Mehr Datenschutz für den Einzelnen mit ABC4Trust
Kommentare

Privatsphäre in sozialen Netzwerken
Die zweite Pilotanwendung wird an Norrtullskolan, einer Sekundarschule in Söderhamm, Schweden, implementiert. In diesem Szenario steht Onlinekommunikation sowie der

Privatsphäre in sozialen Netzwerken

Die zweite Pilotanwendung wird an Norrtullskolan, einer Sekundarschule in Söderhamm, Schweden, implementiert. In diesem Szenario steht Onlinekommunikation sowie der Austausch persönlicher Anliegen zwischen den Nutzern (Schülern und Erziehungsberechtigten, Schulpersonal etc.) im Vordergrund, wobei der Schutz der Privatsphäre verbessert werden soll. Einige der ausgetauschten Informationen sind möglicherweise sensibler Natur und erfordern ausreichenden Schutz vor den Zugriffen Dritter. Man darf davon ausgehen, dass die Nutzer von den verschiedenen Services profitieren, die beim Pilotprojekt angeboten werden, darunter Onlinechats, Diskussionsforen, Beratungssitzungen, die Möglichkeit, Dokumente zu teilen, Umfragen und weitere Funktionen. Jedes Mal, wenn ein Schüler ein Problem hat, sei es physischer, psychologischer, mentaler, finanzieller oder anderer Art, kann er mit einem Berater oder einer Schulkrankrenschwester anonym darüber diskutieren. Während Schüler sicher sein können, dass ihre Anonymität gut geschützt wird, kann der Berater davon ausgehen, dass Nutzer garantiert ein Schüler dieser Schule ist und daher einen Anspruch auf diesen Service hat. Dadurch, dass sie anonym bleiben, sind Schüler möglicherweise eher gewillt, über reale Probleme zu reden, über die sie sonst nur mit Zurückhaltung, Schüchternheit oder Angst sprechen würden. Privacy-ABCs sind ein Weichensteller für solche Services. Die Technologie ermöglicht es ihren Nutzern, sich dadurch einzuloggen, dass sie die Gültigkeit bestimmter Elemente eines größeren Zertifikats vorweisen können (z. B. ein bestimmtes Alter oder die Zugehörigkeit zu einer bestimmten Schulklasse), statt das gesamte Zertifikat inklusiver aller darin enthaltenen Informationen preiszugeben.

In beiden Pilotprojekten gibt ABC4Trust jeder Bildungseinrichtung die Möglichkeit, Zertifikate für ihre Nutzer – Schüler, Eltern, Lehrern – auszustellen, damit diese vorweisen können, dass sie einer bestimmten Klasse oder einer besonderen Gruppe, wie etwa einem Sportteam, angehören oder ein bestimmtes Geschlecht oder Alter haben. Auf einer Smart Card oder einem Mobiltelefon gespeichert, können diese digitalen Zertifikate von Nutzern verwendet werden, um sich für bestimmte Services zu authentifizieren.

