Udgivet i Fremtidens IT

Hvordan virker decentraliserede identifikatorer (DID) i praksis?

Af Itforum.dk

Forestil dig, at du kan bevise din identitet - digitalt - uden at efterlade et spor af genkendelige brugernavne, passwords eller centrale login-databaser. Ingen ”Glemt adgangskode?”-links, ingen tredjeparts-trackere, intet kundefilter mellem dig og din digitale legitimation. Det lyder futuristisk, men teknologien er her allerede, og den hedder decentraliserede identifikatorer (DID).

I takt med at datalæk, identitetstyveri og uigennemsigtige login-flows fylder mere og mere i nyhedsstrømmen, vokser ønsket om selv-suveræn identitet - en model hvor brugeren selv ejer og kontrollerer sine nøgler og beviser, i stedet for at overlade dem til Big Tech-siloer eller myndighedsmonolitter. DIDs udgør rygraden i denne model og baner vejen for verificerbare påstande (Verifiable Credentials), som kan udstedes af alt fra universiteter og banker til statslige myndigheder.

I denne artikel på IT Forum Danmark tager vi dig med fra buzzword til praksis. Vi kigger ind bag kulisserne på:

  • Hvad en DID egentlig er - og hvorfor den er vigtigere end endnu et nyt login-system.
  • Hvordan nøgler, wallets, blockchains og DNS spiller sammen i den arkitektur, der gør DID’er mulige.
  • Det konkrete livscyklus-flow fra oprettelse til revocation, komplet med zero-knowledge-magien, som beskytter dit privatliv.
  • Hvilke sikkerheds- og governance-udfordringer Danmark og EU står overfor, når eIDAS 2.0 og EUDIW ruller ind over landets digitale infrastruktur.

Er du klar til at finde ud af, om DID er den manglende brik, der kan erstatte passwords, MitID-nøgler og evige cookie-pop-ups? Så læs videre - fremtidens identitet starter her.

Hvad er decentraliserede identifikatorer (DID) – og hvorfor er de vigtige?

Decentraliserede identifikatorer (Decentralized Identifiers, DID) er i al sin enkelhed globale, unikke IDs, som indehaveren selv kontrollerer via kryptografiske nøgler i sin egen wallet. I modsætning til traditionelle, centraliserede identitetsmodeller - hvor en IT-leverandør, en bank eller staten gemmer login-oplysninger og udsteder brugernavne/kodeord eller SAML/OIDC-tokens - er der ingen central myndighed, der kan lukke for din DID eller spore alle dine handlinger. Selve identifikatoren ligner et URL-agtigt strengeformat (fx did:web:itforum.dk:bruger123), og et tilhørende DID-dokument beskriver de offentlige nøgler og eventuelle service-endpoints, som verden kan bruge til at verificere, at det virkelig er dig, der signerer. Resultatet er et fundament for selv-suveræn identitet (Self-Sovereign Identity, SSI), hvor individet - ikke en central server - er roden til tillid.

Når DID’er kombineres med Verifiable Credentials (VC) kan enhver organisation udstede digitale “beviser” (fx et kørekort, et kursusbevis eller et medlemskab) direkte til din wallet. Du kan derefter dele udvalgte oplysninger - ofte med zero-knowledge eller selektiv afsløring - med en modtager, som via dit DID slår dine offentlige nøgler op og kontrollerer signaturen på credentialet. Det giver gevinster for alle parter:

  • Borgere: fuld kontrol over egne data, færre passwords, bedre privatliv og mulighed for at bevise noget uden at afsløre alt.
  • Virksomheder: simplere onboarding af kunder/partnere, mindre datalagring (og dermed GDPR-risiko) samt stærkere beskyttelse mod identitetstyveri og phishing.
  • Myndigheder: kan udstede officielle attester, som borgerne selv opbevarer, og automatisere verificering på tværs af lande gennem fælles, åbne standarder.

