Windows CardSpace und das Projekt Geneva

In der Systemsteuerung kann man unter „Windows CardSpace“ mit wenigen Schritten eigene Karten anlegen, entweder jedes Mal von vorne oder durch Duplikation und Änderung einer der vorhergehenden. Diese nur vom Benutzer selbst beglaubigten, so genannten „Persönlichen Karten“ sind nicht viel wert – am ehesten lassen sie sich noch zum automatischen Ausfüllen von Web-Formularen benutzen, etwa bei der Registrierung für ein Diskussionsforum.

Der Unterschied zum Ausfüllen per Hand ist, dass die entsprechende Karte registriert, wenn sie verwendet wird, und diese Information speichert. Die persönlichen Karten enthalten – wie es ihr Name sagt – persönliche Informationen, also Namen, Adressen, Mail-Adressen, Telefonnummern, Geburtsdatum usw. Sicherheitsrelevante Informationen enthalten sie nicht und können sie auch nicht erhalten, da die Möglichkeit fehlt, benutzerdefinierte Felder und damit eigene Attribute auf einer Karte unterzubringen.

Diese Funktion ist ausschließlich verwalteten Karten vorbehalten, von einem Identitätsprovider an Benutzer ausgegeben werden kann. Denkbar, aber derzeit kaum irgendwo praktiziert, ist etwa eine elektronische Kopie der Bank- oder Kreditkarte, die von der Bank an den Kunden ausgegeben wird, um Online-Einkäufe zu tätigen. Weil deren Daten nicht manuell eingetippt werden müssten, als auch dadurch, dass die elektronische Karte mitzählt, wie oft sie verwendet wird, ergäbe sich ein Sicherheitsgewinn gegenüber der heute üblichen Praxis, den Aufdruck von Plastikkarten abzutippen.

Verwaltete Karten erstellen und verteilen

Um verwaltete Karten auszustellen, muss man Identitätsprovider werden und eine entsprechende Infrastruktur einrichten. Innerhalb eines Unternehmens mit einer entsprechenden Zertifikatsinfrastruktur ist das kein Problem, die Karten lassen sich sogar mittels Gruppenrichtlinien automatisch an die Benutzer verteilen.

Mit der Erstellung scheint es nicht so einfach: Es existiert auf MSDN zwar entsprechender Sample-Code, aber der liegt da auch schon eine Weile; CardSpace wirkt nicht wirklich einsatzbereit. Von einem fertigen Server-Feature, das sich in eine bestehende Active Directory-Infrastruktur einfügt, ist nicht viel zu sehen.

Projekt Geneva: Active Directory Federation Services, Windows Identity Foundation und CardSpace 2.0

Der erste Schein trügt: Im Dezember 2009 veröffentlichte Microsoft CardSpace 2.0 Beta 2. Unter dem Projektnamen Geneva arbeiten die Entwickler an einem CardSpace, die Active Directory Federation Services und Windows Identity Foundation umfassendes Framework für Claim-Based Authentication. Darunter versteht man, dass die Zuteilung von Berechtigungen nicht zwangsläufig an den Nachweis einer bestimmten Identität gekoppelt sein muss, sondern stattdessen von anderen Attributen abhängig gemacht wird.

Um beim obigen Beispiel zu bleiben: Online-Banking-Teilnehmer besitzen schließlich kein Benutzerkonto im Mitarbeiter-AD ihrer Bank, um sich im Web-Portal ihrer Bank anmelden zu können. Beliebige andere Informationen, wie etwa das Alter, lassen sich ebenfalls zur Entscheidung über Berechtigungen heranziehen – ein eventuell erforderlicher Altersnachweis ließe sich etwa mit dem Online-Bezahlvorgang kombinieren. Das Projekt ist also alles andere als tot – richtig interessant wird es, wenn die entsprechenden Produkte das Beta-Stadium verlassen. Mit ADFS 2.0 wird es in Kürze so weit sein.