work Funktionsbaustein: Digitale Brieftaschefeedback
| Eigenschaft | Wert |
|---|---|
| Kennung | DArch-FBS-DBT |
| Hauptfähigkeit | Infrastruktur und IT-Betrieb |
| Geschäftsfähigkeit | Sicherheitsinfrastruktur |
| Kategorie | Zugang & Interaktion |
| Version | 0.3 (06.05.2026) |
| GovStack-Mapping | Wallet Building Block (v1.1, Dezember 2025) |
| Referenzstandards | eIDAS 2.0, OpenID4VP, OpenID4VCI, SD-JWT VC, ISO 18013-5 |
| Open-Source-Referenz | OpenWallet Foundation, walt.id |
summarize 1 Management Summaryfeedback
Die Digitale Brieftasche (DBT) stellt den zentralen Funktionsbaustein des Deutschland-Stacks für die Verwaltung digitaler Identitätsnachweise dar. Ab 2026 müssen EU-Mitgliedstaaten ihren Bürger:innen eine EUDI Wallet bereitstellen – der Baustein schafft die technische Grundlage für die Integration in die deutsche Verwaltungslandschaft. Er ermöglicht Verwaltungsdiensten die Annahme und Prüfung von Verifiable Credentials, selektive Attributfreigabe sowie grenzüberschreitende Interoperabilität über eIDAS-2.0-Knoten.
description 2 Beschreibungfeedback
Der Baustein modelliert das Vertrauensdreieck aus Aussteller (Issuer), Inhaber:in (Holder) und Verifikator (Verifier) gemäß dem europäischen Identitätswallet-Ökosystem. Er bildet die Brücke zwischen behördlicher Nachweisausstellung und der datenschutzkonformen Vorlage digitaler Credentials gegenüber Fachanwendungen und Portalen. Die BMDS/SPRIND-Sandbox bietet seit Januar 2026 eine nationale Testumgebung für PID- und EAA-Anwendungsfälle.
| Rolle | Beschreibung | Beispiele |
|---|---|---|
| Aussteller (Issuer) | Behörden und autorisierte Stellen, die digitale Nachweise ausstellen | Personalausweis (BDR), Führerschein (KBA), Meldebescheinigung |
| Inhaber:in (Holder) | Bürger:innen, die Nachweise in ihrer Wallet verwalten | EUDI Wallet auf Smartphone |
| Verifikator (Verifier) | Stellen, die vorgezeigte Nachweise prüfen | Fachanwendungen, Online-Portale, Vor-Ort-Prüfung |
menu_book 3 Terminologiefeedback
Die folgende Tabelle definiert die wesentlichen Fachbegriffe, die im Kontext des Wallet-Bausteins verwendet werden. Die Terminologie orientiert sich an den eIDAS-2.0-Definitionen sowie den GovStack- und OpenID-Spezifikationen.
| Begriff | Definition |
|---|---|
| Verifiable Credential (VC) | Kryptographisch gesicherter digitaler Nachweis, der von einem Issuer ausgestellt und von einem Verifier geprüft werden kann |
| Verifiable Presentation (VP) | Zusammenstellung eines oder mehrerer VCs, die ein Holder einem Verifier vorlegt |
| Holder | Entität (Bürger:in), die Credentials in ihrer Wallet speichert und selektiv vorzeigt |
| Issuer | Vertrauenswürdige Stelle, die digitale Nachweise ausstellt und signiert |
| Verifier (Relying Party) | Stelle, die eine Presentation anfordert, empfängt und kryptographisch prüft |
| Selective Disclosure | Mechanismus, bei dem nur ausgewählte Attribute eines Credentials offengelegt werden |
| SD-JWT VC | Credential-Format auf Basis von Selective Disclosure JSON Web Tokens |
| PID | Person Identification Data – Basisdatensatz der digitalen Identität (Name, Geburtsdatum, Nationalität) |
| EAA | Electronic Attestation of Attributes – Elektronischer Nachweis einzelner Attribute (z. B. Führerscheinklasse) |
| EUDI Wallet | European Digital Identity Wallet – die gemäß eIDAS 2.0 vorgeschriebene staatliche digitale Brieftasche |
| Trust Infrastructure | Vertrauensinfrastruktur zur gegenseitigen Verifikation von Issuer, Holder und Verifier |
| Cryptographic Holder Binding | Kryptographische Bindung eines Credentials an den Schlüssel des Holders |
settings 4 Kernfunktionalitätenfeedback
Die Kernfunktionalitäten beschreiben die wesentlichen Leistungsmerkmale, die der Baustein bereitstellt. Sie decken den gesamten Lebenszyklus eines digitalen Nachweises ab – vom Empfang über die Verwaltung bis zur Präsentation.