Typiske anvendelser spænder bredt:

  • Digitalt kørekort eller studiekort direkte i mobilen - uden central database for hver kontrol.
  • Supply-chain-certifikater (oprindelse, bæredygtighed) der følger varen og kan valideres af enhver interessent.
  • Single sign-on i B2B-samarbejder, hvor parterne ikke ønsker en fælles “boss-IDP”.
  • KYC/AML, hvor banken kun får et kryptografisk bevis på, at “kunden er verificeret”, men ikke hele pas-kopien.
  • IoT-enheder med egen DID, så sensorer sikkert kan godkende hinanden uden hårdkodede, delte secrets.
Kort sagt giver DID-modellen et mere robust, brugervenligt og privatlivsfokuseret fundament for digital identitet - et nødvendigt skridt mod den næste generation af e-services i Danmark, EU og globalt.

Arkitekturen bag DID: dokumenter, metoder, wallets og registre

Hjertet i en decentraliseret identifikator er selve DID-strengen, eksempelvis did:web:itforum.dk eller did:ion:EiA.... Strengen består af præfikset did:, en metode-identifikator og et unikt metodespecifikt id; den fungerer som et globalt, decentraliseret “primærnøgle-link” frem for et brugernavn i et centralt register. Når en applikation skal slå en DID op, hentes det tilhørende DID-dokument, et JSON- eller JSON-LD-objekt der normalt indeholder (1) én eller flere offentlige nøgler, som modparten kan verificere signaturer imod, (2) eventuelle service-endpoints - fx en HTTP-adresse, en DIDComm-inbox eller en messaging-topic - samt (3) metadata om versionering, tilbagekaldelse og nøgle-rotation. Ved at signere transaktioner og Verifiable Credentials med nøglerne i dokumentet kan ejeren af Diden kryptografisk bevise kontrol, uden at skulle dele hemmelige credentials med en central identity-provider.

Hvordan man opretter, publicerer og resolver en DID afhænger af DID-metoden. did:key kræver ingen registry og genererer Diden direkte ud fra en offentlig nøgle; did:web placerer dokumentet på et velkendt HTTP-endpoint; did:ethr forankrer en hash på Ethereum; og did:ion bruger et sidetree-lag oven på Bitcoin til at opnå høj skalerbarhed. Den fællesnævner er en DID-resolver, et stykke middleware som, givet en DID, returnerer det aktuelle DID-dokument uanset hvilken ledger, DNS-zone eller filsystem der ligger bag. I brugerenden håndteres nøglerne typisk af en digital wallet eller agent - mobil, browserbaseret eller cloud-hostet - der kan signere og kryptere beskeder (fx via DIDComm v2), rotere nøgler, lave backup/recovery og præsentere credentials selektivt. Interoperabilitet sikres gennem W3C-specifikationerne, JSON-LD-konventioner og emerging profiler som OIDC4VP, så både offentlige myndigheder, virksomheder og open-source-projekter kan tale sammen uden at låse sig til én blockchain eller én wallet-leverandør.

Sådan virker DID i praksis: livscyklus og flow

Når en borger eller virksomhed vil tage en decentraliseret identitet i brug, starter processen i en digital wallet (mobil-app, browser-plugin eller server-agent). Wallet’en genererer et nøglepar og skaber derefter selve DID-strengen, fx did:key:z6Mk... (helt lokal) eller did:web:eksempel.dk (forankret på eget domæne). Afhængigt af den valgte DID-metode kan næste skridt være at forankre nøglen offentligt - f.eks. som en JSON-fil på DNS/HTTPS, et indlæg på en sidekæde (did:ion) eller en transaktion på Ethereum (did:ethr). Forankringen gør det muligt for andre at resolve DID’en og hente det tilhørende DID-dokument, der indeholder brugerens offentlige nøgler og evt. service-endpoints til fremtidig kommunikation.

Med DID’en på plads kan brugeren modtage Verifiable Credentials (VC). En udsteder (universitet, bank, offentlig myndighed) verificerer identiteten via deres eksisterende KYC/eID-processer og signer derefter en VC - fx et kørekort, et bevis på eksamensresultater eller en virksomheds ISO-certificering. Credential’et afleveres krypteret til wallet’en, der nu kan præsentere det, når en tredjepart anmoder. Præsentationen foregår via protokoller som OIDC4VP, CHAPI eller DIDComm. Verifieren modtager en verificerbar præsentation (VP) med de relevante påstande og tjekker automatisk: 1) at signaturen på credential’et matcher den offentlige nøgle i udstederens DID-dokument, 2) at holderens præsentations-signatur stemmer med holderens DID, og 3) at credential’et ikke er tilbagetrukket via et tilbagekaldelsesregister (status-list, VC-status-list, on-chain flag eller lignende).

