Itsehallittava identiteetti eli Self-Sovereign Identity (SSI) on digitaalisen identiteetin malli, jossa käyttäjä voi itse päättää, mitä tietoja hän jakaa, kenelle niitä luovutetaan ja miten niitä käytetään eri digitaalisissa palveluissa. Termi alkoi yleistyä noin vuonna 2015 hajautettuun identiteettiin ja lohkoketjuteknologiaan liittyvän kehityksen myötä. Käytämme tässä artikkelissa myös kirjainlyhennettä SSI sekä puhumme käyttäjälähtöisestä identiteetistä.
SSI perustuu hajauttamisen periaatteisiin ja tarjoaa vaihtoehdon perinteisille identiteettijärjestelmille, joissa käyttäjän tiedot ovat usein suurten palveluntarjoajien hallinnassa. Mallin tavoitteena on antaa käyttäjälle enemmän päätösvaltaa siihen, miten henkilötietoja käytetään, säilytetään ja jaetaan digitaalisissa palveluissa.
Mitä itsehallittava identiteetti tarkoittaa käytännössä?
SSI:tä on helpointa ymmärtää vertaamalla sitä fyysiseen lompakkoon.
SSI-mallin keskiössä on esimerkiksi EU-digilompakko (tai vastaava), joka on käyttäjän itsensä hallussa. Lompakko voi sisältää esimerkiksi digitaalisen henkilökortin, ajokortin, tutkintotodistuksen tai kanta-asiakaskortteja. Käyttäjä omistaa nämä digitaaliset tunnisteet ja voi itse päättää, milloin ja kenelle niitä esitetään – aivan kuten fyysisessä maailmassa näytämme henkilökortin vain tarvittaessa.
Nykyinen internet rakennettiin alun perin koneiden väliseen viestintään, ei ihmisten tunnistamiseen. Siksi internetissä ei aluksi ollut varsinaista identiteettikerrosta. Kun verkossa alettiin asioida yhä enemmän ihmisten välillä, syntyi tarve tunnistaa käyttäjiä luotettavasti. Käyttäjätunnukset ja salasanat olivat ensimmäisiä ratkaisuja tähän ongelmaan.
Digitaalinen identiteetti on kuitenkin kehittynyt merkittävästi internetin alkuajoista.
Onko SSI sama kuin digitaalinen suvereniteetti?
Nykyisin kuulee puhuttavan digitaalisesta suvereniteetista. Itsehallittava identiteetti sekä digitaalinen suvereniteetti voidaankin helposti sekoittaa toisiinsa (varsinkin englanninkieliset termit), koska molemmissa korostuvat hallinta, riippumattomuus ja omien tietojen kontrolli. Ne tarkoittavat kuitenkin eri asioita.
SSI (Self-Sovereign Identity) liittyy ensisijaisesti yksilön mahdollisuuteen hallita omaa digitaalista identiteettiään ja henkilötietojaan. Digitaalinen suvereniteetti puolestaan viittaa laajemmin valtioiden, organisaatioiden tai alueiden kykyyn hallita omaa digitaalista infrastruktuuriaan, dataansa ja teknologiaansa ilman liiallista riippuvuutta ulkopuolisista toimijoista.
SSI voidaan nähdä yhtenä digitaalisen suvereniteetin osa-alueena, mutta käytännössä ne toimivat eri tasoilla: SSI keskittyy käyttäjän oikeuksiin ja digitaaliseen identiteettiin, kun taas digitaalinen suvereniteetti liittyy yhteiskunnalliseen ja strategiseen päätösvaltaan digitaalisessa ympäristössä.
Digitaalisen identiteetin kolme mallia
Digitaalinen identiteetti on kehittynyt vuosien aikana kolmen päämallin kautta: keskitetyn, federoidun ja hajautetun identiteetin mallin. Jokainen niistä käsittelee luottamusta, yksityisyyttä ja käyttäjän hallintaa hieman eri tavalla.
1. Keskitetty identiteettimalli
Keskitetty identiteettimalli on vanhin ja edelleen yleisin tapa hallita digitaalista identiteettiä. Käyttäjä luo erilliset tilit eri palveluihin, ja palveluntarjoajalla on täysi hallinta käyttäjän tietoihin.
