Logo eID Connect

eID Connect – Identity-as-a-Service mit dem neuen Personalausweis

Wilkommen auf der Webseite des Projektes “eID Connect”. Hier stellen wir eine neuartige Lösung für Identity-as-a-Service vor, die sichvor allem auf Sicherheit und gleichzeitig Nutzerfreundlichkeit konzentriert.

Identity-as-a-Service

Wer kennt das nicht? Man möchte einen neuen Online-Dienst nutzen, und schon wieder wird ein Nutzername und ein Passwort bei der Registrierung verlangt. In den letzten Jahren ist nicht nur die Anzahl an Webdiensten stark gestiegen, sondern auch die Menge an Account-Zugangsdaten, die sich jeder Internetnutzer merken soll.

Seit einiger Zeit ist es allerdings immer weiter verbreitet, dass Webseiten die eigenen Logins (optional) durch den Anmeldevorang in Facebook, Gmail, Twitter oder ähnlichen ersetzen, so dass ein einziger Login genügt, um viele verschiedene Webservices zu nutzen. Datenschützern und Sicherheitsexperten ist dies jedoch ein Dorn im Auge, da Facebook, Google und Co. nicht nur die Identität verwalten. Vielmehr können sie somit ihre Nutzer im Internet verfolgen und die gewonnen Daten zu Werbezwecken verwenden.

Die Idee, sich nur einmal anmelden zu müssen ist jedoch nicht neu: Das Prinzip “Single Sign-On” existiert schon lange, und die erfolgreichste Umsetzung davon ist OpenID. Hierbei geht es jedoch nur darum, dass ein Webdienst die Anmeldung einem OpenID Provider überlassen kann, und dass der Webdienst von dem Server bestimmte Daten des Nutzers erhalten kann (wenn der Benutzer dies erlaubt).

In letzter Zeit ist immer wieder die Rede von “Identity-as-a-Service”, wobei meist nur eine Umsetzung des Single Sign-On Prinzips gemeint ist. Dieser Ausdruck ist von Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), und ähnlichen abgeleitet, und soll die Umsetzung eines Dienstes für Identitätsmanagement beschreiben.

In diesem Projekt stellen wir eine solche “Identity-as-a-Service” Lösung vor, allerdings geht sie weit über den einfachen Single Sign-On hinaus.

Sicherheit durch Hardware-Token

Um eine einfache Integration von eID Connect zu ermöglichen, bietet es sich an auf dem weit verbreiteten Internetstandard OpenID aufzubauen. Allerdings weist OpenID auch einige Schwächen im Bereich der Sicherheit auf, die im Standard nur unzureichend definiert sind. Das OpenID Protokoll ist insbesondere anfällig gegen Phishing Versuche, denn es ist nicht gewährleistet, dass die automatische Weiterleitung wirklich auf der Login Seite des OpenID Anbieters landet.

Dieses Problem löst eID Connect durch den Einsatz von Security Hardware-Token. Dieser Token ersetzt den üblichen Login mit Username und Passwort und kann nicht durch Phishing Webseiten getäuscht werden. Dabei baut der Token eine Verbindung zum Server auf, und kann mit Hilfe von digitalen Signaturen die Echtheit des Servers überprüfen, ohne auf grafisches Layout oder die Internetadresse angewiesen zu sein. Integration des neuen Personalausweises

Eine weitere Eigenschaft von OpenID ist die Möglichkeit, dass prinzipiell jeder einen OpenID Server aufsetzen kann und dieser Server beliebige Informationen über seine Nutzer ausgeben kann. Daher tendieren Webseiten dazu, Daten ihrer Nutzer nicht vom OpenID Server abzufragen, sondern diese selbst von den Nutzern selbst eingeben zu lassen. Diese Freigabe von Informationen ist beispielsweise von der “Graph API” von “Facebook Connect” (Die Schnittstelle zwischen Facebook und den Facebook Apps) bekannt und wird von Facebook unterstützt. In OpenID wird diese Möglichkeit jedoch kaum verwendet, da Webseiten den OpenID Provider nicht unbedingt kennen.

Selbst in dem Fall, dass der OpenID Provider auf Anfragen ehrlich antwortet, kann eine Webseite nicht nachvollziehen, ob und wie diese Informationen über den Nutzer verifiziert wurden. An dieser Stelle setzt eID Connect an, und bietet Webseiten nicht nur die gewünschten hinterlegten Informationen über die Nutzer, sondern gibt auch Auskunft über die Verifizierung dieser Daten. Durch die Einbindung des neuen Personalausweises ist es dem eID Connect Provider möglich, gewisse Angaben der Nutzer nachzuprüfen, und diese Informationen an Webseiten weiterzuleiten.