Die Zukunft der personalisierten Identifikation

In alltäglichen Offlinetransaktionen muss man für vielerlei Vorgänge Zertifikate vorweisen. Dabei gibt es mehrere Aspekte, die Rücksicht auf die Privatsphäre nehmen, aber in ähnlichen Onlinetransaktionen nicht bewahrt wurden. Beispiel: Wenn man seinen Ausweis vorlegen muss, um ein Bankkonto zu eröffnen oder an Bord eines Flugzeug zu gehen, erfährt die Regierungsbehörde, die den Ausweis ausstellt, nicht, an welchen anderen Orten der Ausweisinhaber seine Karte vorzeigen muss. In einigen äquivalenten Onlineszenarien hingegen werden solche Verbindungen gezogen. Andererseits gibt es bei Offlinetransaktionen Aspekte, die weniger Rücksicht auf die Privatsphäre nehmen: Wenn man im Geschäft den Ausweis zeigt, um Alkohol zu kaufen, gibt man Informationen wie das Geburtsdatum preis, obwohl es eigentlich nur ein bestimmtes Alter vorzuweisen gilt. Was in der Offlinewelt kein größeres Problem darstellt, da die Infrastruktur (d. h. der Verkäufer hinter der Theke) nicht in der Lage ist, all diese Informationen aufzuzeichnen und sich daran zu erinnern, sieht in der Onlinewelt anders aus: Dort werden Informationen, einmal offenbart, für immer gespeichert. Die Onlineprivatsphäre von Nutzern ist zunehmend bedroht, da viele Staaten elektronische Ausweise (eIDs) und Führerscheine einführen oder im Begriff sind einzuführen und damit den Gebrauch von Zertifikaten in die Onlinewelt ausweiten. Darüber hinaus sind elektronische Ticket- und Mautsysteme weltweit in Benutzung. Da solche elektronischen Geräte und Services zwecks Identifikation, Authentifizierung und Zahlung in vielerlei Situationen immer gebräuchlicher werden – bei der Zahlung wird über Kreditkartensysteme auf Personendaten zugegriffen – wird der Schutz der Privatsphäre eine immer größere Herausforderung darstellen. Technologien zum Schutz der Privatsphäre ähnlich der, die im Rahmen von ABC4Trust entwickelt werden, werden notwendig sein, um nachhaltige Privacy-Lösungen in diese Systeme zu integrieren und die daraus gewonnenen Vorteile für die Informationsgesellschaft der Zukunft nutzbar zu machen.

Diverse Identitätsprotokolle und Frameworks sind heute in Verwendung, darunter WS-*, SAML, OpenID, OAuth und X.509. Auch neue werden von der Industrie entwickelt, und jede davon adressiert bestimmte Anwendungsfälle und Deployment-Umgebungen. Diese Architekturen ziehen einige Herausforderungen in Sachen Sicherheit, Privatheit, und Skalierbarkeit nach sich, die in manchen Fällen problematisch sein könnten. Die Technologien von Privacy-ABCs können hier Abhilfe schaffen, indem sie die Sicherheit, Privatheit und Skalierbarkeit dieser Systeme erhöht.

Privacy-ABC-Technologien bieten also ein breites Spektrum an Features. Protokolldesigner und Architekten können diese nicht nur in Identity-Frameworks integrieren, die heute bereits in Verwendung sind; sie können sich auch aussuchen, welche Features und Charakteristika sie gerne verwenden würden, um diese Systeme oder zukünftige Versionen davon zu verbessern.

Implementierung

Ein wesentliches Ziel des ABC4Trust-Projekts ist es, Open-Source-Referenzimplementierungen bereitzustellen, damit Entwickler Privacy-ABCs leicht in ihre Internetanwendungen integrieren können. Das ermöglicht es Webentwicklern, ihre Anwendungen durch eine starke Benutzerauthentifizierung zu verbessern und gleichzeitig die Privatsphäre der Nutzer zu schützen. Ein Überblick über die Architekturbausteine der Referenzimplementierung ist in Abbildung 2 zu sehen.

Abb. 2: Überblick über die Kursevaluation mit Privacy-ABCs

Der Grundbaustein – aus der Sicht des Webanwendungsentwicklers – ist die ABC-Engine. Dieser Baustein stellt die Methoden zur Verfügung, die notwendig sind, um die Funktionalität spezifischer ABC-Rollen zu implementieren. Er stellt einem Issuer zum Beispiel eine Methode für die Ausstellung von Zertifikaten zur Verfügung, einem User eine Methode, um Presentation Tokens basierend auf den Zertifikaten zu erstellen, und einem Verifier eine Methode, um Presentation Tokens zu verifizieren. Durch ein wohldefiniertes API wird die Funktionalität der ABC-Engine der Anwendungsschicht in Form von REST Web Services offenbart, die für den Datenaustausch das XML-Format verwenden. Dadurch lässt sich die ABC-Engine leicht in verschiedene Arten von Webanwendungen integrieren.