- Empfang und sichere Speicherung digitaler Nachweise über OpenID4VCI
- Verwaltung mehrerer Credential-Typen (Personalausweis, Führerschein, Qualifikationsnachweise, Gesundheitsdaten)
- Löschung, Erneuerung und Statusprüfung von Credentials
- Validierung des Issuers über Trust Infrastructure vor Speicherung
- Kryptographische Bindung der Credentials an den Holder (Cryptographic Holder Binding)
- Selektive Offenlegung einzelner Attribute (Selective Disclosure)
- Pseudonyme Identifikation – Holder kann Pseudonym statt Realidentität vorzeigen
- QR-Code-, NFC- und Online-basierte Präsentation über OpenID4VP
- Explizite Einwilligung (Consent) des Holders vor jeder Präsentation
- Schutz vor Replay-Angriffen durch transaktionsgebundene Presentations
- Hardware-gesicherte Schlüsselspeicherung (Secure Element / TEE)
- Biometrische Freigabe und Gerätebindung
- Statusabfragen (Revocation Check) ohne Preisgabe von Presentation-Details an den Issuer
- Nachweisprüfung für grenzüberschreitende Nutzungsszenarien
shield 5 Querschnittsanforderungenfeedback
Querschnittsanforderungen definieren nicht-funktionale Eigenschaften, die für alle Funktionalitäten des Bausteins verbindlich gelten. Sie betreffen insbesondere Datenschutz, Sicherheit und Interoperabilität und leiten sich aus eIDAS 2.0, der DSGVO sowie dem IT-Grundschutz ab.
5.1 Trust Infrastructurefeedback
Die Vertrauensinfrastruktur stellt sicher, dass innerhalb des Issuer-Holder-Verifier-Dreiecks alle Parteien verifizierbar sind:
| Prüfung | Beschreibung | Verbindlichkeit |
|---|---|---|
| Issuer → Wallet | Issuer prüft, ob Credential an vertrauenswürdige Wallet geht | RECOMMENDED |
| Wallet → Issuer | Wallet prüft, ob Issuer vertrauenswürdig ist | REQUIRED |
| Wallet → Verifier | Wallet prüft, ob Präsentation an vertrauenswürdigen Verifier geht | RECOMMENDED |
| Verifier → Issuer | Verifier prüft, ob Credential von vertrauenswürdigem Issuer stammt | REQUIRED |
5.2 Datenschutz und Datenminimierungfeedback
| Anforderung | Beschreibung |
|---|---|
| Unobservability | Issuer und Wallet-Provider können Nutzung der Credentials nicht verfolgen |
| Unlinkability | Presentations sind nicht über Transaktionen hinweg korrelierbar |
| Data Minimisation | Selective Disclosure und Pseudonymität als Standard |
| Consent | Explizite Einwilligung des Holders vor jeder Datenfreigabe |
5.3 Sicherheitfeedback
| Anforderung | Beschreibung |
|---|---|
| Secure Storage | Hardware-backed (SE/TEE) Key- und Credential-Speicherung |
| Replay-Schutz | Transaktionsgebundene Presentations verhindern Wiederverwendung |
| Holder Binding | Kryptographische Bindung an den Geräte-Schlüssel des Holders |
| Biometrische Freigabe | Zusätzliche Absicherung durch Gerätebindung und Biometrie |
checklist 6 Funktionale Anforderungenfeedback
Die funktionalen Anforderungen leiten sich aus dem GovStack Wallet Building Block (v1.1) ab und definieren, welche Fähigkeiten der Baustein im Kontext des Deutschland-Stacks bereitstellen muss. Die Tabelle bildet das Mapping zwischen GovStack-Spezifikation und D-Stack-Umsetzung ab.
