[Openstandaarden] nieuws van het front (over hotmail etc.)
Peter Vandenabeele
peter.vandenabeele at mind.be
Mon Jan 31 16:17:59 CET 2005
On Mon, Jan 31, 2005 at 01:23:46PM +0100, cobaco (aka Bart Cornelis) wrote:
> On Monday 31 January 2005 11:19, Peter Vandenabeele wrote:
> > * leeftijd van de deelnemer
> > * een "MD5" van de ID van de andere partij
> >
> > Dit laat je toe:
> >
> > * te weten als je niet met een volwassene te doen hebt die zich om
> > verkeerde redenen als jongere uitgeeft
> > * te garanderen dat je telkens met _dezelfde_ persoon spreekt
> > (maar je weet niet exact met wie)
> weet je dan nog niet:
> wat zegt je dat de persoon niet net even weg is, of vergeet uit te loggen en
> iemand anders dan iets stuurt zich voordoende als die persoon?
Je hebt volledig gelijk. Maar het geeft toch wel een serieuze hint.
Als het correct is geimplementeerd, is het toch niet triviaal om een
correct geauthenticeerde sessie over te nemen zonder in de buurt te
komen.
Anderzijds, ik wil ook niet stellen dat dit de enige en beste
oplosing is voor mijn probleem dat hotmail/msn nu een de facto
monopolie op online identiteit aan het krijgen is bij veel mensen.
Dat monopolie vervangen door een monopolie of verplichting
om alles via eID te doen (in de zin van die chip in je ID kaart),
is niet beter. Maar het kan een interessante _optie_ zijn om als
startpunt te gebruiken voor een betere, optionele authenticatie.
Het mag zeker geen universele verplichting zijn, want het moet
ook mogelijk blijven om perfect anoniem te kunnen blijven.
> Als ik kijk naar de situatie bij mijn ouders thuis heb je 1 (XP) systeem
> waar iedereen een account waarop geen wachtwoord ingesteld is. Die computer
> staat dikwijls de hele dag aan met iedereen aangemeld, met z'n mail
> (gelukkig geen hotmail) en msn open. Idem bij mijn oom.
>
> -> je weet enkel dat het van een bepaalde account komt, wie er fysiek aan de
> pc zit weet je nog steeds niet.
Inderdaad, maar als bewezen kan worden dat er vanop die PC iets
verkeerd is gebeurd, is er toch al een serieuze hint.
> Het is zowieso een 'oplossing' die enkel 'werkt':
> 1) voor belgen. -> dus geen chat met buitenlandse vriendjes die op vakantie
> ontmoet zijn? (i.e. gooi het globale en interculture aspect van Internet
> maar weg)
Behalve als die ook ooit een soort eID krijgen (hoeft niet noodzakelijk
hetzelfde te zijn, als het maar open is). Misschien lost het idee
hieronder [1] dit op ?
> 2) voor kinderen ouder dan 12 (dat was wanneer ze dat eid ding kregen niet?)
Idd. Misschien ook met het idee [1] op te lossen ?
> 3) in chatrooms die eid ondersteunen (gegarandeert enkel een kleine
> minderheid), of hoe dacht je kinderen tegen te houden naar een random
> website met chatbox te gaan?
Kan je niet technologisch. Maar je kan wel je kids vragen om alleen
met ernstig geauthenticeerde personen te spreken of alleen in. En
hiermee geef je hen een extra middel om dat te verifieren.
De analogie met Caller ID op gsm lijkt me redelijk accuraat. Het blijft
optioneel, maar het geeft wel meer vetrouwen in de andere kant als je
dat wil. Maar dan moeten ze niet software gaan bouwen (a la DRM) die
alleen maar werkt als je een harde authenticatie van de andere kant
hebt.
> 4) wanneer kinderen dat eid lezertje bij zich hebben (en het dus niet
> stuk/verloren/vergeten is) EN ze de moeite doen het uit te halen, aan te
> koppelen (wat dikwijls wil zeggen onder tafel kruipen zodat je bij de
> juiste aansluitpoort komt, inhoud dat ze moeten weten welk poortje ze het
> moeten aansluiten [1])
Die lezers verdeeld krijgen, is inderdaad niet simpel en te beperkend.
Het is deze opmerking die mijn idee [1] heeft getriggered.
> 5) kinderen nooit hun account open laten staan (iets wat de meeste mensen in
> mijn ervaring juist wel doen)
Doen ze wel (net vooral de kids en minder ervaren personen). Maar zoals
hierboven vermeld, vormt het toch wel een extra belemmering voor
verkeerd gebruik.