Efter udstedelse skal identiteten holdes sikker og vedligeholdt. Wallet’en understøtter nøgle-rotation (tilføjelse af nye offentlige nøgler i DID-dokumentet) og gendan-flows, hvor brugeren kan re-generere sin DID ved tab af enhed. Credentials kan revokeres eller udløbe, og selective disclosure-mekanismer/zero-knowledge-proofs (f.eks. BBS+ eller AnonCreds) gør det muligt kun at afsløre nødvendige felter - “over 18” i stedet for fødselsdato. Endelig sikrer interoperable formater som W3C DID/VC samt OpenID-profilernes tokenflows, at brugeren kan portere sin identitet til en ny wallet uden at miste credentials, og at både offentlige og private verifiere kan udnytte samme decentraliserede trust-ramme - helt uden centrale databaser.

Sikkerhed, privatliv og udrulning i DK/EU

Trusselsbilledet i en decentral identitetsverden omfatter både klassiske angreb (phishing, nøgletyveri, MITM) og nye vektorer som metadata-korrelation. Fordi hver DID kan være unik per relation, reduceres risikoen for tracking, men kun hvis anti-korrelation og dataminimering håndhæves: udstedere bør undgå overskydende attributter, og verificerere bør kun modtage det absolut nødvendige. Her kommer zero-knowledge-beviser (zk-proofs) og teknikker som BBS+ og AnonCreds i spil; de gør det muligt at bevise “over 18” eller “dansk cvr-registreret virksomhed” uden at afsløre fødselsdato eller fuldt CVR-udtræk. Samtidig skal nøglemateriale beskyttes mod kompromittering gennem hardware-backede key-stores (TEE, Secure Enclave) og DID Key Rotation, så en stjålet privatnøgle hurtigt kan afkobles uden at ødelægge credential-historikken.

Wallet-strategier og governance spænder fra custodial løsninger (bank- eller mobiloperatørhostede wallets) til non-custodial apps, hvor brugeren selv styrer nøglerne. Førstnævnte giver bekvem backup & recovery og KYC-understøttelse, men rejser spørgsmål om single-point-of-failure og GDPR-rollefordeling; sidstnævnte kræver robuste social recovery-mekanismer eller shamir-secret-tærskler for at undgå “mistet telefon = mistet identitet”. På standard-siden udgør W3C DID/VC fundamentet, mens OIDC4VCI (udstedelse) og OIDC4VP (præsentation) giver web-venlige flows. Hyperledger Aries leverer interoperable DIDComm-agenter, og AnonCreds 2.0 muliggør avanceret selektiv afsløring. I EU drives governance af EBSI (European Blockchain Services Infrastructure) og kommende eIDAS 2.0/EUDI-wallet, som specificerer fælles Policy Compliance, revocation-registre og Level of Assurance-profiler.

Udrulning i Danmark og EU forventes at ske lagvis:

  • MitID/NemLog-in 3 kan fungere som høj-tillids kvalificeret udsteder, der bootstrapper brugeren med en root credential, som derefter kan genbruges i private DID-flows.
  • Sundhed: patienten modtager en verificerbar medicinjournal, der deles selektivt med speciallæger; DID’er koblet til nationale sundhedsregistre kan signere oplysninger, mens nul-viden-beviser skjuler irrelevante diagnoser.
  • Uddannelse: universiteter udsteder digitale eksamensbeviser (Diploma VCs) på EBSI-ledgers; arbejdsgivere verificerer via OIDC4VP uden at kontakte universitetet direkte.
  • Supply chain: producent-DID’er indlejres i QR-koder; hver led tilføjer en VC om oprindelse, temperatur eller CO₂-aftryk, hvilket muliggør sporbarhed under GDPR, da der kun afsløres nødvendige B2B-attributter.
Med eIDAS-krav om qualified electronic attestation of attributes (QEAA) og fælles conformity assessment vil danske løsninger, der allerede er i tråd med W3C DID/VC og OpenID-profilerne, få et forspring, når den europæiske EUDI-wallet går live i 2026.