ID4me: Dezentrales Single Sign-on fürs Internet legt los

Als dritter Aufschlag für ein alternatives Single Sign-On (SSO) startet diese Woche das von der Domainbranche initiierte ID4me. Auf dem Cloudfest in Rust wird die auf der klassischen DNS-Hierarchie aufsetzende ID4me-Technik ausführlich vorgestellt. Ein Vorteil von ID4me gegenüber der Konkurrenz: Nutzer können ihren ID-Provider selbst auswählen und bei Unzufriedenheit auch mal umziehen.

Bei ID4me fungiert der Domainregistrar in der Regel als Identitätsprovider. Er hält die Stammdaten seiner Domaininhaber und bietet den ID-Service praktisch einfach mit an. Die darüber liegende Domainregistry, etwa die zu den Gründern des Projekts gehörende Denic, wickelt als ID-Autorität die ankommenden Anfragen ab ist also Dreh- und Angelpunkt des Identifizierungsprozesses. Der Vorteil des Domainmodells liegt vor allem darin, dass er ein föderiertes, ein verteiltes Model erlaubt, mit vielen ID-Providern.

Über das DNS können Webshops, Internetplattformen oder Behörden den richtigen Provider finden, der für ihren Kunden zuständig ist. Ein typischer Eintrag sieht etwa so aus:

_openid.example.com IN TXT "v=OID1;iss=authority.acme.de;clp=iagent.acme.com"

Das Beispiel offenbart den Einsatz des ACME-Protokolls zur Absicherung gegen betrügerische Einträge, das als grundlegende Standardtechnik OpenID eingesetzt wird. Darin unterscheidet sich ID4me nicht von der Konkurrenz.

Flexibler durch verteilte Struktur

Anders als bei den aktuellen Marktführern, vor allem dem Single Sign-On über Facebook oder Google, aber auch den deutschen beziehungsweise europäischen Alternativen NetID und Verimi, macht die verteilte Struktur des DNS den Nutzer flexibler. Statt eines einzigen Identitätsanbieters und einer zentralen Speicherung der ID-Daten hat der Nutzer die Wahl. Zum Start diese Woche offeriert neben der Denic eG so etwa auch der Anbieter Mailbox.org einen ID4me-Dienst.

Mailbox.org-Nutzer können sich so direkt über ihre E-Mail identifizieren, das Unternehmen managt anstelle einer Registry wie der DeNIC selbst die Authentisierungsanfragen von Webshops oder Internetplattformen, die ihre Nutzer besuchen wollen. Ein Vorteil aus Kundensicht bei der Mailbox.org-Variante – sie brauchen keine eigene Domain und ihre ID muss nicht ins DNS eingetragen werden. Auch anderen Mailanbietern oder Unternehmen steht das Konzept also offen. Großes Interesse haben laut Marcos Sanz von der DeNIC bislang offenbar auch Nominet gezeigt und auf dem Hackathon des Cloudfest bastelte auch GoDaddy an einer möglichen Lösung. Mit zu den Anbietern auf ID-Provider-Seite gehört auch 1&1 IONOS.

Das Rennen um die Single-Sign-On-Alternativen ist mit gleich drei neuen Anbietern damit eröffnet. Bei der Frage, wer am Ende die Nase vorn hat, ist am Ende entscheidend, wie viele Shops, Plattformen, Behörden oder andere Partner die jeweiligen SSOs akzeptieren. Während NetID und Verimi im vergangenen Jahr jeweils mit Listen ihrer aktuellen Partner warben – und die sind noch recht klein im Vergleich zur den allgegenwärtigen SSO mit Facebook und SSO mit Google – startet ID4me erst einmal in eigenen Gewässern. Zunächst werde man sich auf das Geschäft mit Domains, Hostingdiensten und X-as-a-Service-Angeboten starten, sagt Sanz. Mit von der Partie sind so aktuell Plesk, Joomla, Wordpress, Plone, Typo3. Einkaufen mit ID4me ist vorerst also noch schwierig.

Echt dezentral: GNU re:claim identity

Auch auf dem aktuellen Treffen der Internet Engineering Task Force (IETF 104) ist das Thema Single-Sign-On-Alternativen auf der Tagesordnung. In einer Arbeitsgruppe der Internet Research Task Force zu mehr Datenschutz stellte Martin Schanzenbach vom Fraunhofer Institut für Angewandte und Integrierte Sicherheit mit re:claimID ein ganz ähnliches Projekt vor.

Auch re:claimID geht es darum, den SSO wieder an den Nutzer zu ziehen. Im Fall von re:claimID soll letztlich der ID-Provider ersetzt werden. Statt auf das DNS wollen die Entwickler dafür auf das GNU Name System (GNS) setzen, bei dem sich Nutzer selbst Namen kreieren. Im GNS gibt es dafür keine Hierarchie. Letztlich werden die Zonen durch Schlüsselpaare identifiziert, die Namen selbst sind nicht zwangsläufig eineindeutig.

Will ein Nutzer Korrelationen verhindern, könne er im GNS einfach jeweils neue Namen erzeugen, sagt Schanzenbach. Damit sei es das wahre dezentrale SSO-System. Natürlich müssen auch solche Identitäten ihre Abnehmer bei Partner finden – und das dürfte nicht leicht werden. Vittorio Bertola, vom ID4me-Mitgründer Open-Xchange warnte aber auch vor einer Zersplitterung. Damit würde es schwer werden, Google und Facebook zu packen. (anw)