Ein Protokoll für dezentrale Vertrauensnetzwerke basierend auf echten Begegnungen.
Status: Draft. Diese Spezifikation ist oeffentlich einsehbar, aber noch nicht stabil und nicht produktionsreif. Breaking Changes sind bis v1.0.0 ausdruecklich moeglich.
Zwei Menschen treffen sich, verifizieren ihre Identität, und stellen sich gegenseitig signierte Aussagen aus — kryptographisch verifizierbar, offline-fähig, ohne zentrale Instanz.
Die Spezifikation ist die neutrale Protokollquelle. Referenzimplementierungen informieren sie, ersetzen sie aber nicht.
| Ebene | Zweck |
|---|---|
| Diese README | Gesamtueberblick: Was ist WoT, welche Dokumentfamilien gibt es, wo beginnt man? |
| Abschnitts-READMEs | Lesefuehrung innerhalb einer Dokumentfamilie, z.B. WoT Identity. |
| Nummerierte Dokumente | Normative Detail-Spezifikation mit Regeln, Formaten und Verifikationsablaeufen. |
Schemas und Test-Vektoren machen Formate und Krypto-Werte pruefbar. CONFORMANCE definiert abgeleitete Implementierungs-Claims wie wot-identity@0.1. Forschung ist nicht normativ.
Wenn eine Architektur- oder Implementierungsarbeit eine unklare Regel findet, wird die normative Spec-Datei korrigiert. Uebersichten ueberstimmen die Spec nicht.
%%{init: {"theme": "base", "themeVariables": {"background": "transparent", "primaryColor": "#f8fafc", "primaryTextColor": "#111827", "primaryBorderColor": "#64748b", "lineColor": "#94a3b8", "tertiaryColor": "#f8fafc", "fontFamily": "system-ui, sans-serif"}}}%%
flowchart TD
Identity[WoT Identity]
Trust[WoT Trust]
Sync[WoT Sync]
RLS[RLS Extension]
HMC[HMC Extension]
Identity --> Trust
Identity --> Sync
Trust --> RLS
Trust --> HMC
Sync --> HMC
| Dokumentfamilie | Kurzrolle | Einstieg |
|---|---|---|
| WoT Identity | Keys, DID, JWS/JCS, DID-Resolution. | 01-wot-identity/README.md |
| WoT Trust | Attestations und reale Verifikation. | 02-wot-trust/README.md |
| WoT Sync | Verschluesselter Local-First-Sync, Broker, Inbox, Spaces, Personal Doc. | 03-wot-sync/README.md |
| RLS Extension | App-spezifische Badge-Erweiterung. | 04-rls-extensions/ |
| HMC Extension | Trust-Scores, Trust-Lists, Transactions, Gossip. | 05-hmc-extensions/ |
WoT definiert keine neuen Standards — es kombiniert bestehende Standards und bewusst begrenzte Kompatibilitaetsprofile:
| Standard | Verwendung |
|---|---|
| DID (W3C) | Dezentrale Identität (DID-Methoden-agnostisch, Phase 1: did:key) |
| Verifiable Credentials (W3C) | Signierte Aussagen (Attestations) |
| DIDComm v2.1 (DIF) | Kompatibles Plaintext-Transport-Framing in WoT Sync. Der Anspruch gilt nur fuer ephemere Envelopes, nicht fuer DIDComm-JWE/Authcrypt oder persistente WoT-Objekte. Details in Sync 003. |
| Ed25519 (RFC 8032) | Signaturen |
| JWS (RFC 7515) | Signaturformat |
| JCS (RFC 8785) | Kanonisierung |
| BIP39 | Mnemonic-Seed für Schlüsselableitung |
| HKDF (RFC 5869) | Schlüsselableitung |
| X25519 (RFC 7748) | ECDH Key Agreement (ECIES) |
| AES-256-GCM (NIST) | Symmetrische Verschlüsselung |
| Dokument | Beschreibung |
|---|---|
| ROADMAP | Milestones und naechste Arbeitsbloecke |
| ARCHITECTURE | Arbeitskompass fuer Spec-Leseschicht, Architekturfragen und TypeScript-Mapping |
| IMPLEMENTATION-ARCHITECTURE | Nicht-normativer TypeScript-Mapping-Kompass fuer die Referenzimplementierung |
| VERSIONING | Release-Versionen, Spec-Profile, Wire-Versionen |
| CHANGELOG | Nachvollziehbare Aenderungen zwischen Releases |
| CONFORMANCE | Anforderungen fuer konforme Implementierungen |
| Conformance Kit | Maschinenlesbares Profil-Manifest und Validierungsbefehle |
| GLOSSARY | Normative Begriffe und konsistente Terminologie |
| CONTRIBUTING | Beitragsregeln und PR-Erwartungen |
| Test-Vektoren | Normative Krypto-Werte und Transport-Envelope-Validierung fuer Interoperabilitaets-Tests |
Was jede Implementierung braucht, die WoT-DIDs, Signaturen oder DID-Dokumente verwendet.
