WebID: Coole Technik fürs einheitliche Login
Ich stoße auf ein neues Webservice/Forum/… Was muß ich üblicherweise tun, um teilzunehmen? Benutzername und Passwort festlegen, immer die gleichen Daten einpflegen (Name, Mail-Adresse, Homepage, …), vielleicht ein Foto hochladen … Es ist immer der gleich langweile Vorgang. Am Ende hab ich dann einen Account auf einer Seite, die ich nach zwei Wochen nie mehr wieder benutze.
Es gibt verschiedenste Versuche, diese unnötigen Eingaben überflüssig zu machen. Die dümmste und gefährlichste Variante ist, sich mit existierenden Facebook- oder Google-Accounts auf fremden Seiten einzuloggen. Viel besser, weitgehend etabliert und ausreichend offen dagegen ist OpenID. Dabei handelt es sich um ein dezentral angelegtes Protokoll. Ich kann mir einen beliebigen OpenID-Provider aussuchen, mich dort registrieren und von da an auf jeder OpenID-kompatiblen Seite mit immer den gleichen Daten einloggen, ohne mich dort nochmal extra registrieren zu müssen. Das ist die Technik, die ich selbst derzeit am häufigsten verwende.
Gerade entdecke ich eine weitere Alternative, an der zwar noch gebastelt wird, die aber aus meiner Sicht sehr spannend wirkt: WebID. Das System funktioniert auf Basis etablierter Standards wie TLS, X.509-Zertifikaten und RDF. Im Prinzip liegt die ganze Standard-Information über mich in einem RDF-Dokument, das das FOAF-Vokabular benutzt. Zusätzlich enthält dieses Dokument den öffentlichen Schlüssel eines Zertifikats, das ich in meinem Browser abgelegt habe. Wenn ich mich nun erstmals auf einer mir bisher unbekannten Seite einlogge, verlangt die von mir ein Zertifikat (das ich über ein Drop-Down im Browser auswähle). Im Zertifikat hinterlegt ist die Adresse des WebID-Dokuments, das meinen Namen, mein Foto und andere Informationen enthalten kann. Paßt der öffentliche Schlüssel im WebID-Dokument zu dem Zertifikat, mit dem sich mein Browser gerade identifiziert hat, dann wird mein Login akzeptiert und ich habe ohne jeden Aufwand ein neues Profil angelegt.
Natürlich geht niemand davon aus, daß Leute (so wie ich gestern) ein Zertifikat auf der Kommandozeile erstellen und das dazugehörige RDF-Dokument per Hand editieren und hochladen. Der Normalfall wird sein, daß ein Webservice, das WebID unterstützt, Zertifikatsgenerierung und Anlegen eines WebID-Dokuments für bestehende User automatisiert. Daß ich aber auch meine eigene, handgestrickte WebID verwenden kann, ist eine durchaus feine Sache: Ich mag Technologien, die ich auch ganz auf mich allein gestellt und unabhängig von irgendeinem Drittanbieter nutzen kann. WebID scheint so etwas zu sein. Simpel und effizient. (Einziger Nachteil, wie bei allem, was auf Verschlüsselung beruht: Irgendwie muß man einen Weg finden, das WebID-Zertifikat bei sich zu tragen. Sonst klappts nicht mit dem Login im Internet-Café.)
Tips zum Ausprobieren: Dieses Script hilft beim Erstellen eines Zertifikats mit OpenSSL; MyProfile ist ein experimentelles Service, bei dem man sich mit WebID einloggen kann.
Thanks for writing about MyProfile! :)
Would it be possible to update the link from http://webid.fcns.eu to https://my-profile.eu/ ? Since the old domain is just a redirect, users always get a warning for the server certificate not matching the domain.
Regarding the portability of client certificates, there's already a solution proposed by the German Privacy Foundation, the Crypto Stick. www.crypto-stick.org
Link changed. Thank you for the hint. (I got irritated by the certificate warning myself. *gg*)
Re the portable crypto stick: Wouldn't that be GnuPG/OpenPGP rather than X.509 then? I read somewhere that this doesn't really matter for WebID in principle, but in practice? Questions, questions, …
WebID:
