Přehled OpenID

OpenID je decentralizovaný systém k ověření totožnosti osoby on-line. I když není určen k obraně před spamem ani k vytváření míry důvěry, řeší problém jednoduchého přihlášení (single sign-on) bez spoléhání na centralizovaný web k potvrzení digitální totožnosti. Uživatelé OpenID se prokazují svým URI nebo XRI, která vlastní, například blog nebo domovská stránka. Protože je OpenID decentralizován, může jakýkoli web obsahovat OpenID software jako způsob přihlášení uživatelů.

Na webech s OpenID se nepotřebují uživatelé Internetu registrovat ani vytvořit si nový účet pro každý web, než dostanou přístup. Místo toho se pouze potřebují předtím registrovat na webu s OpenID "poskytovatelem totožnosti (identity provider)", někdy též nazývaným i-broker. Mohou se také odkázat na poskytovatele totožnosti z jiného webu, který vlastní, a přihlásit se s použitím URI toho webu, což jim umožní spojit svou totožnost se svým webem. Web, který přijme přihlášení z OpenID. se nazývá "spoléhající strana (relying party)", viz poznámka níže.

OpenID získává stále více přívrženců mezi velkými weby u organizací jako AOL, které jednají jako poskytovatel, tak jako Wikipedie oznamující, že bude podporovat OpenID. Navíc byla podpora integrace OpenID stanovena jako závazná priorita ve Firefoxu 3 a Microsoft pracuje na implementaci OpenID 2.0 do Windows Vista. Novější zpráva je z 17. září 2014

OpenID neposkytuje svůj vlastní způsob identifikace, takže se s jeho použitím nepočítá u citlivých účtů (bankovnictví, transakce e-komerce atd.), ale když poskytovatel totožnosti používá silnou identifikaci, lze použít OpenID pro všechny typy transakcí.

Poskytovatelé

CAcert v současnosti neposkytuje služby OpenID, ačkoli poskytuje silnou identifikaci ve formě klientských certifikátů. Ty lze technicky použít k podpoře služeb OpenID.

CAcert neschvaluje níže uvedené servery a budiž poznamenáno, že spolehnutí na ně nemusí být možné ve smyslu CAcert / certifikátů.

Certifi.ca

V současnosti známe pouze jednoho poskytovatele OpenID, který používá ověřené certifikáty k zaručení totožnosti uživatelů OpenID. Je to Certifi.ca.

Procházka po Certifi.ca

Web Certifi.ca, jak se zdá, hledá, máte-li certifikát, než zobrazí svoji domovskou stránku. Nepoužíváte-li pro přihlášení k webu certifikát, uvidíte veřejnou informační stránku, která vypadá asi takto:

certifi-login-new.png

Používáte-li pro přihlášení k webu certifikát, sdělí Vám stránka nový (nebo existující) OpenID, asi takto:

certifi-login.png

Systém pak vyzve kohokoli, kdo se pokouší představit jako Vy, aby předložil jak Váš certifikát, tak heslo. To je daleko bezpečnější způsob ověření, než základní poskytovatel OpenID.

Bohužel certifi.ca je hotov jen jaksi zpola. Jeho spojení s identitou je pevně svázáno s určitým certifikátem. Když certifikát vyprší, skončí i Vaše identita.

Nedostatky

Někteří pozorovatelé míní, že OpenID má bezpečnostní slabiny a může být zranitelný útoky typu phishing (vylákání citlivých údajů, například pod pohrůžkou smazání účtu).

I když je zde řada módních prohlášení o výhodách decentralizovaného systému jednoduchého přihlášení (single sign-on), ten nakonec nutně selže. Široce přijímána bude jen hrstka domén - z téhož důvodu, proč si lidé vytvářejí černé a bílé seznamy (blacklists a whitelists) adresátů k filtrování e-mailů, protože široké rozprostření umožňuje snadné zneužití. Jinak řečeno, weby, které přijímají všechny uživatele OpenID, skončí zahlcením blog spamem (bezobsažnými blogovými příspěvky podobnými e-mailovému spamu), nebo i hůře.

OpenID je zvláště bez užitku pro weby používající tradiční hesla (nejen weby používající hesla k zabránění spamu) kvůli nedostatečnému zabezpečení DNS, jakékoli zneužití DNS může ve výsledku krádež identit. Toto se již v menším měřítku stalo webům, které zasílají hesla e-mailem a nepokusí se ověřit, zda účet opravdu patří uživateli, který to požaduje, nejen uživateli s přístupem k e-mailovému účtu.

Dokonce i ověřené certifikáty, jaké vydává CAcert, mohou řešit jen některé z těchto problémů OpenID.

Martin píše:

Kritickým faktorem OpenID je, že implementace přihlášení pomocí OpenID nedává webu žádnou záruku, že uživatel je ten, kdo prohlašuje, že je. Jak já tomu rozumím, je to opravdu bez ohledu na to, zda je certifikát složitý (jako u certifi.ca) nebo není (jako na mém vlastním OpenID serveru). Ani Verisign OpenID nedává záruku, natož můj vlastní osobní server.