Malliin liittyy kuitenkin useita haasteita, kuten:
- Käyttäjien täytyy hallita lukuisia käyttäjätunnuksia ja salasanoja
- Identiteettitiedot ovat palveluntarjoajan hallinnassa
- Käyttäjä voi menettää pääsyn tietoihinsa, jos palvelu sulkee tilin
- keskitetyt tietokannat ovat houkuttelevia kohteita verkkohyökkäyksille ja tietovuodoille
2. Federoitu identiteettimalli
Federoitu identiteettimalli kehitettiin ratkaisemaan osan keskitettyyn identiteettiin liittyvistä rajoituksista. Vuodesta 2005 lähtien käyttöön on otettu kolme federoidun identiteetin protokollasukupolvea: SAML, OAuth ja OpenID Connect. Nämä protokollat ovat edelleen laajasti käytössä.
Federoitu malli toimii tuomalla tunnistuspalveluntarjoajat (Identity Provider, IDP) käyttäjän ja verkkopalvelun väliin tunnistusvälittäjäksi. Sitä käyttämällä käyttäjä voi kirjautua useisiin palveluihin yhdellä tunnuksella esimerkiksi “Kirjaudu Google-tunnuksilla” tai “Kirjaudu Facebook-tunnuksilla” -toimintojen kautta.
Federoitu identiteetti helpottaa käyttökokemusta, mutta siihen liittyy edelleen rajoituksia:
- Yksittäinen tunnistuspalvelu ei kata kaikkia verkkopalveluita
- Käyttäjät ovat riippuvaisia suurista teknologiayhtiöistä
- Tunnistuspalveluntarjoajat voivat seurata käyttäjien kirjautumisia eri palveluihin
- Käyttäjä voi menettää pääsyn kaikkiin yhdistettyihin palveluihin, jos tunnus suljetaan
3. Hajautettu malli
Hajautetun identiteetin mallissa käyttäjä ei ole sidottu yhteen palveluntarjoajaan tai käyttäjätiliin. Sen sijaan identiteetti perustuu suoriin yhteyksiin käyttäjien ja organisaatioiden välillä. Käyttäjä hallitsee itse omia tietojaan ja voi siirtää digitaalisen identiteettinsä eri palveluiden välillä.
Hajautettu identiteetti hyödyntää muun muassa:
- Varmennettavia digitaalisia todistuksia (Verifiable Credentials)
- Hajautettuja tunnisteita (Decentralized Identifiers, DID)
- Hajautettuja tietorekistereitä, kuten lohkoketjuja
- Julkisen avaimen kryptografiaa
Mallissa on kolme keskeistä osapuolta:
- Käyttäjä, joka hallitsee omia tunnistetietojaan digitaalisessa lompakossa
- Digitaalisten tunnisteiden ja todistusten myöntäjä
- varmentaja, joka tarkistaa tunnisteiden aitouden
Kun palvelu pyytää tietoja käyttäjältä, käyttäjä voi itse päättää, mitä tietoja hän jakaa ja kenelle. Tämä tekee hajautetusta identiteetistä merkittävästi käyttäjäkeskeisemmän mallin kuin perinteiset identiteettijärjestelmät.
Miten itsehallittava identiteetti on muuttanut digitaalista identiteettiä laajemmin?
SSI:tä pidettiin pitkään liian kunnianhimoisena tai idealistisena ajatuksena. Tilanne muuttui kuitenkin nopeasti, kun varmennettavat digitaaliset todistukset (Verifiable Credentials) hyväksyttiin W3C-standardiksi vuonna 2020 ja hajautetut tunnisteet (DID) vuonna 2022.
Nykyään sekä yritykset että valtiot kehittävät SSI-periaatteisiin perustuvia ratkaisuja. Esimerkiksi Läntisen Kanadan provinssi British Columbia on ollut yksi varhaisista edelläkävijöistä digitaalisten tunnisteiden käyttöönotossa, ja Bhutanista tuli vuonna 2023 ensimmäinen maa, joka otti käyttöön käyttäjälähtöiseen identiteettiin perustuvan kansallisen identiteettijärjestelmän.
Myös Euroopan unionin digitaalinen identiteettilompakko eli tuttavallisemmin EU-digilompakko tai EUDI Wallet hyödyntää samoja periaatteita. Sen tavoitteena on antaa kansalaisille enemmän hallintaa omiin tietoihinsa ja tarjota turvallinen tapa käyttää digitaalisia palveluita eri EU-maissa.
Vaikka hajautettuun identiteettiin liittyy edelleen haasteita esimerkiksi skaalautuvuuden, standardoinnin ja laajan käyttöönoton osalta, SSI on vaikuttanut merkittävästi siihen, miten digitaalista identiteettiä rakennetaan tulevaisuudessa.
Jos haluat perehtyä aiheeseen syvemmin, suosittelemme tutustumaan Alex Preukschatin ja Drummond Reedin teokseen Self-Sovereign Identity.