GXFS und die XFSC Werkzeugkiste

Identität & Vertrauen auf der Grundlage des Konzepts der selbstbestimmten Identität (Self-Sovereign Identity, SSI) bietet die Möglichkeit, dezentrale Identitäten und digitale Vertrauensstellungen für Identitäten und Vermögenswerte zu verwalten. Das dezentrale Identitätsmanagement auf Basis von W3C-basierten verifizierbaren Beglaubigungen und verteilten Identifikatoren (DID) ermöglicht es Gaia-X-Teilnehmern, die Kontrolle über ihre digitalen Identitäten zu behalten. Die folgenden Dienste sind als Teil der Föderationsdienste Identität & Vertrauen spezifiziert:

Authentifizierung/Autorisierung

Die Servicefunktionen ermöglichen es den Gaia-X-Teilnehmern, Nutzer und Systeme auf vertrauenswürdige und dezentralisierte, souveräne Weise zu authentifizieren.

Beglaubigungsmanager für Organisationen

Der Beglaubigungsmanager für Organisationen stellt das Vertrauen zwischen den verschiedenen Teilnehmern innerhalb des Gaia-X-Ökosystems her, indem er den Teilnehmern Anmeldeinformationen bietet und die Anmeldeinformationen der Organisation verwaltet.

Beglaubigungsmanager für Personen

Der Beglaubigungsmanager für Personen fungiert als Repräsentant des Nutzers, der die erworbenen, distribuierten Identitätsnachweise und Identitätsattribute sicher verwahrt und die technischen Mittel bereitstellt, um die Attribute für die Authentifizierung und die Inanspruchnahme von Diensten selektiv offenzulegen. Der Beglaubigungsmanager für Personen als Gaia-X-Komponente wird von einer natürlichen Person verwendet – typischerweise in Form einer persönlichen, virtuellen Geldbörse für einen Nutzer. Der Dienst ermöglicht es den Nutzern, mit dem SSI-basierten Ökosystem mithilfe von verifizierbaren Beglaubigungen und DIDs auf eine die Privatsphäre wahrende Weise zu interagieren. Der Beglaubigungsmanager für Personen wird sowohl als smartphonebasierte Anwendung sowie für browserbasierte Anwendungen/Add-ons für stationäre PCs und Notebooks implementierbar sein.

Vertrauensdienste

Die Vertrauensdienste sind die technische Implementierung zur Durchsetzung von Richtlinien für die Nutzung der dezentralen und souveränen Komponenten von Gaia-X. Die Vertrauensdienste bedienen sich einer kryptografischen Validierung der bereitgestellten Anmeldeinformationen. Der Umfang der Vertrauensdienste umfasst die technologischen Funktionalitäten, um ein einheitliches Maß an Vertrauen zwischen allen Teilnehmern von Gaia-X zu gewährleisten. Weitere Funktionen sind die Verifizierung durch Anwendung von Standards wie LD Proof Chains/Sets, die Etablierung von regelbasiertem Vertrauen, die Bereitstellung der erforderlichen Vertrauensanker und die Sicherstellung von Vertrauensketten zwischen mehreren Teilnehmern.

Der föderierte Katalog ist ein Verzeichnis von Gaia-X-Selbstbeschreibungen, durch das sich Anbieter und ihre Dienstangebote leicht finden und auswählen lassen. Die Selbstbeschreibungen sind die Informationen, die die Teilnehmer über sich selbst und ihre Dienste in Form von Merkmalen (Properties) und Selbsterklärungen (Claims) angeben.

Katalog

Ein Katalog speichert Selbstbeschreibungen sowohl einzeln als auch aggregiert in einer Graphen-Datenstruktur. Der sogenannte Selbstbeschreibungsspeicher Self enthält die veröffentlichten Rohdaten der Selbstbeschreibungen im Format JSON-LD (JavaScript Object Notation for Linked Data), zusammen mit zusätzlichen Lebenszyklus-Metadaten.

Das Austauschformat für die Selbstbeschreibungen ist JSON-LD. JSON-LD verwendet die JSON-Kodierung zur Darstellung von Subjekt-Prädikat-Objekt-Tripeln gemäß dem W3C Resource Description Framework (RDF). Der Selbstbeschreibungsgraph importiert die Selbstbeschreibungen aus dem Selbstbeschreibungsspeicher in eine aggregierte Datenstruktur. Diese bildet die Grundlage für komplexere Abfragemechanismen, die den Bezug zwischen den Selbstbeschreibungen berücksichtigt.

