Was macht ein scheinbar sicheres Altersnachweis im Netz?

Vorwort

Ich musste mir das ganze mal anschauen, was es so gibt, wie man ZKP einsetzen kann und was für schwächen es hat und wie man sie absichert. Ich gehe nicht besonders stark ins detail und ich habe es auch nur grob überflogen, daher ist das hier keine Sicherheitsüberprüfung (Audit), sondern eher eine Erklärung was ich weis und dazu noch meine Ehrliche Meinung dazu.

Was ist ein Null Wissen Beweis (Zero-Knowledge-Proof (ZKP))?

Ja das ist eigentlich schon wie der Name es sagt ein Beweis, der nur sagt, das ich etwas habe ohne zu sagen, was ich habe. Besser gesagt wenn ich ein Dokument, Text bzw. irgendwas habe, kann ich damit beweisen, das ich es habe und mehr nicht.

Sicherheit

ZKP alleine ist unsicher, nach dem was ich weiß. Ich habe zwar nur die Wikipedia dazu gelesen und weiß nicht ob es noch sicherere Verfahren gibt, als die, die in Wikipedia gelistet sind (ZKP Algorithmen), aber die die genannt wurden, sind UNSICHER.

Grund der Unsicherheit der ZKPs

Alleine sind sie ganz einfach durch ein sogenannten “Replay Angriff” angreifbar. Das ist grob übersetzt ein “Man in the Middle Observation” Angriff und ist genau das was es heist, ich muss nicht erklären was es bedeutet, wen ein Postbote (Mallroy) eine Postkarte von Alice und Bob Ließt wo dieser ZKP drauf ist etc. pp. aber man versucht es zu sichern. Mit noch mehr Kryptographie.

Ummantelung von ZKPs

Wir alle kennen VPN also ein Virtual Private Network. Das ist nichts anderes als ein Kryptographischer Tunnel, der ein Stream an daten weiter von Alice nach Bob hin und her schickt. VPN ist ein Tunnel. Es gibt aber auch Tunnel zwischen Anwendungen (Apps) wie Browser, Games, Messenger etc. pp. diese haben meist SSL/TLS und oben drein auch noch Ende zu Ende Verschlüsselung. Letzteres bietet ein sehr hohen schutz, den man 2013 breit in der öffntlichen Diskussion kennen lernen durfte, aber keine etwas damit anfangen konnte. Es gibt bei VPNs noch die sicherungsmethode IPs Abzusichern auf Netzwerkebene etc.pp.

Und?

Nur mal so zwischendurch. Kommt ihr noch mit bei dem Thema? Nein. Kein Problem, das Problem haben fast alle Menschen, die nicht so wie ich Vollblut IT Nerds sind und selbst ich steig da schon kaum noch durch. Ich habe zwar kein Informatik Studiert, aber versuch mal selbst als Studierter Informatiker einem 0815 Mensch zu erklären was ein System Sicher macht und was nicht. Daran scheitere ich regelmäßig und wir alle ITler sind am verzweifeln, normalen Menschen beizubringen wie man Sicher im Internet unterwegs ist.
Der Dunkle Parabelritter meinte immer mal zu Fragen, Warum man ihn immer Missversteht und man ihm immer Vorwirft, das er “um den Heißen Brei” reden würde. Das Problem haben wir ITler Tonnen weise. Wir verrennen uns ständig in irgendwelche Details und kapieren tut es eh keiner. Es ist zum verzweifeln.

Beispiele und etwas Ranting über diese Situation

Ein Beispiel. Wusstet ihr das ihr in euren Messengern ein Fingerprint eures Chatpartners Verifizieren könnt? Nein? Keine Sorge, das wissen die meisten nicht. Jemand meinte zu mir, “Hilfe ich wurde gehackt!” und ich kann nicht mehr viel tun, außer zu sagen: “Benutze ein Passwortmanager und so viel Zwei Faktor Authentifizierung wie möglich”. Ich bin daran verzweifelt, weil die Leute heute immer noch so was wie 123456 als Passwort oder so verwenden und wir wissen alle das es kein Sicheres Passwort ist. Ein sehr kleines Bischen besser ist, wenn sie anfangen sich immer wieder neue Passworter auszudenken. Aber dann verwenden sie überall das gleiche Dennnoch und wenn überhaupt fangen sie an es auf Papier irgendwo nieder zu schreiben. Ich meine, sicher, bei einem Passwort kann man es machen, aber bei 50 oder 100 verschiedenen Diensten? Hast du lust als Passwortgenerator Eingestellt zu werden? Nein? Kein Problem, das kann ein Computersystem ganz gut selbst übernehmen. Ein Passwortmanager Kann Passwörter Generieren. Diese brauchen Nur ein “Master Passwort”.

