IETF diskutiert nutzerfreundlichen Standard für Identitätsmanagement

Identität sei das aktuelle Modewort, sagte beim Treffen der Internet Engineering Task Force in Dallas diese Woche bereits der österreichische ENUM-Experte Alexander Mayrhofer, als er die Telefondomain als möglichen Schlüssel im Netz vorstellte. Nun haben Vertreter des kanadischen Unternehmens Sxip einen Vorschlag auf den Tisch gelegt, einen Standard für nutzerzentriertes Identitätsmanagement im Web zu verabschieden. Nutzer trügen derzeit die Last, überall im Netz ihre Identität wieder neu zu hinterlegen, heißt es in dem Entwurf zum Digital Identity Exchange Protocol (DIX). Mit DIX soll der Nutzer seine Identitäten in browergestützten Anwendungen organisieren können, ohne die Dienste eines Dritten (wie bei Microsoft Passport) in Anspruch nehmen zu müssen. Die versammelte Entwicklergemeinde reagiert zwar skeptisch, hat die Idee aber für die nächste IETF wieder auf die Tagesordnung gesetzt.

Patrik Fälström, Mitglied des Internet Architecture Board der IETF, nennt die DIX-Vorschläge sehr interessant. "Jede Arbeitsgruppe (der IETF) erarbeitet im Moment eigene Identifizierungsmechanismen für das jeweilige Protokoll. Die Arbeit an einer Stelle zu haben, ist nicht schlecht." Bislang habe man Diensteanbeitern die Möglichkeit gegeben, zu kontrollieren, wer was auf ihren Rechnern tue, schreibt auch Bob Morgan von der Washington State University auf der DIX-Mailingliste, Als Beispiele nennt Morgan die IETF-Protokolle LDAP, Kerberos, PKIX, TLS, SASL und HTTP Basic/Digest Autentication. Allerdings, fordert Patrik Fälström, müsse das Ziel des DIX-Vorschlags und seine Grenzen sehr viel klarer formuliert werden.

Laut dem aktuellen Entwurf funktioniert DIX vereinfacht gesagt so: Der Nutzer besucht die Mitgliederseite, diese entdeckt die Heimadresse (Homesite) des Nutzers und reagiert durch eine Abfrage der Identität über den Client des Nutzers. Die Heimadresse reagiert durch eine Anfrage beim Nutzer, ob die Information herausgegeben werden soll, und sendet der Mitgliederseite eine entsprechende Antwort – und zwar wieder über den Client des Nutzers. Daraufhin wird die Integrität bei der Heimadresse überprüft und verifiziert. Der Zugriff auf E-Mail per Webbrowser funktioniere bereits nach einem solchen System, erklärt Sxip-CEO Dick Hardt. Er sieht es zudem als Notwendigkeit an, auf längere Sicht auch nicht-browsergestützte Clients mit der Lösung auszustatten.

Hardt stellte gegenüber heise online den nutzerzentrierten Ansatz dieses Verfahrens heraus: "DIX erlaubt dem Nutzer, genau die Informationen offenzulegen, die jeweils notwendig sind. Verschiedene Rollen sind ein Kernaspekt von DIX, sodass der Nutzer in verschiedenen Beziehungen unterschiedliche Teilidentitäten nutzen kann, die nicht wieder korrelierbar sind, wenn der Nutzer das nicht will." Die Nutzerkontrolle hat selbst Microsoft Identitätspapst Kim Cameron inzwischen zum ersten von sieben ehernen Gesetzen fürs Identitätsmanagement erklärt.

Trotz der schönen Worte muss DIX beim nächsten IETF-Treffen noch einmal antreten und den Vorschlag verteidigen, bevor die Entwicklergemeinde darüber entscheidet, wie man das Thema anfasst. In Dallas wurde intensiv nachgebohrt, wo denn der Unterschied zu bereits existierenden Lösungen liege. Davon gibt es laut Experten einige, nicht nur der praktisch gescheiterte Microsoft Passport. So zum Beispiel dessen Nachfolger Microsoft Infocard und das Konkurrenzprodukt der Liberty Alliance.

Auf der DIX-Homepage werden, abgesehen von der SXIP-2.0-Technologie, auch brav der SAML-Standard von OASIS und die Initiativen rund um Shibboleth, XRI und Yadis samt OpenID und Lid aufgeführt. Yadis-Mitinitiator Johannes Ernst, CEO von Netmesh, rief denn in seinem Blog die IETF aus der Ferne auch dazu auf, bei ihren Überlegungen Yadis im Blick zu behalten und auch zu überlegen, ob tatsächlich ein neuer Standard notwendig sei und nicht vielmehr existierende integriert und vereinfacht werden sollten. (Monika Ermert) / (ssu)