Warum verrät die Überprüfung, ob mein Credential widerrufen wurde, dem Aussteller jeden Ort, an dem ich es verwende?

Jedes eingesetzte System für verifizierbare Credentials benötigt einen Widerrufsmechanismus. Das vorherrschende Schema, W3C Bitstring Status List, erfordert, dass Verifizierer zum Präsentationszeitpunkt einen vom Aussteller kontrollierten Status-Endpunkt abrufen, sodass der Aussteller genau erfährt, wann und wo jedes Credential verwendet wird. Die URL in Verbindung mit der festen Position des Credentials im Bitstring reicht aus, um den Inhaber über Verifizierer hinweg wiederzuerkennen und damit die Privatsphäre zu untergraben, die Self-Sovereign Identity bieten sollte. CRSet, ein im Januar 2025 veröffentlichter Zero-Knowledge-Akkumulatoransatz, löst das theoretische Problem, doch kein Aussteller in nennenswertem Maßstab hat ein Widerrufsschema geliefert, das keine Präsentationsmetadaten an sich selbst zurückleitet.