Kommentare zu: Mittwoch: Chaosradio zu Digitale Identitäten http://netzpolitik.org/2007/mittwoch-chaosradio-zu-digitale-identitaeten/ Politik in der digitalen Gesellschaft Mon, 01 Dec 2008 16:06:49 +0000 http://wordpress.org/?v=2.5.1 Von: Horst Henn http://netzpolitik.org/2007/mittwoch-chaosradio-zu-digitale-identitaeten/#comment-79532 Horst Henn Wed, 28 Feb 2007 18:01:51 +0000 http://netzpolitik.org/2007/mittwoch-chaosradio-zu-digitale-identitaeten/#comment-79532 Open ID ist eine weitere Initiative, die versucht ein zentrales (wen auch verteiltes) ID Management System zu etablieren. Das ist grundsätzlich ein falscher Ansatz. Ich möchte mich nicht mit einem festen Benutzernamen(URI) bei einem Identity Provider anmelden und dadurch das direkte Vertragsverhältnis Kunde-Anbieter technisch und rechtlich unnötig komplizieren. Der Identity Provider sammelt zwangsläufig alle meine Beziehungen im Web. Die Erfahrung lehrt aber, dass dort wo Daten gesammelt werden sehr schnell auch Leute auftauchen, die diese Daten auch einsammeln siehe Internet Verbindungsdaten, Autokennzeichen bei Maut usw. Der Identity Provider muss auch eine gewisse Haftung für die sichere Identifizierung übernehmen und eventuell für Schäden auch haften. Wer macht das schon gerne ohne adequate Bezahlung. Die ungelöste Frage der Haftung ist übrigens der Hauptgund warum Microsoft seine Passport Initiative nicht weiterverfolgt hat. Ich propagiere seit Jahren eine wirklich sichere und einfach zu handhabende <a href="http://www.portaleco.com/html/pde.html" title="Methode zur Identifikation" rel="nofollow">. Benutzer melden sich mit einer digitale signierten eMail beim Anbieter an. Der Benutzer kann dabei ein Zertifikat von einer Behörde, von einer Bank oder auch selbst erstellte Zertifikate z.B. Anonym1, Anonym2, Privat, Geschäft usw einsetzen. Dem Anbieter steht es dabei frei ob er das angebotene Zertifikat akzeptiert oder nicht. Alle Browser (Firefox, Internet Explorer, Opera ... ) und auch Betriebssysteme (Windows, LINUX) unterstützen die Erstellung und die Verwaltung von Zertifikaten. Meldet sich der Benutzer nun bei einer Web Site an, so schickt der Server eine Nachricht, die der Client mit seinem Schlüssel verschlüsselt und wieder an den Server zurückschickt. Diese Certificate Based Authentication wird heute von allen moderen Systemen unterstützt. Der Benutzer muss sich lokal nur ein Passwort zu seinem Sicherheitsmodul merken (ähnlich funktioniert heute ja z.B. die RoboForm Passwort Verwaltung auch). Je nach Sicherheitsbedürfnis des Benutzers können Schlüssel auf Smartcards, USB Sticks oder mit drahtloser Schnittstelle gespeichert werden. Der Vorteil dieser vorgeschlagenen Mehode ist, dass der benutzer volle Kontrolle über seine Identitäten behält und keine rechtlich und technisch bedenklichen Intermediäre gebraucht werden. Der Benutzer behält also die Kontrolle - das ist wohl der Grund warum solche Systeme bei den Anbietern und den Unsicherheitsbehörden nicht sehr beliebt sind.</a> Open ID ist eine weitere Initiative, die versucht ein zentrales (wen auch verteiltes) ID Management System zu etablieren. Das ist grundsätzlich ein falscher Ansatz. Ich möchte mich nicht mit einem festen Benutzernamen(URI) bei einem Identity Provider anmelden und dadurch das direkte Vertragsverhältnis Kunde-Anbieter technisch und rechtlich unnötig komplizieren. Der Identity Provider sammelt zwangsläufig alle meine Beziehungen im Web. Die Erfahrung lehrt aber, dass dort wo Daten gesammelt werden sehr schnell auch Leute auftauchen, die diese Daten auch einsammeln siehe Internet Verbindungsdaten, Autokennzeichen bei Maut usw. Der Identity Provider muss auch eine gewisse Haftung für die sichere Identifizierung übernehmen und eventuell für Schäden auch haften. Wer macht das schon gerne ohne adequate Bezahlung. Die ungelöste Frage der Haftung ist übrigens der Hauptgund warum Microsoft seine Passport Initiative nicht weiterverfolgt hat.

Ich propagiere seit Jahren eine wirklich sichere und einfach zu handhabende . Benutzer melden sich mit einer digitale signierten eMail beim Anbieter an. Der Benutzer kann dabei ein Zertifikat von einer Behörde, von einer Bank oder auch selbst erstellte Zertifikate z.B. Anonym1, Anonym2, Privat, Geschäft usw einsetzen. Dem Anbieter steht es dabei frei ob er das angebotene Zertifikat akzeptiert oder nicht. Alle Browser (Firefox, Internet Explorer, Opera … ) und auch Betriebssysteme (Windows, LINUX) unterstützen die Erstellung und die Verwaltung von Zertifikaten.

Meldet sich der Benutzer nun bei einer Web Site an, so schickt der Server eine Nachricht, die der Client mit seinem Schlüssel verschlüsselt und wieder an den Server zurückschickt. Diese Certificate Based Authentication wird heute von allen moderen Systemen unterstützt. Der Benutzer muss sich lokal nur ein Passwort zu seinem Sicherheitsmodul merken (ähnlich funktioniert heute ja z.B. die RoboForm Passwort Verwaltung auch). Je nach Sicherheitsbedürfnis des Benutzers können Schlüssel auf Smartcards, USB Sticks oder mit drahtloser Schnittstelle gespeichert werden.

Der Vorteil dieser vorgeschlagenen Mehode ist, dass der benutzer volle Kontrolle über seine Identitäten behält und keine rechtlich und technisch bedenklichen Intermediäre gebraucht werden. Der Benutzer behält also die Kontrolle - das ist wohl der Grund warum solche Systeme bei den Anbietern und den Unsicherheitsbehörden nicht sehr beliebt sind.

]]>