Da Selbstbeschreibungen durch kryptografische Signaturen geschützt sind, sind sie unveränderlich, sie können also nach ihrer Veröffentlichung nicht mehr geändert werden. Dies bedeutet, dass der Teilnehmer, der die Selbstbeschreibung angelegt hat, diese nach jeder Änderung erneut signieren und als neue Version freigeben muss.

Selbstbeschreibungen

Gaia-X-Selbstbeschreibungen führen Charakteristika von Ressourcen, Dienstangeboten und Teilnehmern auf, die mit ihren jeweiligen Identifikatoren verknüpft sind. Die Anbieter sind für die Erstellung der Selbstbeschreibungen zu ihren Ressourcen verantwortlich. Zusätzlich zu den Selbsterklärungen der Teilnehmer über sich selbst oder über die von ihnen angebotenen Dienste kann eine Selbstbeschreibung verifizierbare Beglaubigungen enthalten, die von vertrauenswürdigen Parteien ausgestellt und unterzeichnet wurden. Solche Beglaubigungen enthalten Angaben über den Anbieter oder die Ressourcen, die der Aussteller der Selbstbeschreibung geltend gemacht hat.

Selbstbeschreibungen in Kombination mit vertrauenswürdigen Verifizierungsmechanismen stärken die Teilnehmer in ihren Entscheidungsprozessen. Insbesondere können Selbstbeschreibungen verwendet werden für:

• Das Auffinden und Zusammenstellen von Dienstangeboten in einem Katalog
• Die Tool-gestützte Evaluierung, Auswahl, Integration und Orchestrierung von Dienstinstanzen und Ressourcen
• Die Regelüberwachung, kontinuierliche Validierung sowie die Überwachung der Vertrauenswürdigkeit zusammen mit Nutzungsrichtlinien
• Das Aushandeln von Vertragsbedingungen für die Ressourcen eines Dienstangebots und der jeweiligen Teilnehmer

Gaia-X-Selbstbeschreibungen zeichnen sich wie folgt aus:

• Maschinenlesbar und maschineninterpretierbar
• Technologieunabhängig
• Einhaltung eines allgemeinen Schemas mit aussagekräftiger Semantik und Validierungsregeln
• Interoperabel durch Einhaltung von Standards in Bezug auf Format, Struktur und enthaltene Ausdrücke (Semantik)
• Flexibel, erweiterbar und zukunftssicher, da neue Merkmale leicht hinzugefügt werden können
• Navigierbar und von überall referenzierbar in einer neuartigen, dezentralisierten Weise
• Einhergehend mit Nachweisen (beispielsweise Zertifikate und Signaturen), die den Selbstbeschreibungen Vertrauenswürdigkeit verleihen, indem sie kryptographisch sichere, überprüfbare Informationen liefern

Datensouveränitätsdienste bieten den Teilnehmern die Möglichkeit, über den Austausch und die gemeinsame Nutzung ihrer Daten selbst zu bestimmen.

Die informationelle Selbstbestimmung für alle Teilnehmer umfasst zwei Aspekte innerhalb des Datenökosystems: (1) Transparenz und (2) Kontrolle der Datennutzung. Die Ermöglichung von Datensouveränität beim Austausch, bei der gemeinsamen Nutzung und der Verwendung von Daten setzt grundlegenden Funktionen und Fähigkeiten voraus, die von Föderationsdiensten in Verbindung mit anderen Mechanismen, Konzepten und Standards entwickelt und später von Föderatoren bereitgestellt werden. Die Datensouveränitätsdienste bauen auf bestehenden Konzepten der Nutzungskontrolle auf, die über die traditionelle Zugangskontrolle hinausgehen. Die traditionelle Zugangskontrolle konzentriert sich typischerweise auf die Dimension des Datenzugriffs, lässt aber den Aspekt der Datenverarbeitung außer Acht. Die Gaia-X-Datensouveränitätsdienste versuchen, dieses Konzept zu erweitern und bestehende Lücken zu schließen. So befasst sich die Nutzungskontrolle mit Anforderungen, die sich auf zukünftige Datennutzungsmuster beziehen (also auf Verpflichtungen (Obligations)), und nicht auf den Datenzugang (Bestimmungen (Provisions)).