| GovStack-Fähigkeit | D-Stack-Umsetzung | Status |
|---|---|---|
| Credential Discovery | Wallet hostet Credential-Offering-Endpoint; Issuer exponiert Metadata-Endpoint | Geplant |
| Credential Issuance | OpenID4VCI-Flow mit Holder-Authentifizierung und Wallet-Validierung | Geplant |
| Credential Statuses | Revocation-Check ohne Tracking des Issuers | Geplant |
| Credential Validity | Wallet prüft Gültigkeit bei Zugriff und zeigt Status an | Geplant |
| Presenting a Credential | OpenID4VP mit Selective Disclosure, Consent und Replay-Schutz | Geplant |
| Unobservability | Issuer/Wallet-Provider können Nutzung nicht verfolgen | Geplant |
| Unlinkability | Presentations nicht über Transaktionen korrelierbar | Geplant |
| Data Minimisation | Selective Disclosure + Pseudonymität | Geplant |
| Secure Storage | Hardware-backed (SE/TEE) Key- und Credential-Speicherung | Geplant |
| Trust Infrastructure | Gegenseitige Verifikation im Issuer-Holder-Verifier-Dreieck | Geplant |
database 7 Datenstrukturenfeedback
Die unterstützten Credential-Formate bestimmen, welche Arten digitaler Nachweise der Baustein verarbeiten kann. Die Auswahl orientiert sich an den eIDAS-2.0-Implementierungsakten und dem Architecture Reference Framework (ARF) der EU-Kommission.
| Format | Standard | Anwendungsfälle |
|---|---|---|
| SD-JWT VC | IETF draft-ietf-oauth-selective-disclosure-jwt | Behördennachweise, Attributsbescheinigungen |
| mdoc | ISO/IEC 18013-5 | Führerschein (mDL), Reisedokumente |
| W3C VC | W3C Verifiable Credentials Data Model | Bildungsnachweise, berufliche Zertifikate |
| DTC | ICAO Digital Travel Credentials | Grenzüberschreitende Reisedokumente |
api 8 Service-Schnittstellenfeedback
Die Service-Schnittstellen definieren die Protokolle, über die der Baustein mit Issuern, Verifiern und anderen Komponenten kommuniziert. Sie basieren auf den OpenID-Foundation-Spezifikationen und gewährleisten Interoperabilität innerhalb des europäischen Wallet-Ökosystems.
| Protokoll | Zweck | Spezifikation |
|---|---|---|
| OpenID4VCI | Credential Issuance (Issuer → Wallet) | openid.net/specs/openid-4-verifiable-credential-issuance-1_0 |
| OpenID4VP | Verifiable Presentation (Wallet → Verifier) | openid.net/specs/openid-4-verifiable-presentations-1_0 |
| SIOPv2 | Self-Issued OpenID Provider | openid.net/specs/openid-connect-self-issued-v2-1_0 |
| OIDC Federation | Vertrauensketten-Management | OpenID Connect Federation 1.0 |
account_tree 9 Interne Workflowsfeedback
Der Baustein agiert nicht isoliert, sondern ist in die Sicherheits- und Identitätsinfrastruktur des Deutschland-Stacks eingebettet. Die folgenden Abhängigkeiten zeigen, welche Bausteine in den internen Workflow der Credential-Verarbeitung eingebunden sind.
