Von vielen Seiten werden die Rufe nach Online-Alterskontrollen lauter. Forscher beäugen das Instrument im Auftrag der Grünen im EU-Parlament aber skeptisch.
Nachdem ich über deinen Vorschlag weiter nachgedacht habe, bin ich zu dem Schluss gekommen, dass dein Vorschlag unbrauchbar ist. Es beginnt mit den Tokens. Wenn die Tokens keine identifizierbaren Informationen enthalten sollen, dann muss die Tokengenerierung für alle Leute gleich sein. Dann kann die Generierung reverse-engineered werden, was nur dazu führt, dass Schüler auf dem Pausenhof jetzt Tokrngeneratoren tauschen.
Es geht weiter mit dem IdP. Wo sitzt der denn? Sitzt der beim Staat? Dann muss der Staat eine Datenbank vorhalten, mit denen er deine Anmeldedaten abgleichen kann. Diese Datenbank wird bestimmt auch überhaupt nicht gehackt oder geleaked.
Wenn der Perso wie ein YubiKey in Token ausstellt, dann brauch jeder Hardware, die mit dem Perso interagieren kann.
Wenn man eine App braucht, um mit einem digitalen Perso ein Token auszustellen, dann hat man sich das trojanische Pferd schon ins System geholt. Andernfalls, viel Glück dabei, den Staat davon zu überzeugen, deinen digitalen Perso in FOSS Apps ablegen zu können.
Die Verifizierung ist der nächste Knackpunkt. Wie will man denn jedwede Website, Software und App dazu bekommen, die deutschen Token vernünftig verarbeiten zu können? Die großen Spieler werden das vielleicht machen können, aber viele kleinere werden das nicht, und wenn die nicht in der EU sitzen, dann wollen die das vielleicht auch einfach nicht.
Und überhaupt, mit deinem Vorschlag nimmt man immer noch 83% der Bevölkerung in Bürgehaft zu beweisen, dass sie volljährig sind, um 17% der Bevölkerung zu schützen.
Wenn man Contentprovider dazu anhält den eigenen content zu taggen, dann geht das schon mit einer simplen Erweiterung des HTML Headers, bzw. einer Flag in der Software. Für Contentprovider wäre die Lösung sehr einfach umzusetzen, universell und ohne Nachteile.
Das Filtern findet dann Client Side statt, wie es viele Jugendschutzprogramme bereits versuchen.
Wenn die Tokens keine identifizierbaren Informationen enthalten sollen, dann muss die Tokengenerierung für alle Leute gleich sein. Dann kann die Generierung reverse-engineered werden, was nur dazu führt, dass Schüler auf dem Pausenhof jetzt Tokrngeneratoren tauschen.
Nicht korrekt. Die Tokens sind durch den IdP signiert. Niemand ausser des IdP kann eine solche Signatur erstellen.
Es geht weiter mit dem IdP. Wo sitzt der denn? Sitzt der beim Staat? Dann muss der Staat eine Datenbank vorhalten, mit denen er deine Anmeldedaten abgleichen kann. Diese Datenbank wird bestimmt auch überhaupt nicht gehackt oder geleaked.
Auch nicht. Es reicht, dass dir ein Zertifikat ausgestellt wird, mit welchem du dich beim IdP anmeldest. Das enthält eine Zufallsnummer, die dich mit deinen Daten verbindet. Knackt jemand den IdP, bekommt er nur Nummern in Verbindung mit Geburtstagen.
Die Verifizierung ist der nächste Knackpunkt. Wie will man denn jedwede Website, Software und App dazu bekommen, die deutschen Token vernünftig verarbeiten zu können? Die großen Spieler werden das vielleicht machen können, aber viele kleinere werden das nicht, und wenn die nicht in der EU sitzen, dann wollen die das vielleicht auch einfach nicht.
Gesetze müssen befolgt werden. Auf technischer Ebene könnte man OIDC und JWT oder PASETO nehmen, dafür gibts fix fertige Libraries, das ist trivial und bereits heute weit verbreitet.