Einstieg: WoT Identity README.
| # | Dokument | Beschreibung |
|---|---|---|
| 001 | Identität und Schlüsselableitung | BIP39 → HKDF → Ed25519 + X25519 Schlüsselpaare |
| 002 | Signaturen und Verifikation | Ed25519, JWS, JCS, SHA-256 |
| 003 | DID-Dokument und Resolution | DID-Methoden-agnostisch, resolve()-Interface, did:key + did:webvh |
| 004 | Device-Key-Delegation | Geplantes Phase-2-Erweiterungsprofil der Identity-Dokumentfamilie; nicht Teil von wot-identity@0.1 |
Was Apps brauchen, die Attestations und reale Verifikation verwenden.
Einstieg: WoT Trust README.
| # | Dokument | Beschreibung |
|---|---|---|
| 001 | Attestations | W3C Verifiable Credentials 2.0, VC-JOSE-COSE |
| 002 | Verifikation | QR-Code-Austausch, Nonce-basierte Verifikation, Offline-Fallback |
Nicht WoT-spezifisch — jede Local-First-App könnte das nutzen.
Einstieg: WoT Sync README.
| # | Dokument | Beschreibung |
|---|---|---|
| 001 | Verschlüsselung | AES-256-GCM, ECIES, Gruppen-Verschlüsselung |
| 002 | Sync-Protokoll | Phase 1: Append-only Logs; Phase 2/3: Kompression und Reconciliation als Roadmap |
| 003 | Transport und Broker | Broker, Authentisierung, Transport-Framing, Capabilities, Inbox, Push |
| 004 | Discovery | Broker-Discovery, Profil-Service |
| 005 | Gruppen und Mitgliedschaft | Rollen, Einladungen, Key Rotation |
| 006 | Personal Doc und Cross-Device Sync | Struktur, Key-Derivation, Device-Management |
| # | Dokument | Beschreibung |
|---|---|---|
| R01 | Badges | Badges (Emoji, Farbe, Form), Event- und Ortsbezüge |
| H01 | Trust-Scores | Quantitative Vertrauensstufen, Propagation, Hop-Limits |
| H02 | Transactions | Gutscheine, Double-Spend-Prevention, SecureContainer |
| H03 | Gossip-Propagation | Trust-List-Verteilung über Inbox, Forward-Logik |
| Dokument | Beschreibung |
|---|---|
| Schemas | Geplante JSON Schemas fuer normative Payloads |
| Test-Vektoren | Kanonische Krypto-Werte fuer Interoperabilitaets-Tests |
| Conformance Kit | Profilzuordnung fuer Schemas, Testvektoren und Validatoren |
| Dokument | Beschreibung |
|---|---|
| Sync-Alternativen | Landschafts-Recherche: 13+ Sync-Protokolle und Systeme als Inspirationsquellen |
| Sync-Architektur | Drei-Schichten-Modell |
| Identity Migration | Schlüsselrotation bei DID-Wechsel |
| Device Keys | Multi-Device-Signaturen: Shared Seed, Delegation, Sigchain, Pre-Rotation |
| WoT Identity Vergleich | Related Work: DID-Methoden, KERI, OpenPGP, Keybase, SSI-Stacks und Abgrenzung |
| Identitäts-Alternativen | Exploration: NextGraph, CryptPad, Argent, Jazz, Passkeys, Hybrid-Vorschlag mit Guardian-Recovery |
| Migrations-Roadmap | Phasenplan für die Überführung der Implementierungen in die Spec |
| Positionierung | Wo wir in der Landschaft stehen — für interne Klarheit und Outreach |
| Briefing Sebastian | Zusammenfassung und offene Fragen für Sebastian |
| Interop und Zielgruppe | Standards (DIDComm, OpenID4VC), Zielgruppen, eIDAS-Kontext |
| DIDComm Migration | Analyse, Roadmap, fehlende Teile, Sicherheitsanalyse |
| Verbreitungsstrategie | 5-Jahres-Vision, Schlüsselpartner, eIDAS-Kontext |
Diese Spezifikation wird von zwei unabhängigen Implementierungen informiert:
- Web of Trust — TypeScript, Web Crypto API
- Human Money Core — Rust, Ed25519 (dalek)
Die Spec ist an keine der beiden Implementierungen gebunden. Abweichungen zwischen Spec und Implementierungen sind in den einzelnen Dokumenten dokumentiert.
Alle Dokumente sind im Status Entwurf. Dieses Repository ist die neutrale Spezifikationsquelle fuer WoT Identity, WoT Trust, WoT Sync und die dokumentierten Extensions. Normative Releases werden ueber Git-Tags und GitHub Releases versioniert; Details stehen in VERSIONING.md.