- Identity-Access-Management (SID): Relying Party, die Wallet-Credentials entgegennimmt und validiert
- Single Sign-On für Behörden: OIDC-Login mit Wallet als Authentifizierungsmittel
- Zero-Trust-Policy-Engine: Externalisierte Autorisierungsentscheidungen auf Basis von Wallet-Attributen
- Machine Identity: Workload-Identitäten für sichere Backend-Kommunikation
- Vertrauensdienste (TSP): Credential Issuer für qualifizierte elektronische Attestierungen
library_books 10 Weiterführende Informationen und Quellenfeedback
Dieser Abschnitt bündelt relevante Referenzimplementierungen, Pilotierungen und normative Quellen. Die aufgelisteten Projekte dienen als Orientierung für die D-Stack-Umsetzung und werden fortlaufend aktualisiert.
10.1 Referenzimplementierungenfeedback
| Referenz | Zweck | Status | Link |
|---|---|---|---|
| Keycloak + EUDIW-Plugin | IAM-Integration für Wallet-Logins und VC-Checks | Pilot (intern) | TBD |
| OpenWallet Foundation | Offene Referenzimplementierungen für Wallet-Komponenten | Aktiv | openwallet.foundation |
| walt.id Stack | Wallet, Issuer und Verifier Referenzen | Aktiv | walt.id |
| EUDI Wallet Reference | EU-Referenzimplementierung der EUDI Wallet | Aktiv | eu-digital-identity-wallet |
| SPRIND EUDI-Wallet Sandbox | Nationale Testumgebung (BMDS/SPRIND) – Erprobung von PID und EAA | Aktiv | Pressemitteilung, Ecosystem Knowledge Centre |
| MOSIP Inji Wallet | Open-Source-Wallet für Entwicklungsländer | Aktiv | mosip.io |
10.2 Normative Quellenfeedback
- eIDAS 2.0 – Verordnung (EU) 2024/1183
- Architecture Reference Framework (ARF) v1.4
- GovStack Wallet Building Block v1.1
- OpenID4VCI Specification
- OpenID4VP Specification
10.3 Nächste Schrittefeedback
- Zielbild für Wallet-basierte Antragsstrecken definieren
- Interoperabilität mit eIDAS-2.0-Wallet-Profilen bewerten
- Integration des OpenID4VP-Flows in D-Stack IAM (Keycloak-Plugin)
- Pilotierung mit EUDI Wallet Reference Implementation
- Mapping auf GovStack Wallet BB Conformance Tests
- Evaluierung Cloud-basierter vs. mobiler Wallet-Varianten
format_list_numbered 11 Verzeichnissefeedback
Die folgende Tabelle listet die im Dokument verwendeten Abkürzungen und Akronyme auf. Sie dient als Nachschlagewerk für Leser:innen ohne tiefgreifende Vorkenntnisse im Bereich Self-Sovereign Identity.
| Abkürzung | Bedeutung |
|---|---|
| ARF | Architecture Reference Framework (EU-Kommission) |
| BDR | Bundesdruckerei |
| DBT | Digitale Brieftasche (Baustein-Kennung) |
| DTC | Digital Travel Credentials |
| EAA | Electronic Attestation of Attributes |
| eIDAS | Electronic Identification, Authentication and Trust Services |
| EUDI | European Digital Identity |
| KBA | Kraftfahrt-Bundesamt |
| mDL | Mobile Driving Licence |
| OIDC | OpenID Connect |
| OpenID4VCI | OpenID for Verifiable Credential Issuance |
| OpenID4VP | OpenID for Verifiable Presentations |
| PID | Person Identification Data |
| SD-JWT | Selective Disclosure JSON Web Token |
| SE | Secure Element |
| SIOPv2 | Self-Issued OpenID Provider v2 |
| SPIFFE | Secure Production Identity Framework for Everyone |
| TEE | Trusted Execution Environment |
| TSP | Trust Service Provider |
| VC | Verifiable Credential |
| VP | Verifiable Presentation |