Und überhaupt, mit deinem Vorschlag nimmt man immer noch 83% der Bevölkerung in Bürgehaft zu beweisen, dass sie volljährig sind, um 17% der Bevölkerung zu schützen.
Ich mache keine Aussagen darüber ob es eine gute Idee ist, nur dass es leicht zu implementieren ist ohne dass du einem Pornhub Mitarbeiter deinen Ausweis zeigen musst.
Es reicht, dass dir ein Zertifikat ausgestellt wird, mit welchem du dich beim IdP anmeldest. Das enthält eine Zufallsnummer, die dich mit deinen Daten verbindet. Knackt jemand den IdP, bekommt er nur Nummern in Verbindung mit Geburtstagen.
Und dann leaken die Zufallsnummern, die Allen anderen dann erlauben, sich Tokens zu generieren, was uns dann wieder zu Schülern bringt, die auf dem Pausenhof Authentifizierungstokens tauschen.
Gesetze müssen befolgt werden. Auf technischer Ebene könnte man OIDC und JWT oder PASETO nehmen, dafür gibts fix fertige Libraries, das ist trivial und bereits heute weit verbreitet.
Gesetze befolgen ist bei so manchem Service im Internet optional. Die Großen werden damit kein Problem haben, aber viele kleine Blogs und dergleichen werden das entweder nicht umsetzen können oder wollen. Eine Token-basierte Authentifizierungsinfrastruktur aufzubauen ist außerdem weitaus aufwändiger, als Webseiten dazu zu verdonnern, sich mit tags vernünftig zu flaggen. Und wie gesagt, Jugendschutzprogramme gibt es schon zu Hauf, ob die jetzt eine urlin ihrer Whitelist suchen oder den Header nach tags crawlen wird für die sehr wenig unterschied machen.
Und dann leaken die Zufallsnummern, die Allen anderen dann erlauben, sich Tokens zu generieren, was uns dann wieder zu Schülern bringt, die auf dem Pausenhof Authentifizierungstokens tauschen.
Nein. Die Signatur wird durch private Schlüssel erstellt, nicht durch die Nummer im Zertifikat. Der private Schlüssel wird in einem HSM gespeichert.
Gesetze befolgen ist bei so manchem Service im Internet optional.
Fälschungsfreie Tokengenerierung ohne online IdP ist möglich. Unsere EID hat das ja schon gezeigt, der Client ist OpenSource und durch offene Standarts ist die Verifikation auch nicht zu schwer.
Das größte Problem ist der komplexe Prozess, sich als ServiceProvider freischalten zu lassen.
Ok, und zugegeben, man braucht passende Hardware (wie ein NFC Handy).
Ein anderes, interessanntes Konzept ist U-Prove.
Das hab ich leider noch nie im realen Einsatz gesehen.
Die Frage nach Verhältnismäßigkeit solcher Maßnahmen ist jedenfalls durchaus berechtigt.
Fälschungsfreie Tokengenerierung ohne online IdP ist möglich. Unsere EID hat das ja schon gezeigt, der Client ist OpenSource und durch offene Standarts ist die Verifikation auch nicht zu schwer.
Aber ist das Ganze dann anonymisiert oder pseudonymisiert?
Nachdem ich über deinen Vorschlag weiter nachgedacht habe, bin ich zu dem Schluss gekommen, dass dein Vorschlag unbrauchbar ist. Es beginnt mit den Tokens. Wenn die Tokens keine identifizierbaren Informationen enthalten sollen, dann muss die Tokengenerierung für alle Leute gleich sein. Dann kann die Generierung reverse-engineered werden, was nur dazu führt, dass Schüler auf dem Pausenhof jetzt Tokrngeneratoren tauschen.
Es geht weiter mit dem IdP. Wo sitzt der denn? Sitzt der beim Staat? Dann muss der Staat eine Datenbank vorhalten, mit denen er deine Anmeldedaten abgleichen kann. Diese Datenbank wird bestimmt auch überhaupt nicht gehackt oder geleaked.
Wenn der Perso wie ein YubiKey in Token ausstellt, dann brauch jeder Hardware, die mit dem Perso interagieren kann.
