Heim

Information Card

Die Information Card-Technologie soll es dem Endanwender (und auch Mitarbeitern in Firmen) erleichtern, die eigene Identität gegenüber Dritten (Relying Party) zu versichern. Bisher ist es normalerweise so, dass man sich z. B. auf einer Webseite mit einem Benutzernamen und einem Passwort anmeldet (z. B. bei einem Webmail-Anbieter). Diese Methode ist fehleranfällig und unsicher, da die Mehrzahl der Benutzer unsichere Passwörter nutzt oder die Passwörter über eine unverschlüsselte, also unsichere Leitung geschickt werden.

Inhaltsverzeichnis

Anwender Software

Windows CardSpace (ehemals InfoCard) ist Bestandteil des Microsoft .NET Frameworks. CardSpace ist Microsofts Implementierung des Identitätsselektors und kann zur Authentifizierung und/oder Identifizierung gegenüber Webseiten und Webservices genutzt werden. Unter Windows Vista wird CardSpace mitgeliefert, bei Windows XP kann es nachträglich installiert werden, indem auf die letzte .NET Framework Version aktualisiert wird.

Für andere Betriebssysteme wie Apples Mac OS X oder Unix-Derivate gibt es Identitätsselektoren aus den openinfocard Projekt und aus dem Higgins Projekt. Novell generiert aus dem Higgins Id Selektor regelmäßig ihre eigene Version mit dem Name DigitalMe.

Anwendungsbereiche

CardSpace setzt auf die Analogie zu den Karten (EC-Karte, Mitgliedsausweis im Sportverein, …) im Geldbeutel. Windows CardSpace, wie man es unter Windows in den Systemeinstellungen findet, fungiert hier als Geldbeutel (Identity Provider) und ist die Sammlung der eigenen Karten. Möchte man sich nun auf einer Webseite anmelden, die CardSpace (im Open-Source-Bereich oft auch als Information Card bezeichnet) unterstützt, klickt man dort auf einen bestimmten Link und wird aufgefordert, eine der eigenen Karten auszuwählen und zu übermitteln. Ist der Vorgang erfolgreich und mit der übermittelten Karte alles in Ordnung, ist man nun auf der Website angemeldet, ohne ein Passwort eingetippt zu haben (hierbei muss angemerkt werden, dass CardSpace auch vorsieht, den eigenen Geldbeutel mit einem Passwort, Fingerabdruck oder einer Smartcard lokal auf dem eigenen Computer zu schützen).

Karten

Es gibt zwei verschiedene Arten von Karten:

Eine Karte besteht allgemein immer aus:

  1. einem eindeutigen Identifikator
  2. eigenen Informationen (Claims) wie etwa Postadresse
  3. einem PKI-Zertifikat für den lokalen Account (self-signed)
  4. einem Zertifikat, das von der CA der austellenden Instanz unterzeichnet ist

In den ersten Versionen von CardSpace konnte der Dienst nur mit SSL-Zertifikaten genutzt werden. Da aber Zertifikate für den privaten Gebrauch in Weblogs und Communitys eine zu große (oft auch wirtschaftlich) Hürde darstellt, ist es ab Version 3.5 nun möglich CardSpace auch ohne SSL-Zertifikat zu nutzen.[1]

Selbst ausgestellte Karten

Selbst ausgestellte Karten kann man, wie der Name schon sagt, sich selber ausstellen. Die selbst ausgestellten Karten enthalten einen festgelegten Satz von Attributen[2] (Claims genannt) wie z. B. (Vor- und Nachname, E-Mail-Adresse, Postanschrift,…).

Für die meisten Fälle reichen selbst ausgestellte Karten aus. Die Analogie zur Benutzername/Passwort-Kombination liegt auch hier nahe, da man sich diese meist auch frei wählt. In Firmen möchte man aber evtl. sicherstellen, dass nur Mitarbeiter Zugang zu bestimmten Bereichen haben, für diesen Fall gibt es die verwalteten Karten.

Verwaltete Karten

Verwaltete Karten können beliebige Attribute (Claims) enthalten. Diese legt die ausgebende Instanz (Identity Provider, z. B. eine Firma oder Behörde) fest. Beispielsweise kann eine Firma den Claim »Abteilung« festlegen, so dass nur die Personalabteilung auf den Bereich Bewerbungen innerhalb einer Firma Zugriff erhält. Auch denkbar wären Karten eines Staates, welche einem das Geburtsdatum und daraus abgeleitet das Alter des Besitzers versichern, so dass man z. B. Filme im Onlineshop ohne einen zusätzlichen Altersnachweis (vergleiche Postident-Verfahren) erbringen zu müssen bestellen könnte.

Alternative Identitätsselektoren

Einzelnachweise

  1. OutOfCoffeeException Blog Blogeintrag von Mathias Raacke, MS Senior Student Patner zum Thema CardSpace ohne SSL-Zertifikat
  2. Information Card Profile V1.0 Claims, Dezember 2006