Su-Shee mach seit einigen Posts auf die Möglichkeiten und Grenzen der persönlichen Einflußnahme auf die Gesellschaft aufmerksam. Parallel hat der Heise Verlag in erster Instanz feststellen müssen, daß Forenbetreiber für Beiträge haftbar sein sollen.
Liest man dann noch die gängigen Ticker und geht mit offenen Augen durch die Welt, stellt man also fest: Unsere Freiheiten, ob verdient oder nicht, sind in Gefahr!
Mir ging heute während einer Präsentation über Single Sign On Software einiges durch den Kopf:
- Es gibt zig unterschiedlichste Stellen im Internet bei denen ich mich irgendwie authentifizieren muss.
- viele Leute bleiben dennoch sehr gerne anonym, haben aber gerne reservierte Nicknames, gespeicherte Einstellungen, etc — am liebsten ohne gesetzte Cookies
- Ich selbst bin schon bei über 20 verschiedene Logins im Netz die ich mir merken muss! Ok, da gibts Tricks und Kniffe sich da zu organisieren, aber das ist eigentlich nur eine Notlösung.
- Es gibt zwar Ansätze solches zu zentralisieren, aber nicht jeder will Microsoft oder Google alles anvertrauen.
Es fehlt also eine Lösung, die es mir ermöglicht mich überall sicher zu authentifizieren, dabei gegebenenfalls anynom zu bleiben, und das ganze so organisiert, daß auch der Authentifizierer nicht alles von mir erfährt.
Sowas muss doch möglich sein: Eine zentrale, von „uns Geeks“ getragene Stelle die Anmeldungen handhabt. Ich hinterlege dort meine „Master-Identität“, mit Public Key und allem drum und dran. Wenn ich jetzt auf eine neue tolle Webseite stosse, die eine Registrierung verlangt (um zum Beispiel Forumzugang zu gewähren, einen Einkaufskorb zu verwalten, oder einfach nur um Einstellungen wie Seitenlayout und so zu speichern), erlaube ich dieser, gewisse Informationen von der Zentrale abzufragen:
- „Ja, das ist $NUTZERALIAS, der sich letzte Woche hier angemeldet hat.“
- „Das ist tatsächlich $REALNAME.“
- „Er hat $EMAILADRESSE.“
- „Er hat $ECHTE_ADRESSE, $KONTONUMMER, etc.“
Was immer halt im Kontext gebraucht wird. Wenn ich anonym bleiben will, sendet die Zentrale nur die Bestätigung, daß ich die gleiche Nase wie beim letzten Mal bin, ohne Namen, Email oder sonstwas. Wenn ich etwas kaufe, folgen alle für den Kauf relevanten Infos. Aber eben nur mit meiner Freigabe.
Umgekehrt sollte der Server auch nur das nötigste von der betreffenden Webseite erfahren. Im Idealfall nur einen Hashwert, der keinen Rückschluß auf die Seite erlaubt. Zusätzlich sollten alle Nutzerdaten hochverschlüsselt auf dem Authentifizierungsserver liegen, so daß bei einer etwaigen Beschlagname von wem auch immer nichts herauskommt.
Wenn wir das ganze noch mit Strukturen wie Freenet kombinieren bekommen wir das Konstrukt auch noch robust.
Und, wer fühlt sich nun angesprochen?
Rein politisch-strategisch: Nichts zentralisiertes wählen oder konzipieren. Zentralisiert bedeutet immer, dass du die Infrastruktur nur ein der Stelle treffen brauchst und dann geht nix mehr.
Aber Ja, Geeks sind extrem gefragt bei der Ausarbeitung von echten Anonymisierungsfunktionen — die dann sicher bald verboten werden — die aber absolut Enduser-tauglich sein müssen. ICH kann mir immer komplexe Sachen zurechtfrickeln — das kann $user halt nicht und da sind Geeks gefragt, ihm das abzunehmen.
Viel Spass beim Planen. ;)
Daher ja die Freenet-Idee: Das erspart uns die Zentralisierung. Was immer gebaut wird, muss unabhängig und im Netzverkehr „unsichtbar“ sein.
Als Behelfslösung ist ein Passwortspickzettel, gerne auch elektronischer Natur (ie: ein Palm) natürlich machbar. Aber es ist schon nervig, den bei jedem Login wieder herauszukramen, oder?
Vor etwas über einem Jahr hab ich mal den Wunsch nach einfacher, verteilter anonymer Authentifizierung in die Runde geworfen. Su-Shee hat das kurz kommentiert, das wars dann aber auch schon an Echo.In der Zwischenzeit hab ich dann tatsächlich mal etwas üb