> -> het is absoluut niet waterdicht, duur (hoeveel kost het om alle kinderen
> zo'n dingetje te geven, + vervangingen wanneer dit stuk gaat/verloren
> wordt), en onnodig restrictief (zie 1,2 hierboven)
>
> Wie was het ook al weer die zei dat:
> "there is never a good technical solution to a social problem"
>
> Een "sociale" oplossing is veel effectiever, m.a.w. net zoals je kinderen
> aanleert dat ze niet met vreemden in de auto stappen dien je ze aan te
> leren dat:
> 1) je _nooit_ een 'Real Life' ontmoeting regelt met online kennis zonder dat
> je ouders hiervan op de hoogte zijn.
> 2) je _nooit_ adres/telefoon/foto... doorgeeft online
Wel, ik vermoed dat een flink pak mensen, naast de sociale oplossingen
die evident nodig zijn, toch geinteresseerd zullen zijn in een systeem
dat garandeerdt dat:
* de online ID steeds met dezelfde persoon gekoppeld is
* je een indicatie kan hebben van de leeftijd van die persoon
maar dan ook weer zonder een volledig M$ of staatscontrole erop
te organizeren. Maar die indicatie van leeftijd vereist uiteindelijk
wel ergens een koppeling met een "officiele" registratie of een
peer-to-peer controle systeem zoals met key-rings. En als het te
rigoureus is, kom je weer in de problemen die je hierboven beschrijft
en een te strikte controle op identiteit.
Niet makkelijk ...
Mijn idee [1]: OpenID
=====================
Ik luister met interesse naar de fouten die hier weer kunnen
inzitten ... Dit is evident niet voor alle gevallen bruikbaar,
maar het lijkt me toch al een minder slechte implementatie dan
eenvoudigweg de eID direct laten gebruiken voor alle chat
communicatie door kids (niet erg haalbaar, zoals hierboven
duidelijk is geworden).
Gebruik een systeem van key-rings, die je op bepaalde plaatsen gaat
seeden met eID's, of je kan het ook second level CA's noemen.
* dus, ik (40 jaar) heb een door de Belgische staat gecertifieerde
eID (nog niet, maar dat komt), en ben bereid om een certificaat te
tekenen voor mijn 6 kids dat hun leeftijdsgroep vermeldt (dat
ze in de loop van 2005 nog minder dan 16 jaar of 18 jaar zijn
is al genoeg om een "kids-only" chat-room te maken), samen met hun
nick. Dus in dat certificaat zit:
* nick (bijv. "koekje-1003835")
* leeftijd (bijv. "< 16 jaar")
* relatie van de uitgever van het certificaat tot het subject
(bijv. "{ouder|groutouder|voogd|broer/zus} van")
* mijn volledige naam en leeftijdsgroep en mijn
volgnummer in het OpenID systeem
(volgnummer dient om een lokale name space te genereren)
(bijv. "Peter Vandenabeele", "> 18 jaar", "1003835")
* een checksum die ik met mijn eID getekend heb
* mijn certificaat (of een pointer ernaartoe),
getekend door de Belgische staat
Daar zijn kids tussen die minder dan 12 zijn, maar het is
mijn keuze om hun al dan niet een OpenID te geven. Het certificaat
vermeldt uiteraard niet hun echte naam etc. (dus al veel veiliger
dan xxx_vanxxx#@hotmail.com)
* dat certificaat is publiek beschikbaar, maar bevat geen verdere
informatie over mijn kids. De correctheid wordt niet gegarandeerd
door de server die de certificaten verdeeld (daar kunnen er veel
parallelle van zijn en die kunnen niet veel fout doen als het root
certificate van de Belgische staat bekend is). De correctheid
wordt wel gegarandeerd door de het feit dat alleen iemand met een
echt eID dit kon tekenen.
* Ik heb er geen probleem mee dat _mijn_ identiteit bekend is. Ik
sta dus "garant" voor de accuraatheid van die info en als er
vanop die nicks iets fishy gebeurt, zullen ze het wel aan mij
komen vragen (dus mijn kids zullen wel snugger genoeg zijn om
acties die het daglicht schuwen niet met die gecertifieerde
nicks te doen).
* de kids hebben zelf "ergens" op 1 of enkele plaatsen een
private key die hen toelaat om zich te authenticeren. Vermits
deze key maar een beperkte juridische waarde heeft, is het
voor deze 2e orde key _wel_ acceptabel om die op een
centrale authenticatie server geencrypteerd op te slaan.