Aber keiner Hat kappiert, das es Sinnvoll ist das zu tun. Noch oben drein, weiß keiner wie wichtig es ist, das die URL jedesmal auf Korrektheit und Exaktheit überprüft werden muss. Sprich Zeichen für Zeichen Exakt. Ein Passwortmanager tut genau das, es Prüft die URL im Browser ob das PW überhaupt dazu Passt oder nicht.

Passkeys

Fido2/Passkeys macht das ganze von alleine, aber mit eventuell Begrenztem Speicher oder auch hier wieder Sicherheitsprobleme. Fido2 Hardware Sicherheits USB Token also USB Sticks die keine Daten speichern, sondern wie ein Schlüssel oder einer EC Karte ähnlich funktionieren um sich zu “Authentifizieren”, das man der ist, den man Vorgeben zu versuchen tut. Es ist eine Vollautomatisierte Passwortlose Möglichkeit sich im Internet zu einem Nutzernamen “Auszuweisen” jedoch nicht mit einem Perso, sondern mit eben diesem Stick oder einem TPM oder Secure Element. Nicht erschrecken, TPM und Secure Element sind praktisch nur ein Chip der in einem Gerät das selbe Tun soll, was dieser Stick auch tun soll. EC Karten haben das schon seit Ewickkeiten, daher dürftet ihr das Prinzip kennen ohne das ich großartig die Technik dahinter erklären muss. Aber die, die in Geräten drin sind, sind halt in den Geräten drin und das alleine ist schon ein Problem, da man hier direkt mit dem Hersteller Kooperieren muss etc. und das ist ja schon ein Problem von Viellerlei hinsicht beider bzw. aller die es Nutzen möchten.

Hardware die das kann

Fido2/Webauthn was in Passkeys mit drin ist, sind nur die USB Sticks, nicht die Passkeys, die jetzt überall in Passwortmanager oder auch Betriebssystemen integriert wurden und noch oben drein auch noch diese Passkeys in die Cloud geladen werden. Letzteres haben wir den Big Tech Firmen zu verdanken, das Fido2 was ja unknackbar ist, komplett ausgehebelt wurde und damit alle Zugangsdaten bei Big Tech Landet, die es über Betriebssysteme Passkeys verwenden. Da kann ich mich ja gleich diesen Ausliefern und mich Unterwerfen lassen.

Sprich benutzt bei Passkeys nur den Fido2/Webauthn teil und nicht den Teil des im Betriebssystem integrierten Teil. Fido2 ist zwar in Passkeys enthalten, aber letzteres wurde aus Menschlicher Faulheit sich um sicherheit zu kümmern ausgehebelt, damit die leute es wirklich nutzen, hat man gesagt, aber sie haben die Zugansdaten an sich genommen und sagen “Trust me Bro”. Benutzt bitte nur diese Fido2/Webauthn USB Sticks die jetzt auch Passkeys heißen, weil man sie neuerdings nicht mehr Fido2 Nennt. Es sind Physisch Getrennte Geräte, die wie ein USB Stick aus sehen. Das ist die Sicherste was man bekommen kann aktuell. Und noch was, wer “Trust me Bro” sagt, der hat das “Web of Trust” nicht verstanden. Letzteres beruht darauf, das man niemanden außer sich selbst Vertraut. Das gilt für jeden. Niemand kann ein “Trust me Bro” zu sagen wir 99% umsetzen, aber “Web Of Trust” kann es möglich machen, wenn man es richtig macht. Fido2 WebAuthn ist eine Möglichkeit den Autentifizierungsteil zu bewerkstelligen. Es macht zwar keine Verschlüsselung, aber zum Einloggen irgendwo ist es nahezu Perfekt.

Was ist jetzt mit ZKPs und der Ummantelung?

