Mittwoch Abend, den 28.02.2007, gibt es ab 22:00 Uhr wieder für drei Stunden das Chaosradio live auf Fritz-Radio. Diesmal ist das Thema „Digitale Identitäten – Anonymität, Pseudonymität und der neue Trend zur uneingeschränkten Offenheit“.
Im World Wide Web muss man heute kräftig tippen, wenn man mitspielen will. Überall muss man sich anmelden, einloggen, Daten hinterlassen und sich eine „Identität“ wählen. Wenige machen sich darüber Gedanken, welche Datenspuren man dabei erzeugt aber auch die Anbieter haben ihre liebe Not mit den aktuellen Systemen, da die ganzen Kennwörter, Anmelde- und Registrierungsvorgänge die Benutzer zunehmend verwirren.
Zentrale Registrierungssysteme sollten schon vor langer Zeit die Nachfolge antreten, aber versagten, weil niemand bereit war, sich in monopolistische Systeme wie z.B. Microsofts Passport einsperren zu lassen. Die Nachfolge ist eine Mischung aus Login-Systemen der großen Hersteller (Google, Yahoo, Apple etc.), einigen systemspezifischen Identitätssystemen in Blogsystemen (TypeKey etc.) und dem freien Wildwuchs aus Logins in Millionen unabhängigen Weblogs und dynamischen „Web 2.0“-Websites. Beim Ringen um einen „Standard“ gibt es jetzt mit Open ID einen neuen Anlauf, der sich erst noch beweisen muss.
Chaosradio stellt die Problematiken und Notwenigkeiten der digitalen Identitäten im Netz vor und legt Vor- und Nachteile von Anonymität, Pseudonymität und Identität in die Waagschale. Wir möchten auch mit Euch diskutieren, wie ihr es mit Eurer Identität im Netz so handhabt und welche Rezepte ihr habt, um Missbrauch zu verhindern oder einzuschränken.
Open ID ist eine weitere Initiative, die versucht ein zentrales (wen auch verteiltes) ID Management System zu etablieren. Das ist grundsätzlich ein falscher Ansatz. Ich möchte mich nicht mit einem festen Benutzernamen(URI) bei einem Identity Provider anmelden und dadurch das direkte Vertragsverhältnis Kunde-Anbieter technisch und rechtlich unnötig komplizieren. Der Identity Provider sammelt zwangsläufig alle meine Beziehungen im Web. Die Erfahrung lehrt aber, dass dort wo Daten gesammelt werden sehr schnell auch Leute auftauchen, die diese Daten auch einsammeln siehe Internet Verbindungsdaten, Autokennzeichen bei Maut usw. Der Identity Provider muss auch eine gewisse Haftung für die sichere Identifizierung übernehmen und eventuell für Schäden auch haften. Wer macht das schon gerne ohne adequate Bezahlung. Die ungelöste Frage der Haftung ist übrigens der Hauptgund warum Microsoft seine Passport Initiative nicht weiterverfolgt hat.
Ich propagiere seit Jahren eine wirklich sichere und einfach zu handhabende . Benutzer melden sich mit einer digitale signierten eMail beim Anbieter an. Der Benutzer kann dabei ein Zertifikat von einer Behörde, von einer Bank oder auch selbst erstellte Zertifikate z.B. Anonym1, Anonym2, Privat, Geschäft usw einsetzen. Dem Anbieter steht es dabei frei ob er das angebotene Zertifikat akzeptiert oder nicht. Alle Browser (Firefox, Internet Explorer, Opera … ) und auch Betriebssysteme (Windows, LINUX) unterstützen die Erstellung und die Verwaltung von Zertifikaten.
Meldet sich der Benutzer nun bei einer Web Site an, so schickt der Server eine Nachricht, die der Client mit seinem Schlüssel verschlüsselt und wieder an den Server zurückschickt. Diese Certificate Based Authentication wird heute von allen moderen Systemen unterstützt. Der Benutzer muss sich lokal nur ein Passwort zu seinem Sicherheitsmodul merken (ähnlich funktioniert heute ja z.B. die RoboForm Passwort Verwaltung auch). Je nach Sicherheitsbedürfnis des Benutzers können Schlüssel auf Smartcards, USB Sticks oder mit drahtloser Schnittstelle gespeichert werden.
Der Vorteil dieser vorgeschlagenen Mehode ist, dass der benutzer volle Kontrolle über seine Identitäten behält und keine rechtlich und technisch bedenklichen Intermediäre gebraucht werden. Der Benutzer behält also die Kontrolle – das ist wohl der Grund warum solche Systeme bei den Anbietern und den Unsicherheitsbehörden nicht sehr beliebt sind.