Hiermee los je het probleem op dat je altijd die eID moet
meehebben en het voor kids veel te lastig is om die bij te
houden.
* Als die authenticatie servers https gebruiken en je daarover
met een eerste paswoord je encrypted private key gaat
downloaden, die je dan met een lokaal paswoord decrypteert en
beschikbaar stelt om authenticatie te doen om je bijv. op
een "OpenID only" chat room aan te melden, dan concentreert
de noodzaak aan beveiliging zich hoofdzakelijk in de client
die het paswoord van de gebruiker ontvangt, de encrypted
private key daarmee gaat decrypteren en zich hiermee aanmeldt
op de "OpenID only" chat ruimte.
Dit is niet perfect veilig tegen een fishing attack, maar ja,
het is al minstens even goed als gewoon inloggen op een hotmail
server.
Alternatieven zijn:
* de private keys versleuteld op de systemen zetten die de
kids gebruiken
* toch weer zelf deze keys op een smart card gaan zetten ??
* Als ik het goed begrijp, is dit helemaal met Open Source SW
te implementeren (er is geen nood voor secrecy in de
implementatie in software).
Er is ook geen strikte nood aan een "centrale" authenticatie
server. Je kan voor het gemak een aantal authenticatie servers
opzetten, maar je zou de sleutel net zogoed gewoon prive kunnen
bewaren.
De beheerder van zo'n centrale authenticatie server heeft niet
de harde verantwoordelijkheid over de identiteit van zo'n OpenID,
want ze zijn nog altijd encrypted.
Dus het lost wel mijn probleem op dat M$ of eender welke
organisatie (commercieel, vzw of de staat) een "centraal
punt van authenticatie moet zijn" (naast natuurlijk eID
dat nu wel al bestaat).
* het universele probleem is dat als de client gecompromiteerd
is, dan de hele security in het water valt. Maar dat valt met
Linux en Open Source nog redelijk mee.
* dit model vertoont een sterke parallel met de trust associatie
die ouders nu ook gebruiken. "Als je met enkele vrienden van je
klas gaat en als het van de ouders van je vriendje mag, dan mag
je van mij ook naar die fuif ..."
* je kan dit natuurlijk ook zonder eID in een gesloten groep
implementeren, door bijv. alle ouders van een school een
certificaat te geven, maar dan moet die school weer CA gaan
spelen en ook nog geassocieerd worden met alle "OpenID only"
chat rooms. Je kan ook een klassieke, niet hierarchische
key-ring gebruiken, maar dan moet je ook al die associaties
gaan bouwen.
* Als eID er is (voor volwassenen), is het IMHO redelijk
realistisch om op die manier de trust voor net voldoende
informatie (leeftijdsgroep en online identiteit (nick))
via eID op te bouwen.
Als je dan echt iets wil doen waarbij je op een technische manier
een sociaal probleem wil oplossen, lijkt deze aanpak al veel
minder verregaand en praktischer dan alle kids een originele
eID geven en erop rekenen dat ze die ook zullen gebruiken om
te chatten.
Door hier een optioneel systeem met alleen maar nicks en
leeftijdscategorieeen in te voeren, wordt het misschien wel
werkbaar ?
> > * als er echt strafbare feiten gepleegd worden, heb je toch een
> > "nummerplaat" die je in je klacht kan vermelden.
> hm, welke strafbare feiten worden er _in_de_chat_ gepleegd?
Wel, het opzettelijk aannemen van een valse identiteit met de
bedoeling jongeren te benaderen voor het plegen van strafbare feiten,
lijkt me toch wel over de schreef (maar mischien is pas het plegen van
die feiten strafbaar en niet het proberen te ronselen van jongeren
onder een valse identiteit). Ik vraag dit uit nieuwsgierigheid eens
na.
> Is op z'n hoogst
> goed om eens de feiten gepleegd zijn (en vooropgesteld dat het kind een log
> van conversaties bewaart heeft) de gebruikte account gebruikt van een
> verdachte te achterhalen (iets dat uiteindlijk relatief los staat van
> plaats en zelfs persoon)
Als je de policy opstelt dat de kids een log moeten bewaren van de
contacten en/of alleen op "OpenID only" chat rooms komen, dan heb je
dit toch al als uitgangspunt.
HTH,
Peter
More information about the Openstandaarden
mailing list