Schönheitswettbewerb der Web-Identity-Verfahren

Einen regelrechten Schönheitswettbewerb lieferten sich bei der 83. Internet Engineering Task Force (IETF) in Paris die Vertreter verschiedener Verfahren für das Web-Identity-Management. Mit den voranschreitenden Standardisierungsarbeiten für die Integration von Real Time Web Communication (RTCWeb) in Web-Browsern steht auch die Entscheidung an, welche Authentifizierungs- und Sicherheitskonzepte (PDF-Datei) dafür ausgewählt werden.

Neben den Weiterentwicklungen rund um das von Microsoft, Google, Facebook und Yahoo unterstützte OpenID – insbesondere die Vermählung von OpenID und OAuth – präsentierte der Sicherheitsexperte Eric Rescorla Details des von Mozilla favorisierten BrowserID. Darüber hinaus steht das von OASIS standardisierte, laut Experten wegen seiner Komplexität aber nur zögerlich implementierte SAML-Konzept bereit, ein Entwickler aus dem Umfeld des W3C warb für das von OpenID "inspirierte" WebID.

BrowserID unterscheidet sich vor allem hinsichtlich des Verhältnisses zwischen Endnutzer und Identity Provider von OpenID. Bei diesem Verfahren erfährt der Identitätsprovider nämlich nicht, welche Seiten der Anwender besucht. Die besuchte Seite (Relying Party) muss nur einmal einen öffentlichen Schlüssel über den Identitätsprovider beziehen, um ihn mit dem privaten Schlüssel des Nutzers zu vergleichen. Es gibt keine weitere Beziehung zwischen dem Identitätsprovider und der besuchten Seite. Das erklärte Ziel ist laut Rescorla, bestehende Identitätsinfrastrukturen für die Authentifizierung zwischen Nutzern zu trimmen.

OpenID sieht vor, dass nach dem Versenden eines Identitifiers des Nutzers die besuchte Site und der Identitätsprovider die Authentifizierung miteinander aushandeln. Auch hier kann ein Schlüsselpaar das "Wiederkommen" erleichtern, doch liegt der Schlüssel hier beim Identitätsprovider. Der Nutzer sei nur schwer vor Blicken aus beiden Richtungen – also vom Identity Provider einerseits und den besuchten Seiten andererseits – zu schützen, sagte John Bradley, Schatzmeister der OpenID-Stiftung, gegenüber iX. Die mögliche anonyme Nutzung des Identitätsproviders lobte auch OAuth-Co-Autor Blaine Cook. Die Features von OAuth, mit denen Nutzer Dritten den Zugang zu einem Teil ihrer Daten ermöglicht – etwa Fotos, die ein Fotoservice drucken soll – sind in verschiedenen Versionen von OpenID inzwischen integriert.

Das fürs Web zuständige W3C will nach Aussage von Harry Halpin der weiteren Fragmentierung der WebID-Szene entgegen wirken. Er lud alle Experten zu einer Arbeitsgruppe über Web Cryptography ein, die Bausteine für eine starke kryptographische Absicherung der WebID-Verfahren erarbeiten soll. Standards seien auf jeden Fall wichtig, damit Anbieter nicht Nutzer zwingen können, bestimmte WebID-Provider zu verwenden, sagte die US-Juristin Wendy Seltzer, die gemeinsam mit Halpin die W3C-Aktivitäten koordiniert. In den USA gebe es etwa Zeitungsanbieter, die Nutzern den Authentizitätscheck via Facebook aufs Auge drückten. Mit einheitlichen Standards sei es möglich, dass sich jeder seinen WebID-Provider selbst aussuche. (ck)