Wenn man eine App braucht, um mit einem digitalen Perso ein Token auszustellen, dann hat man sich das trojanische Pferd schon ins System geholt. Andernfalls, viel Glück dabei, den Staat davon zu überzeugen, deinen digitalen Perso in FOSS Apps ablegen zu können.
Die Verifizierung ist der nächste Knackpunkt. Wie will man denn jedwede Website, Software und App dazu bekommen, die deutschen Token vernünftig verarbeiten zu können? Die großen Spieler werden das vielleicht machen können, aber viele kleinere werden das nicht, und wenn die nicht in der EU sitzen, dann wollen die das vielleicht auch einfach nicht.
Und überhaupt, mit deinem Vorschlag nimmt man immer noch 83% der Bevölkerung in Bürgehaft zu beweisen, dass sie volljährig sind, um 17% der Bevölkerung zu schützen.
Wenn man Contentprovider dazu anhält den eigenen content zu taggen, dann geht das schon mit einer simplen Erweiterung des HTML Headers, bzw. einer Flag in der Software. Für Contentprovider wäre die Lösung sehr einfach umzusetzen, universell und ohne Nachteile.
Das Filtern findet dann Client Side statt, wie es viele Jugendschutzprogramme bereits versuchen.
Nicht korrekt. Die Tokens sind durch den IdP signiert. Niemand ausser des IdP kann eine solche Signatur erstellen.
https://en.m.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm
Auch nicht. Es reicht, dass dir ein Zertifikat ausgestellt wird, mit welchem du dich beim IdP anmeldest. Das enthält eine Zufallsnummer, die dich mit deinen Daten verbindet. Knackt jemand den IdP, bekommt er nur Nummern in Verbindung mit Geburtstagen.
Gesetze müssen befolgt werden. Auf technischer Ebene könnte man OIDC und JWT oder PASETO nehmen, dafür gibts fix fertige Libraries, das ist trivial und bereits heute weit verbreitet.
Ich mache keine Aussagen darüber ob es eine gute Idee ist, nur dass es leicht zu implementieren ist ohne dass du einem Pornhub Mitarbeiter deinen Ausweis zeigen musst.
Und dann leaken die Zufallsnummern, die Allen anderen dann erlauben, sich Tokens zu generieren, was uns dann wieder zu Schülern bringt, die auf dem Pausenhof Authentifizierungstokens tauschen.
Gesetze befolgen ist bei so manchem Service im Internet optional. Die Großen werden damit kein Problem haben, aber viele kleine Blogs und dergleichen werden das entweder nicht umsetzen können oder wollen. Eine Token-basierte Authentifizierungsinfrastruktur aufzubauen ist außerdem weitaus aufwändiger, als Webseiten dazu zu verdonnern, sich mit tags vernünftig zu flaggen. Und wie gesagt, Jugendschutzprogramme gibt es schon zu Hauf, ob die jetzt eine urlin ihrer Whitelist suchen oder den Header nach tags crawlen wird für die sehr wenig unterschied machen.
Nein. Die Signatur wird durch private Schlüssel erstellt, nicht durch die Nummer im Zertifikat. Der private Schlüssel wird in einem HSM gespeichert.
Natürlich, aber das ist eine andere Diskussion.
Fälschungsfreie Tokengenerierung ohne online IdP ist möglich. Unsere EID hat das ja schon gezeigt, der Client ist OpenSource und durch offene Standarts ist die Verifikation auch nicht zu schwer.
Das größte Problem ist der komplexe Prozess, sich als ServiceProvider freischalten zu lassen.
Ok, und zugegeben, man braucht passende Hardware (wie ein NFC Handy).
Ein anderes, interessanntes Konzept ist U-Prove. Das hab ich leider noch nie im realen Einsatz gesehen.
Die Frage nach Verhältnismäßigkeit solcher Maßnahmen ist jedenfalls durchaus berechtigt.
Aber ist das Ganze dann anonymisiert oder pseudonymisiert?
Ich bin nicht tief genug in der Spezifikation drin, um das zu bewerten. Müsste man mal nachlesen.
Dass sowas nicht unmöglich ist, hat U-Prove gezeigt.