The Horcrux Protocol: A Method for Decentralized Biometric-based Self-sovereign Identity

Most user authentication methods and identity proving systems rely on a centralized database. Such information storage presents a single point of compromise from a security perspective. If this system is compromised it poses a direct threat to users' digital identities. This paper proposes a decentralized authentication method, called the Horcrux protocol, in which there is no such single point of compromise. The protocol relies on decentralized identifiers (DIDs) under development by the W3C Verifiable Claims Community Group and the concept of self-sovereign identity. To accomplish this, we propose specification and implementation of a decentralized biometric credential storage option via blockchains using DIDs and DID documents within the IEEE 2410-2017 Biometric Open Protocol Standard (BOPS)

Blockchains and the European Data Protection and Privacy Law

Technology is the application of scientific knowledge. New scientific knowledge produces new technologies and new technologies necessarily expose new vulnerabilities in our laws and legal thinking. Blockchain technology, by allowing us to reduce and even eliminate the role of the middleman in our transactions, triggers a significant paradigm shift in how we deal with value. It is often said in online communities that internet democratizes access to information and blockchain democratizes the access to truth. The aim of this work is to shed light on the unchartered territory of the blockchain with the lenses of the EU data protection and privacy law, and offer an in-depth analysis of the greatest issues the blockchain presents with possible solutions and policy recommendations

Blockchain and personal data : In search of digital identity management solution

Tutkielman aiheena ovat lohkoketjuteknologia, henkilötiedot ja sähköinen identiteetti. Tutkielman tavoitteena on löytää sellainen sähköisen identiteetin hallintaratkaisu, joka hyödyntää lohkoketjuteknologiaa henkilötietojen tallennuksessa ja on henkilötietojen käsittelyyn soveltuvan kansainvälisten sääntelyn mukainen. Tavoitteen saavuttamiseksi, tutkielma antaa vastauksen siihen, 1) voidaanko henkilötietoja tallentaa suoraan lohkoketjuun tai, 2) miten lohkoketjuteknologiaa voitaisiin muuten hyödyntää henkilötietojen säilyttämisessä, 3) mitkä ovat soveltuvat kansainväliset tietosuojalainsäädäntökehykset ja 4) mitä vaikutuksia soveltuvalla sääntelyllä on lohkoketjuteknologian ja henkilötietojen tallentamisen yhteensovittamisessa sähköisen identiteetin hallinnassa. Tutkielman tutkimusmenetelmänä käytetään postposivistista lähestymistapaa, joten de lege lata -tietosuojalainsäädäntöä ei pidetä itsestäänselvyytenä ja sen sijaan lainsäädäntöä on pidettävä muuttavana ja suhteessa teknologiseen kehitykseen. Sisäisen kritiikin avulla pyritään purkamaan jännitettä kehittyvän teknologian ja tietosuojalainsäädännön välillä ja tunnistamaan lainsäädännölliset aukot ja ristiriidat. Tärkeimmät tutkimusaineistot ovat henkilötietoihin sovellettavat kansainväliset tietosuojakehykset sekä kehitteillä olevat kansainväliset identiteettiä koskevat lainsäädäntökehikot, ratkaisut, ohjeet ja teknologiset standardit. Edistyksellisistä hajautusalgoritmeista huolimatta, lohkoketjuun tallennettuja henkilötietoja pidetään pseudoanonyymina tietona, ja lohkoketjuun tallennetut henkilötiedot kuuluvat kansainvälisen siten aina tietosuojalainsäädännön piiriin. Lisäksi, koska muuttumattomuus on erottamaton osa lohkoketjuteknologia, henkilötietoja ei voida tallentaa suoraan lohkoketjuun rikkomatta kansainvälisen tietosuojalainsäädännön periaatteita, joista keskeisimmät ovat oikeus tietojen oikaisemiseen ja poistamiseen ja oikeus tulla unohdetuksi. Yksityinen lohkoketju tarjoaa kuitenkin lohkoketjuun muutettavissa olevan lisäkerroksen, joka mahdollistaa lohkoketjuteknologian hyödyntämisen henkilötietojen tallentamisessa ja sähköisen identiteetin hallinnassa. Kun kyvykkyydet ja esteet lohkoketjuteknologian soveltamiselle on tunnistettu, tutkielma analysoi itsehallittavan identiteetin hallintamallia, joka mahdollistaisi rekisteröidylle henkilölle sekä keinot luoda ja hallita sähköisen identiteetin muodostavia yksilöllisiä tunnisteita, että puitteet henkilötietojen tallentamiseen, aikaansaaden paradigman muutoksen

Secret Smart Contracts in Hierarchical Blockchains

This article presents the results of an implementation of a new platform based on swarm communication and executable choreographies. In our research of executable choreographies, we have come up with a more general model to implement smart contracts and a generic architecture of systems using hierarchical blockchain architecture. The novel concepts of secret smart contract and near-chain are introduced. The near-chain approach presents a new method to extend the hierarchical blockchain architecture and to improve performance, security and privacy characteristics of general blockchain-based systems. As such, we are subsequently defining and explaining why any extension of blockchain architectures should revolve around three essential dimensions: trustlessness, non-repudiation and tamper resistance. The hierarchical blockchain approach provides a novel perspective, as well as establishing off-chain storages (near-chains) as special types of hierarchical blockchains stored in a distributed file system. Furthermore, we are providing solutions to the difficult blockchain concerns regarding scalability, performance and privacy issues