Die ABC-Engine ruft intern die Verschlüsselungs-Engine auf, die dafür verantwortlich ist, alle zur Verschlüsselung notwendigen Informationen zu generieren. Einen Anwendungsentwickler brauchen die Technologien auf der Verschlüsselungsebene (z. B. Idemix, U-Prove) nicht zu kümmern, da die gesamten kryptografischen Vorgänge von der ABC-Engine hinwegabstrahiert werden.

Wie in Abbildung 2 ersichtlich, ist auf der Userseite ein Browser-Plug-in vonnöten. Dieses Plug-in wird auf dem Browser des Users installiert und ermöglicht die Kommunikation der ABC-Ebgube des Users mit anderen Instanzen der ABC-Engine (z. B. der ABC-Engine des Issuers oder Verifiers). Zusätzlich stellt das Browser-Plug-in ein User Interface bereit, um Zertifikate und Pseudonyme auszuwählen, in Fällen, in denen man dadurch eine Presentation Policy erfüllt, dass man diverse Kombinationen von Zertifikaten verwendet. Des Weiteren informiert dieses Interface den Benutzer über die Zertifikatattribute, die er preisgibt, wenn er einen Presentation Token kreiert, und holt sich seine Zustimmung ein.

Abbildung 2 zeigt einen Ausschnitt aus dem oben beschriebenen Beispiel der Kursevaluation. Im Besonderen zeigt diese Abbildung den Systemaufbau auf der Seite des Users (Studierenden) und der des Verifiers (Kursevaluationssystems) und beschreibt den Kommunikationsfluss zwischen diesen beiden Parteien, wenn ein Studierender eine Evaluation eines Universitätskurses anonym einreichen möchte.

Wenn ein Studierender also Zugang zu einer Evaluierungsform für einen bestimmten Kurs fordert, wird das installierte Plug-in in seinem Browser aktiviert. Das Plug-in kommuniziert mit der ABC-Engine des Kursevaluationssystems und erhält eine Presentation Policy, die aussagt, welche Information ein Studierender preisgeben muss, um Zugang zu genau diesem Evaluationsformular zu erhalten. Dann kommuniziert es mit der ABC-Engine des Nutzers und prüft, ob dieser über die erforderlichen Zertifikate verfügt, um die Policy zu erfüllen. Ist das der Fall, zeigt sie dem Studierenden ein User Interface an, das ihm erklärt, welche Informationen notwendig sind und veranlasst ihn, eine der möglichen Kombination von Zertifikaten auszuwählen, die die Policy erfüllen. Um also nachzuweisen, dass er oder sie die meisten Vorlesungen besucht hat, kann derjenige sich aussuchen, welche und wie viele der Anwesenheitszertifikate von denen verwendet werden, die er oder sie gesammelt hat.

Sobald der Studierende besagte Zertifikate ausgewählt hat, nimmt das Plug-in wieder mit der lokalen oder User-ABC-Engine Kontakt auf, um einen Presentation Token zu erstellen, der ausschließlich die Zertifikatsattribute offenbart, die von der Policy verlangt werden. Zu diesem Zeitpunkt sendet das Plug-in den Presentation Token zur ABC-Engine des Kursevaluationssystems, das wiederum prüft, ob das Token der Policy entspricht. Sobald die Policy erfüllt ist, ist der Studierende berechtigt, auf die angefragte Ressource zuzugreifen und anonym den Kurs zu evaluieren.

Für die Referenzimplementierung, die das ABC4Trust-Projekt zur Verfügung stellt, müssen hinsichtlich der Laufzeitumgebung einige Voraussetzungen erfüllt sein: Sie wurde in Java 6 und C# entwickelt, erfordert also eine Implementierung der Java Runtime Environment (JRE) in Version 6 und die Microsoft .NET-Runtime. Der Quellcode der ABC4Trust-Referenzimplementierung wird in Kürze nebst einer Demoanwendung auf der Projektwebseite zur Verfügung stehen.

Dr. Ioannis Krontiris ist im Chair of Mobile Business & Multilateral Security der Deutschen Telekom. Seine Steckenpferde sind die Themen Identitätsmanagement sowie Online Privacy. Außerdem ist der Koordinator im ABC4Trust-Projekt.
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -