. Wenn du in „Bitu“ verifiziert wurdest, erscheint auch ein „Bitu“-Verifizierungssticker unter deinem Namen auf dem Startbildschirm. Du kannst auch herausfinden, welche deiner Verbindungen in „Bitu“ verifiziert sind, indem du prüfst, ob sie diesen Sticker unter ihren Profilnamen haben.
Du kannst hier mehr technische Details zur „Bitu“-Verifizierung finden.
BrightID
Gehen wir nochmals zurück zur Startseite. Dort finden wir noch den folgenden Text:
Verbinde dich mit den Apps
Nutze deine grundlegenden Zugriffsrechte als fairer Nutzer in den integrierten Anwendungen
Siehe dir alle verfügbaren Apps an
BrightID
Falls Du möchtest, kannst Du auf den Link für die verfügbaren Apps klicken, die dann übersichtlich sortiert auftauchen. Was dabei leicht übersehen werden kann, ist die geringe Nutzung dieser Apps. Das legt nahe, dass die Skepsis gegenüber dem System nicht nur bei uns, sondern auch anderweitig vorhanden zu sein scheint.
Fazit
Diese Methode kann man ohne Bedenken ignorieren. Sie erfüllt praktisch keine Anforderungen in Bezug auf Datensicherheit und Privatsphäre.
Alle Artikel der Reihe „Wie weiß das Internet, dass du wirklich DU bist?“ findest du hier.
Artikelempfehlungen:
- Privatsphäre unerwünscht: Binance stoppt den Handel mit Privacy-Coins in Teilen Europas
Die Gürtel werden von der EU immer enger geschnallt und die Luft für unsere Privatsphäre wird dabei immer knapper.
Binance ist in vier europäischen Ländern den Gesetzesvorgaben gefolgt und stellt ab dem 26. Juni den Handel mit 12 Privacy-Coins ein. Erster Artikel einer Reihe über 12 Privacy Coins.
- Was bisher geschah – Monatsrückblick und Grundlagenartikel
In unserem monatlichen Rückblick findest du alle Artikel themenorientiert zusammengestellt.
Des weiteren dauerhaft aktuelle Informationen und Grundlagenartikel für den Einstieg in die ‚Crypto-Welt‘.
„Bye Bye Staat & Hallo Freiheit“
Abonniere jetzt LegitimCrypto auf Telegram!