The Digital Avatar on a Blockchain: E-Identity, Anonymity and Human Dignity

Finanzdienstleister sammeln immer größere Mengen an Daten von ihren Kunden, um konform mit speziellen Rechtsakten (eIDAS Verordnung, Zahlungsdiensterichtlinie, Geldwäscherichtlinie) zu handeln und Risiken zu minimieren. Die durch die fortschreitende Digitalisierung zunehmenden technischen Möglichkeiten der Datensammlung werfen Bedenken auf im Hinblick auf die Grundsätze der Verhältnismäßigkeit, Notwendigkeit und Datenminimierung. Über die Vereinbarkeit mit der Datenschutz-Grundverordnung hinaus ergeben sich jedoch weiterreichende Probleme, da bestimmte Identitätsarchitekturen und deren technische Umsetzungen potentiell die Rechte und Freiheiten einzelner beinträchtigen sowie ethische Fragestellungen aufwerfen. Der vorliegende Beitrag analysiert Aspekte digitaler Identität am Beispiel einer Distributed Ledger- beziehungsweise Blockchain-Architektur für die Registrierung neuer Kunden durch Finanzdienstleister, wo mithilfe von Hashing-Algorithmen individuelle Identifikatoren aus spezifischen Datenpunkten der Kunden gewonnen werden, die schließlich für Zwecke der Nachvollziehbarkeit und Überprüfbarkeit unveränderlich in der Datenstruktur gespeichert werden. Nach einer kurzen Einleitung in das Verständnis von Identität im digitalen Raum und der Anwendbarkeit der Datenschutz-Grundverordnung auf eine distribuierten Datenstruktur wird eine kritische Betrachtung der Entwicklung aus rechtlicher und soziologischer Perspektive vorgenommen, dass zunehmend die Mobiltelefone der Kunden von Finanzdienstleistern als Schnittstellen zu Blockchain-Netzwerken dienen. Die Diskussion reicht über die Frage digitaler Identität im Finanzsektor hinaus und zeigt die Notwendigkeit auf, angemessene und verhältnismäßige rechtliche Bestimmungen zu schaffen, die das Individuum effektiv vor Grundrechtsverletzungen vor dem Hintergrund der fortschreitenden Digitalisierung schützen.In order to comply with specific regulations (eIDAS, Payment Services Directive, Anti-Money Laundering Directive) and reduce risk profiles, financial service providers increasingly collect large amounts of information from their customers. The increasing opportunities and technical means for data collection afforded from digitalisation raise legal concerns related to proportionality, necessity, and data minimization. However, the concerns go beyond just GDPR compliance and legislative balance, as distinct architectures and technological deployments potentially impact rights, freedoms, and ethics. This paper will address the issue by examining aspects of digital identity, especially those that have proposed the use of a permissioned distributed ledger or blockchain as architecture for know your customer and onboarding evidential frameworks, using specific hashing schemes that derive unique identifiers from the combination of specific personal data points. Evidence is appended to a data structure, for the purpose of auditing and/or record keeping, potentially ensuring an immutable record of events is maintained. After elaborating on the notion of identity in the digital sphere and the applicability of the GDPR to such a data structure, the discussion will be developed to critically assess the current trend towards using the financial institutions’ customers’ mobile devices as interfaces to the distributed data structure and the legal and sociological implications of this technological development. The potential impact of the analysis goes beyond digital identity within the finance sector, positioning the discussion towards approaches for e-governance and the regulation of digital identity in a way that human dignity is preserved and the risks of creating a ubiquitous “digital avatar” are adequately addressed by the law

A Decentralized Personal Data Store based on Ethereum: Towards GDPR Compliance

Sharing personal data with service providers is a fundamental resource for the times we live in. But data sharing represents an unavoidable issue, due to improper data treatment, lack of users\u27 awareness to whom they are sharing with, wrong or excessive data sharing from end users who ignore they are exposing personal information. The problem becomes even more complicate if we try to consider the devices around us: how to share devices we own, so that we can receive pervasive services, based on our contexts and device functionalities. The European Authority has provided the General Data Protection Regulation (GDPR), in order to implement protection of sensitive data in each EU member, throughout certification mechanisms (according to Art. 42 GDPR). The certification assures compliance to the regulation, which represent a mandatory requirement for any service which may come in contact with sensitive data. Still the certification is an open process and not constrained by strict rule. In this paper we describe our decentralized approach in sharing personal data in the era of smart devices, being those considered sensitive data as well. Having in mind the centrality of users in the ownership of the data, we have proposed a decentralized Personal Data Store prototype, which stands as a unique data sharing endpoint for third party services. Even if blockchain technologies may seem fit to solve the issue of data protection, because of the absence of a central authority, they lay to additional concerns especially relating such technologies with specifications described in the regulation. The current work offers a contribution in the advancements of personal data sharing management systems in a distributed environment by presenting a real prototype and an architectural blueprint, which advances the state of the art in order to meet the GDPR regulation. Address those arisen issues, from a technological perspective, stands as an important challenge, in order to empower end users in owning their personal data for real