Kurz, es ist eine Art VPN oder besser gesagt ein SSL/TLS, also das was man im Browser oben in der Adresszeile als “https” kennt. Es ist nichts anderes als ein Tunnel in dem sich das ganze abspielen soll mit dem ganzen ZKP zeug, damit es auch Funktioniert. Im Browser seht ihr ja immer oben links neben der Adresszeile ein schönes Schildsymbol, welches dann auch ermöglicht zu prüfen ob SSL/TLS in ordung ist oder nicht.
Hier gehe ich jetzt auch nicht ins Detail, weil das zu weit führen würde und ich oben schon zu weit gegangen bin. Browser akzeptieren auch nichts mehr ohne SSL/TLS kram, also kein Thema mehr wie vor etwa 15 Jahren noch üblich war.

Problem mit ZKPs

ZKPs sind ja angreifbar. Sprich es muss komplett sichergestellt werden, das über der dazugehörigen App und der App wo man sich ZKPen möchte bzw. durch letzterem hindurch zum Dienst der ZKP braucht und zusätzlich von der Ersten App aus zum Trusted Third Party, was in dem fall der Staat sein soll, also eine Art Triangel in dem man selbst dazwischen ist muss ja abgesichert werden. Das alles ist innerhalb dessen wie ein Fortnox weil der ZKP an sich muss ja unter allen Umständen von Dritten oder auch einem Selbst gesichert werden. “Ich selbst?” Ja, es ist ähnlich wie mit DRM also Wie dieses Kopierschutz zeug, aber mit dem Perso, der dazwischen eingesetzt werden soll. Das ist eine Grob Vereinfachte Darstellung davon, aber im Prinzip ist es genau das.

Also wir wollen ja so gerne überall Kopierschutz haben oder? Ich weiß ja nicht, aber Kopierschutz ist ja auch zu einem guten Zweck entstanden, aber wir haben ja gesehen, was daraus gemacht wird. Wer sagt nicht, das es nicht bei einer Altersverifikation uns nicht nur um das Geldverlust geht, sondern um Verlust unseres Lebens? Soll ich jetzt jedes mal, leuten Erklären, “Es ist sicher”, wenn jedes mal neue Fälle auftauchen werden, in dem etwas schief geht. Nein kann ich nicht. Nur weil Kryptographie ein Geheimnis waren kann, kann es der Mensch noch nicht. Technik alleine ist nicht dazu in der lage. Kryptographie ist immer an der Stelle Angreifbar wo es entschlüsselt wird etc.pp. und das ist schon seit 2000 Jahren so, weil Julius Cäsar schon eine simple Buchstaben ersetzungs Tabelle verwendet hatte, was die Simpelste Kryptographie ist, die jeder mit einem Bleistift und Papier umsetzen kann, aber auch genauso leicht geknackt werden kann, nur das man etwas zeit zum nachdenken beim knacken braucht. Ähnlich ist es Bei Moderner Kryptographie, Knacken dauert länger als das Geheimnis zu kennen. Jedes Mal wenn wir dem Vertraut haben und uns in sicherheit gewogen haben, haben wir es bereut, weil wir immer ein Fehler gemacht haben, weil Angreifer nicht Faul sind, sondern immer wege suchen um uns zu hintergehen.

Es ist sogar gefährlich

Angenommen wir hätten diesen Nachweis, der ja so sicher ist wie Fort Knox oder so, warum sollten leute dazu animiert werden sich daran zu halten, wenn dieses System eventuell dazu führt, das wir:

1. Überall ständig ein Ausweis brauchen.
2. Es wahnsinnig Kompliziert sein könnte den Ausweis als Nutzer (Alice) zu haben und oder zu verwenden.
3. Es genauso Kompliziert ist als Betreiber (Bob) einfach zu erkennen ob jemand das Alter erreicht hat, wenn diese Systeme Viel Zeit und Geld in anspruch nehmen.
4. (Der Wichtigste Punkt) Ausweichverhalten von noch ausreichend regulierten Plattformen hin zu komplett unregulierten Plattformen, die sich an gar keine Gesetze mehr halten.
5. Unsere Demokratie auch darunter leidet, wenn wir viel zu starke einschränkungen bekommen und könnte sie sogar Zerstören.

Fazit

Wir haben andere Möglichkeiten als die Plattformen mit einer Bariere zu versehen und das ist nun mal den Plattformen das Leben Schwer machen. Algorithmen die uns alle Süchtig machen, weil wir ihnen durch unsere Daten beibringen wie wir Ticken in dem wir diese Plattformen Nutzen und sie deshalb uns genau das vorsetzen, was wir sehen wollen, sind immer Teil von den Plattformen mit Login Effekten sowie Werbung und Datensammelei.

Falls mir noch was einfällt schreibe ich es hier rein.