re:claimID

Digitale Identitäten sicher verwalten

© Fraunhofer AISEC

Um Dienste im Web nutzen zu können, müssen Anwender häufig personenbezogene Daten wie E-Mail-Adressen oder Kontodaten weitergeben. Denn nur, wenn Anbieter über – idealerweise aktuelle und korrekte – Benutzerdaten verfügen, erreichen Benachrichtigungen oder Rechnungen auch den passenden Empfänger.

Immer mehr Betreiber von Webseiten und Apps bieten ihren Nutzern im Login- oder Registrierungsbereich die Option, sich über bereits bestehende E-Mail-Server oder Social-Media-Accounts zu authentifizieren. Diese scheinbar bequeme Abkürzung über »Identitätsprovider« erspart es Nutzern, sich immer neu zu registrieren und neue Passwörter zu erstellen. Unternehmen müssen die aufwendige Datenhaltung und Datenpflege der erhobenen Kundendaten nicht länger selbst übernehmen – vielmehr erhalten sie wertvolle Zusatzinformationen aus den bereits bestehenden Nutzerprofilen ihrer Kunden. Auch das Haftungsrisiko wird an die Identitätsprovider übertragen, die die sichere Verwaltung von Millionen von Kundendaten übernehmen.  

Doch die zentrale Speicherung und Verwaltung personenbezogener Daten von Identitätsprovidern wie Google, Facebook und Co. birgt verschiedene Nachteile: Personenbezogene Daten sind ein besonders beliebtes Ziel für Cyberkriminelle – zentrale Identitätsprovider bieten hier ein besonders attraktives Einfallstor. Jeder Login an einem angeschlossenen Dienst generiert zusätzliche sensible Daten über den Nutzer, der die Erstellung eines präzisen Nutzerprofils ermöglicht. Die Privatsphäre der Endnutzer ist damit erheblich bedroht.

Mit re:claimID hat das Fraunhofer AISEC ein Tool für eine dezentrale Verwaltung von digitalen Identitäten entwickelt.

Was ist re:claimID?

 

re:claimID ist ein dezentraler Dienst, der es Nutzern ermöglicht, digitale Identitäten und Attribute sicher und selbstbestimmt zu verwalten und anderen Parteien zur Verfügung zu stellen. Motivation für die Erforschung und Entwicklung einer neuen Lösung für eine dezentrale Verwaltung digitaler Identitäten waren beispielsweise:

  • Die zentrale Speicherung personenbezogener Daten von allwissenden Identitätsanbietern stellt eine erhebliche Bedrohung für die Privatsphäre der Nutzer dar, da diese beispielsweise über Dienste hinweg getrackt werden können
  • Nutzer müssen dem Dienstanbieter in Bezug auf den Schutz der Integrität und Vertraulichkeit ihrer Identität voll und ganz vertrauen
  • Betreiber von Webseiten sind mit dem Risiko konfrontiert, in eine Lock-in-Situation zu geraten, da der Markt der Identitätsprovider-Dienste durch zwei große Unternehmen dominiert wird
  • Durch Datenkonzentration übernehmen zentrale Identitätsprovider immer mehr die Rolle von demokratisch nicht legitimierten Identitätshütern

Wie funktioniert re:claimID?

 

Um eine dezentrale Verwaltung zu ermöglichen, nutzt re:claimID das dezentrale GNU Name System (GNS) als Identitätsverzeichnis. Nutzer können in diesem sicheren Peer-to-Peer-System Identitätsattribute, wie beispielsweise E-Mail-Adresse oder Name, ablegen, die mittels asymmetrischen Verfahren verschlüsselt und signiert sind. Der Nutzer hat darüber die Möglichkeit, Diensteanbietern selektiv nur die Attribute zur Verfügung zu stellen, die diese auch tatsächlich benötigen.

Im Rahmen jeder einzelnen Autorisierung erzeugt der Nutzer einen individuellen Zugriffsschlüssel für einen Diensteanbieter, wobei dieser Zugriff jederzeit widerrufen oder eingeschränkt werden kann.

Vorteile von re:claimID

 

Für den Nutzer

  • Volle Kontrolle über die eigenen Identitäten
  • Selbstbestimmtes, dezentrales Identitätsmanagement
  • Sicheres Speichern und Teilen personenbezogener Daten durch ABE-Verschlüsselung
  • Kein zentraler Identitätsanbieter zur Datenweitergabe erforderlich

 

Für Unternehmen

  • Unterstützung des Standards OpenID Connect zur einfachen Einbindung auf Webseite oder App
  • Unabhängigkeit von zentralen Identitätsanbietern

EU-Projekt DISSENS: Datenschutz für digitale Dienste

Kommerzielle Angebote im Internet hängen von zwei Eckpfeilern des Web ab: Zahlungsabwicklung und digitale Identitäten.

Für das Quasi-Oligopol der Dienstleistungsanbieter steht nicht der Datenschutz, sondern die gewinnbringende Nutzung der Daten im Vordergrund.

Im EU-geförderten Projekt DISSENS (Projektträger NGI Trust) forschen die Partner Fraunhofer AISEC, Taler Systems S.A. und die Berner Fachhochschule an nutzerzentrierten und datenschutzfreundlichen Alternativen.

NGI Trust: Funded Projects Call 2 (alphabetical order): DISSENS #6

Weitere Infos

Zur Forschungsabteilung Service & Application Security