Der erste Teil dieser Reihe befasste sich damit, was die digitale Identität eigentlich ist und welche Anforderungen an die entsprechenden Dienste bestehen. Der zweite Teil stellt nun einige Lösungen vor, die eine sichere und einfache Authentifizierung ermöglichen. Dabei handelt es sich um die Systeme PKI und FIDO. Beide Alternativen erledigen diese Aufgabe mit hoher Zuverlässigkeit und verzichten auf die Verwendung von Passwörtern. Diese würden nicht nur die Sicherheit beeinträchtigen, sondern auch den Nutzungskomfort für die Anwender deutlich mindern.

 

PKI: personalisierte Hardware für die Identifizierung

Die Abkürzung PKI steht für Public/Private Key Infrastructure. Daraus geht bereits hervor, dass diese Methode zwei verschiedene Schlüsselpaare verwendet. Der Anwender verfügt über einen privaten Schlüssel, auf den nur er Zugriff hat. Darüber hinaus gibt es einen öffentlichen Schlüssel, auf den jede beliebige Person zugreifen kann. Der PKI-Anbieter erstellt das Schlüsselpaar und übermittelt es dem Nutzer auf einer personalisierten Hardware-Einheit – in der Regel auf einer Smartcard. Als Anbieter würden sich dafür insbesondere Banken eignen, da diese über ein gut gesichertes Rechenzentrum verfügen, die Identität ihrer Kunden ohnehin überprüfen müssen und außerdem über die notwendige Infrastruktur für die Herausgabe von Smartcards verfügen.

 

FIDO: offener Standard für die weltweite Authentifizierung

Obwohl PKI-Lösungen bereits seit mehr als 20 Jahren zugänglich sind, konnten sie sich bislang nicht durchsetzen. Insbesondere die Verwendung einer gesonderten Hardware schränkt dabei die Nutzerfreundlichkeit ein. Mittlerweile gibt es jedoch auch ein System, das ohne zusätzliche Hardware auskommt. Dieses trägt den Namen FIDO – Fast Identity Online. Die Entwicklung führt eine Non-Profit-Organisation durch, die von zahlreichen bekannten Technologiekonzernen unterstützt wird. Für die Authentifizierung ist hierbei weder ein Passwort noch eine zusätzliche Hardware erforderlich. Bei FIDO handelt es sich um einen offenen und lizenzfreien Standard.

 

So funktioniert FIDO

FIDO verwendet genau wie PKI ein Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel. Der wesentliche Unterschied besteht jedoch darin, dass bei FIDO keine zentrale Instanz für die Vergabe der Schlüssel zuständig ist. Daher muss dieser Schlüssel auch nicht mittels einer Smartcard oder eines anderen sicheren Containers übermittelt werden. Das macht die Anwendung deutlich einfacher. Das Schlüsselpaar entsteht direkt beim Anwender. Dazu kommt ein sogenannter FIDO-Authenticator zum Einsatz. Bei jeder Anmeldung zu einem Onlinedienst erstellt dieser ein neues Schlüsselpaar. Den privaten Schlüssel bewahrt er in einer sicheren Umgebung auf. Den öffentlichen Schlüssel sendet er an den entsprechenden Anbieter.

 

Zusätzliche Elemente für eine hohe Sicherheit

FIDO setzt beim Thema Sicherheit vorwiegend auf den Faktor Besitz. Das bedeutet, dass jede Person, die Zugang zum Authenticator hat, die Schlüssel verwenden kann. Dieses System macht es jedoch auch möglich, den Dienst mit weiteren Sicherheitsvorkehrungen zu verbinden. Voraussetzung hierfür ist, dass die Hardware die entsprechenden Methoden unterstützt. Dafür eignen sich insbesondere Smartphones. Hierbei ist es leistbar, den unbefugten Zugriff durch eine PIN, einen Fingerabdruck oder durch eine Gesichtserkennung zu unterbinden. Das verhindert, dass andere Personen den Authenticator verwenden.

FIDO – der neue Standard für die Authentifizierung?

FIDO ist ein recht neues System, das bisher nur wenige Anwender hat. Allerdings gibt es viele Faktoren, die dafür sprechen, dass es sich zum neuen Standard für die Authentifizierung entwickelt. Ein Grund hierfür besteht darin, dass das System im Vergleich zur Verwendung herkömmlicher Passwörter sowohl den Nutzungskomfort als auch die Sicherheit erhöht. Das führt wahrscheinlich zu einer hohen Akzeptanz bei den Anwendern. Darüber hinaus haben bereits viele Browser und Betriebssysteme Schnittstellen zu FIDO integriert. Schließlich hat das W3C-Konsortium vor Kurzem einen entsprechenden Authentifizierungsstandard verabschiedet und diesen als Candidate Recommendation veröffentlicht.

 

Lösung für die Feststellung der Identität erforderlich

FIDO ist bislang lediglich ein System für die Authentifizierung. Das bedeutet, dass ein bereits registrierter Nutzer einfach und sicher wiedererkannt werden kann. Allerdings ist es hierbei bislang nicht möglich, die Identität des Nutzers festzustellen. Daher handelt es sich bei FIDO noch nicht um eine digitale Identität. Hierfür wäre es im nächsten Schritt notwendig, die Authentifizierung über dieses System mit einem Identitätsanbieter zusammenzuführen. So wäre es realisierbar, die Identität einer Person zweifelsfrei über FIDO festzustellen.