Streit um Microsofts eingekaufte Privacy-Technologie für Single-Sign-On

Microsoft hat Patente einer Privacy-Technik namens U-Prove von Credentica eingekauft. Der Software-Riese hat versprochen, die Technik jedermann zugänglich zu machen. Inzwischen ist ein Streit unter Sicherheitsexperten über die Folgen des Kaufs ausgebrochen.

Einige Fachleute sehen den Kauf der Patente durch Microsoft nicht positiv. Microsoft könnte die U-Prove-Technik in Microsoft-Produkten "einbunkern", befürchtet etwa der britische Sicherheitsexperte Ben Laurie. Microsoft-Sprecher wie Kim Cameron von der Identity and Access Group wiegeln jedoch ab, Microsoft wolle die Technik nicht isolieren. Das Unternehmen plane, die Patente unter einer Open Specification Promise freizugeben. Dabei verspricht Microsoft, Nutzer der Patente nicht zu verklagen, solange sie auch Microsoft nicht belangen. Wann die Freigabe erfolgen soll, schreibt Cameron allerdings nicht.

Stefan Brands, Mitentwickler der U-Prove-Technik, sagte gegenüber US-Medien: "Microsoft möchte nicht, dass es [U-Prove] eine proprietäre Technik ist, da dies auch nicht im Interesse von Microsoft ist. [...] Das würde die Möglichkeiten einschränken. Offenheit und Interoperabilität sind der Schlüssel zu dieser Technologie." Die U-Prove-Technik solle daher von allen nutzbar sein, ob Windows-Nutzer oder nicht.

Die U-Prove-Technik von Credentica soll die Online-Identität von Anwendern kryptographisch schützen und Nutzern die weitgehende Kontrolle über eigene Daten sowie die Weitergabe ermöglichen. Microsoft kann U-Prove als Erweiterung der Single-Sign-On-Lösung CardSpace, aber auch für die Windows Communication Foundation gebrauchen. Zusammen mit den Patenten für U-Prove wechselten auch die Entwickler der Technik, Stefan Brands, Greg Thompson und Christian Paquin zu Microsofts Identity and Access Group, berichtet Credentica.

Die bisherigen Versuche von Microsoft, über Passport eine zentrale Identität im Web zu etablieren, scheiterten unter anderem am Misstrauen der Anwender, die befürchteten, dass eine Zentralstelle alle persönlichen Daten kontrolliert und Aktivitäten der Nutzer überwacht werden. Microsoft hat auf die Kritik an Passport reagiert: Windows Vista enthält mit CardSpace ein neuartiges System zur Verwaltung von Online-Identitäten. Anders als bei Passport verbleiben hier die persönlichen Daten in der Hand des Anwenders.

U-Prove soll Anwendern ähnlich wie CardSpace unter anderem ermöglichen, einmal an einen Anbieter herausgegebene Daten auch wieder zurückzuziehen oder deren Vorhaltezeit zu beschränken. Außerdem sollen Anwender nur die nötigsten Daten an einen Anbieter übertragen müssen. Anders als etwa CardSpace soll U-Prove zudem bei korrekter Implementierung auch Missbrauch verhindern, den böswillige Anbieter etwa durch betrügerische Absprachen mit den Identitätsprovidern treiben könnten. (dmk)