Pokud vím, není vůbec žádné spojení mezi mechanismy OpenID a poskytovatelem serveru OpenID - implementace protokolu nedává majiteli webu vůbec žádnou záruku, což byste u OpenID nehledali.  Proto ani přidání certifikátu do takové směsi nezmění pro majitele webu nic, jelikož není způsob, jak se dotázat, zda byl u OpenID ověřen, když se použije standardní protokol OpenID. Certifikát bude vždy nápadně nevýhodný a pro web neviditelný. OpenID má všechen přínos pro uživatele, ne pro majitele webu.

Uživatelův problém s něčím, jako je certifi.ca, tkví v tom, že nevím, zda má server dostatečné bezpečnostní opatření, aby zabránil někomu jinému zmocnit se mojí identity. Ovšem, kdyby CACert provozoval server založený na certifikátech s použitím subdomény cacert.org, neměl bych tyto pochybnosti (ne dost, aby mě to znepokojovalo!). Přínos serveru založeného na certifikátech oproti použití mého osobního serveru by byl, že bych se k osobnímu serveru nemusel přihlašovat heslem.

Příležitosti pro CAcert

Andreas píše:

certifikát dává OpenID určitou důvěryhodnost, činí ji spolehlivou. - Nezapomeňte, že my jako Členové komunity CAcert.org a/nebo zaručovatelé jsme ti, kdo tvoří most mezi realitou a virtualitou. Díky zaručení osobní schůzkou ("tváří v tvář"), tedy vzhledem k Webu důvěry, jsme schopni říci "ano, tato OpenID s certifikátem patří skutečné osobě".

Co by měl CAcert udělat?

Zřejmě jsou zde tři možné přístupy.

  1. CAcert bude sám provozovat centralizovaný spolehlivý server OpenID.
  2. Vytvoří podmínky, za nichž mohou lidé používat OpenID ve vztahu k CAcert.
  3. Nulová varianta: Nedělat nic, jen sledovat a pozorovat. Počkat, jak se situace vyvine, nechat trh, aby to vyřešil.

Provozovat server

Jaká jsou pro a proti při provozování serveru centralizovaným způsobem?

Vytvoření podmínek

Klientské certifikáty CAcert - nebo?

Podle Martina (výše) neexistuje spolehlivý vztah na technické úrovní mezi uživatelem OpenID (webovým serverem nebo klientským uživatelem) a použitím certifikátu vydaného CAcert. Takže může být zajímavé vytvořit na úrovni zásad asi toto:

OpenID server by měl jasně sdělit, zda jde pouze o použití klientských certifikátů od CAcert, nebo zda jde o hybridní uspořádání.

Více extrémní forma by prostě stanovila toto:

OpenID server používající klientské certifikáty od CAcert nesmí mít žádnou jinou formu identifikace uživatele, pokud není ekvivalentní

Nebo podobně. Uvedené je navrženo spíše jako myšlenkový experiment.

Důvěra, spolehnutí

Další záležitostí je povaha spolehnutí. Pouhý fakt převzetí certifikátu není zajímavý. Avšak převzetí certifikátu a vytvořit pak prohlášení pro jinou osobu je akt spolehnutí; mohou to dělat pouze členové. V důsledku toho pravděpodobně budou se serverem OpenID pracovat pouze členové.

Můžeme zde jít dvěma cestami. Buď otevřenou:

Nečlenové mohou pracovat se servery OpenID za podmínek uvedených v XYZ

Nebo uzavřenou:

Pouze zaručovatelé mohou pracovat se servery OpenID za ostatní osoby.

Toto je určeno pro myšlenkové experimenty. Z důvodu povahy debaty o spolehlivosti je zde ještě něčeho potřeba, jinak se operátor bezděčně ocitne jednoho dne na nesprávné straně arbitráže.

Nedělat nic

To prakticky dělá CAcert právě teď. Je to především důsledek absence jasného směru.

Je zřejmé, že můžeme provozovat server. Ale hlasití zastánci této možnosti nebyli schopni odpovědět na výše uvedené otázky a přetrvává podezření, že celá záležitost s OpenID je pouze další humbuk. Je-li tomu tak, není třeba zvlášť spěchat.

Je zřejmé, že můžeme stanovit zásady. Ale není jasné, jaké ty zásady budou. Pokud nemůžeme získat nějaké informace o rizicích a přínosech výše uvedených možností, pak si raději ponecháme platné zásady, protože byly dobře promyšleny a ochraňují všechny členy.

Tato kapitola této stránky wiki je pokusem pohnout debatou kupředu.

Konkurence OpenID

Konkurenti OpenID jsou například:


OpenID/CZ (last edited 2016-05-04 19:54:06 by AlesKastner)