OpenID für Anfänger - MRMCD

OpenID für Anfänger heißt:keine Vorkenntnisse notwendig!

Aber: Ihr seid doch eintechnisch versiertes Publikum?

Lukas Leander Rosenstock, B.Sc.Orwell'scher-Jahrgang ;-)

Student, Informatik, TU Darmstadt

Offizieller Vertreter derOpenID Foundation

in Deutschland

Aber ich ...

... werde nicht bezahlt!... will euch nichts verkaufen!

... suche konstruktive,kritische Auseinandersetzung

mit der Thematik!

Was ist OpenID?

Vorführeffekt ...

Scheinbar noch Probleme.

Warum sollten wir unstrotzdem damit beschäftigen?

Weil es die auch tun?!

Unabhängig vom Browser/PC:Überall benutzbar.

„Facebook, MySpace, AOL, Yahoo, Twitter, Googlemail. Jeden Tag loggen wir uns auf irgendwelchen Internetseiten ein, müssen jedes

Mal unseren Benutzernamen und unser Kennwort eintippen. OpenID soll das jetzt ändern: Mit einem Passwort für alle Seiten.“

Netzstrom, Bayerischer Rundfunk, 01.08.2008

OpenID ist kein Passwortmanager!

URL-basierte Identität:

Ich bin lukas.myopenid.com!

Kann ich das beweisen?

End User/Client

Identity-URL Identity Provider(IdP)

Relying Party(RP)

wants to identifyhimself

owns

points to

confirms identity

End User/Client

Identity-URL Identity Provider(IdP)

Relying Party(RP)

wants to identifyhimself

owns

points to

confirms identity

X-XRDS-Location: http://lukas.myopenid.com/lukas

...

<?xml version="1.0" encoding="UTF-8"?><xrds:XRDS xmlns:xrds="xri://$xrds" xmlns:openid= "http://openid.net/xmlns/1.0" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service priority="0"> <Type>http://specs.openid.net/auth/2.0/signon</Type> <Type>http://openid.net/sreg/1.0</Type> <Type>http://openid.net/extensions/sreg/1.1</Type> <Type>http://openid.net/srv/ax/1.0</Type> <URI>http://www.myopenid.com/server</URI> <LocalID>http://lukas.myopenid.com/</LocalID> </Service> </Service> </XRD></xrds:XRDS>

End User/Client

Identity-URL Identity Provider(IdP)

Relying Party(RP)

(1) asks for IdP(discovery)

(3) sendsredirectionto IdP

(2) gets ahandleissued(association)[if not yet done]]

End User/Client

Identity Provider(IdP)

Relying Party(RP)

(1) session, cookie, password, clientcertificate, trustsetting (eitherautomatically ofinteractive)

(3) redirection

(2) sendsredirectionto the RPwith signature(SHA1-HMAC)

(4) signature validation

OpenID ist dezentral.

Jeder kann Provideroder Relying Party werden.

“Nobody should own this. Nobody’s planning on making any money from this. The goal is to release every part of this under

the most liberal licenses possible, so there’s no money or licensing or registering required to play. It benefits the

community as a whole if something like this exists, and we’re all a part of the community.”

Brad Fitzpatrick (Founder of LiveJournal weblogcommunity and father of OpenID)

„OpenID is not a trust system!“

Jeder Provider entscheidet selbst,ob und wie er die Identität seiner

Nutzer überprüft.

Jede Relying Party entscheidet selbst,welchen Providern sie vertraut.

Eigentlich sollte sie dasdem Nutzer überlassen ...

Jeder Nutzer entscheidet selbst,bei welchem Provider er eine OpenID

registriert, wie viele er verwendetund wofür er sie verwendet.

Ein OpenID-Provider istwie eine Bank

für unsere Identitätim Internet.

Ist OpenID sicher?

Privatsphäre:

Mein OpenID-Provider weiß genau, aufwelchen Seiten ich mich wann einlogge.

Gegenargument:

Mein ISP, E-Mail-Provider etc.können das auch ...

Kein OpenID-spezifisches Problem.

Ich kann selbst Provider werden.

Single Point Of Failure:

Fällt mein OpenID-Provider aus,kann ich mich nirgends einloggen.

Gegenargument:

Fallback-Lösung mit zweitem Provider :-(

(2 OpenIDs immer noch besser als20 andere Accounts.)

OpenID 3.0 ...

Single Point Of Failure II:

Hat jemand Zugang zu meinerOpenID, hat er überall

bei mir Zugang.

Gegenargument:

OpenID-Provider sind Banken:Sicherere Methoden als Passwörter!

(Client-Zertifikate, USB-Sticks, Biometrie)

Phishing:

Böswillige Relying Party schicktmich zu „Fake“-Provider und

erfährt meinen Provider-Zugang.

Gegenargument:

Nochmal:Sicherere Methoden als Passwörter!

Spezieller Phishing-Schutz im Browser

Angriffe auf DNS/OpenID URL:

OpenID-URL wird manipuliert,so dass sie auf falschen Provider

zeigt.

Gegenargument:

Server schützen!SSL

DNSSEC ?!

Gibt es Alternativen?

Client-basierte Lösungen:SSL-Client-Zertifikate

Infocard (Microsoft Cardspace)

„Do something with OpenIDyou can only do with OpenID!“

Jede OpenID ist eine Website:Profil des Nutzers, Homepage etc.

Dezentrale Zugangskontrolle:

Datenfreigabe für OpenIDsKein eigenes Nutzermanagement

Kein manueller Schlüsselaustausch

Dezentrale soziale Netzwerke:

Geschützte Bereiche auf meiner HomepageAustausch von Profildaten über OpenID

Erweiterung mit anderen ProtokollenMicroformats

„Netz von Webseiten“FOAF/Semantic Web

Darüber reden wir morgen!!!

Vielen Dank füreure Aufmerksamkeit!