Datenvertragsdienst

Die Datenvertragsdienst stellt den formellen Handschlag zur Einleitung der Datentransaktion zwischen dem Datenprovider und dem Datenkonsumenten dar. Sie validiert den gesamten Vertrag. Wenn der Inhalt gültig ist und beide Teilnehmer den Vertrag erfolgreich bestätigt haben, fügt der Datenvertragsdienst seine Unterschrift hinzu und sendet den abgeschlossenen Datenvertrag an alle beteiligten Parteien. Somit unterstützt der Dienst Vertragsverhandlungen.

Datenaustauschprotokollierung

Die Datenaustauschprotokollierung liefert den Nachweis, dass Daten übermittelt und empfangen wurden, dass Regeln und Verpflichtungen (Datennutzungsrichtlinien) angewandt wurden und ob diese eingehalten oder verletzt wurden. Dies unterstützt die Klärung operativer Fragen sowie die Klärung von Transaktionen mit betrügerischem Hintergrund. Die am Datenaustausch beteiligten Parteien sind der Datenanbieter und der Datennutzer; beide erhalten Benachrichtigungen über die Transaktion. In einigen Anwendungsfällen kann es auch erforderlich sein, dass ein berechtigter Dritter, der im Datenvertrag vereinbart wurde, Zugang zu den Benachrichtigungen erhält.

Gaia-X definiert ein Rahmenwerk zur Regelkonformität, das sich in Form eines Verhaltenskodex, in Form von Zertifizierungen/Bestätigungen durch Dritte oder durch die Unterzeichnung von allgemeinen Geschäftsbedingungen ausdrückt. Das Rahmenwerk zur Regelkonformität besteht aus Regeln (zum Beispiel für Verschlüsselung, Datenschutzstandards und Interoperabilität), an die sich die Teilnehmer halten müssen. Diese Regeln sind eine Kombination aus den Regeln, die im Dokument „Policy Rules“ von Gaia-X festgelegt sind, und anderen Regeln, die von der Arbeitsgruppe „Labelling & Compliance“ innerhalb der Gaia-X Association definiert wurden (diese Arbeitsgruppe „Labelling & Compliance“ sammelt Beiträge der drei wichtigsten Ausschüsse der Association: dem Data Space Business Committee (DSBC), dem Technical Committee (TC) und dem Policy Rules Committee (PRC)). Das Hauptziel des Arbeitspakets Regelkonformität ist, den Gaia-X-Nutzern die Überprüfung der Konformität mit den angegebenen Charakteristika für jedes der spezifischen Dienstangebote zu ermöglichen. Die Föderationsdienste im Bereich der Regelkonformität bestehen aus drei Komponenten:

Aufnahme- und Akkreditierungsverfahren

Das Aufnahme- und Akkreditierungsverfahren stellt sicher, dass alle Teilnehmer, Ressourcen und Dienstangebote einen Validierungsprozess durchlaufen, bevor sie in einen Katalog aufgenommen werden. Ein Ziel des Aufnahme- und Akkreditierungsverfahrens besteht darin, den Validierungsprozess zu dokumentieren und einen Prüfpfad zu erstellen, um die Einhaltung der allgemein anerkannten Praktiken bei Konformitätsbewertungen zu gewährleisten.

• Registrierung eines Gaia-X-Teilnehmers: Nach erfolgreicher Validierung wird eine verifizierbare Beglaubigung für die Entität ausgestellt, welche den Status als registrierter Teilnehmer im Gaia-X-Projekt untermauert. Anschließend können die Prinzipale dieser registrierten Anbieter ihre Dienstangebote für Gaia-X registrieren.
• Eine Selbstbeschreibung und zusätzliche Nachweise für die Einhaltung der Gaia-X-Richtlinien (beispielsweise durch einen Code of Conduct, durch Zertifizierungen/Bestätigungen vonseiten Dritter, durch das Akzeptieren der allgemeinen Geschäftsbedingungen) müssen erbracht werden.
• Dokumentation des Validierungsprozesses und Erstellung eines Prüfpfads, um die Einhaltung der allgemein anerkannten Praktiken bei der Konformitätsbewertung zu gewährleisten.

Zusätzlich zum allgemeinen Aufnahmeverfahren müssen folgende spezielle Funktionen vorhanden sein:

• Monitoring der relevanten Grundlagen zur Regelkonformität
• Monitoring von Updates der Dienstangebote, die Revisionen/Rezertifizierungen triggern könnten
• Aussetzung von Dienstangeboten
• Widerruf von Dienstangeboten

Kontinuierliche automatisierte Überwachung

Die kontinuierliche automatisierte Überwachung ermöglicht ein Monitoring der Regelkonformität auf der Grundlage der oben erwähnten Selbstbeschreibungen im Rahmen des föderierten Katalogs. Die kontinuierliche automatisierte Überwachung wird durch automatische Interaktion mit dem zu prüfenden Dienst erreicht, wobei standardisierte Protokolle und Schnittstellen zum Abrufen technischer Nachweise verwendet werden.

Notarisierungsdienst

Der Notarisierungsdienst dient dazu, Beglaubigungsanfragen zu verwalten und digitale, rechtsverbindliche und vertrauenswürdige Beglaubigungen auszustellen. Um solche Beglaubigungen auszustellen (inklusive eIDAS-Signaturen und Public Keys im verifizierbaren Beglaubigungsformat), müssen die Teilnehmer relevante rechtskräftige Akkreditierungsdokumente vorlegen, die im Gaia-X Policy & Rules Compliance Framework definiert sind.

Das Gaia-X Portal dient als Beispiel für eine Integrationsschicht, die die Föderationsdienste vorstellt und einen benutzerfreundlichen Zugang zu diesen Diensten bietet. Es unterstützt die Aufnahme und Akkreditierung von Teilnehmern, zeigt wie Dienste gefunden werden können und die Orchestrierung und Bereitstellung von Diensten funktionieren kann.

Orchestrierung

Mit dem Orchestrierungsdienst kann der Gaia-X-Konsument über das Portal aus den Suchergebnissen des Katalogs heraus Dienste instanziieren. Die Orchestrierung bietet eine Life Cycle Management Engine (LCM Engine) und eine standardisierte API für LCM-Services. Während erstere ein zentraler Gaia-X Service ist, werden letztere von Dienstanbietern verwaltet. Sie dienen als Schnittstelle zwischen der LCM Engine und der Infrastruktur der verschiedenen Service Provider.

API Management

Um die verschiedenen Gaia-X-Dienste mit ihren zugehörigen APIs zu orchestrieren, werden wir ein API-Framework einführen, um eine einheitliche Benutzer- und Entwicklererfahrung für den API-Zugang und den Lebenszyklus zu schaffen. Ein API-Gateway wird die Sicherheit (z. B. DDoS-Prävention) für alle integrierten Dienste gewährleisten, einschließlich potenziell angeschlossener externer Dienste wie Authentifizierungsanbieter. Das API-Portal bietet eine zentrale Anlaufstelle für Informationen über verfügbare API-Dienste und die Versionsverwaltung. Ein Analytics-Portal wird kurz- und langfristige Statistiken über Nutzung und Qualität liefern.

Workflow Engine

Die Workflow-Engine dient hauptsächlich dem Onboarding- und Akkreditierungsprozess, um die Bereitstellung von Diensten zu genehmigen und zu verfolgen. Außerdem verwaltet sie die Benutzerinteraktionsschleife für Benutzerbenachrichtigungen. Die Verwaltung dient dem Föderator vor allem dazu, den Überblick über Beitrittsanfragen und -bestätigungen von Teilnehmern zu behalten, die Interaktion mit den Teilnehmern zu verwalten, Teilnehmern Anmeldedaten zuzuweisen oder sonstige Zugänge zu genehmigen und zusätzlich die Dienstqualität der Selbstbeschreibungen zu verfolgen, die über die oben beschriebene Katalogfunktion öffentlich zugänglich gemacht werden.

Dokumentation von Regelkonformität

Um zu zeigen, dass ein Föderationsdienst alle definierten Anforderungen erfüllt, ist die Bereitstellung geeigneter Nachweise erforderlich. Diese Nachweise können in verschiedenen Formen erbracht werden (z.B. durch Spezifikationen, Konzepte, Prüfberichte oder Zertifikate). Der Dienst zur Dokumentation von Regelkonformität legt fest, wie die Erfüllung von Security und Privacy by Design von jedem Föderationsdienst dokumentiert werden muss.