Microsoft CardSpace

Windows CardSpace (ehemals InfoCard) ist Bestandteil des Microsoft .NET Frameworks. CardSpace ist eine Technologie zur Identitätsverwaltung und kann zur Authentifizierung und/oder Identifizierung gegenüber Webseiten und Webservices genutzt werden. Sie konnte sich nie auf breiter Front durchsetzen und musste sich schließlich der Verbreitung von anderen Technologien geschlagen geben. Microsoft stellte zum 15. Februar 2011 die Entwicklungsarbeiten an der Nachfolgeversion 2.0 ein^[1]. Unter Windows Vista und Windows 7 wird CardSpace mitgeliefert, bei Windows XP kann es nachträglich installiert werden, indem auf die letzte .NET-Framework-Version aktualisiert wird. Für andere Betriebssysteme wie Apples Mac OS X oder Unix-Derivate gibt es alternative Implementierungen, welche meistens mit dem Begriff Information Card oder InfoCard bezeichnet werden.

Die CardSpace-Technologie soll es dem Endanwender (und auch Mitarbeitern in Unternehmen) erleichtern, die eigene Identität gegenüber Dritten (Relying Party) zu versichern. Bisher ist es normalerweise so, dass man sich z. B. auf einer Webseite mit einem Benutzernamen und einem Passwort anmeldet (z. B. bei einem Webmail-Anbieter). Diese Methode ist fehleranfällig und unsicher, da die Mehrzahl der Benutzer unsichere Passwörter nutzt oder die Passwörter über eine unverschlüsselte, also unsichere Leitung geschickt werden.

Anwendungsbereiche

CardSpace setzt auf die Analogie zu den Karten (EC-Karte, Mitgliedsausweis im Sportverein, …) im Geldbeutel. Der Geldbeutel kann aber kein Geld enthalten. Windows CardSpace, wie man es unter Windows in den Systemeinstellungen findet, fungiert hier als Geldbeutel (Identity Selector) und ist die Sammlung der eigenen Karten. Möchte man sich nun auf einer Webseite anmelden, die CardSpace (im Open-Source-Bereich oft auch als Information Card bezeichnet) unterstützt, klickt man dort auf einen bestimmten Link und wird aufgefordert, eine der eigenen Karten auszuwählen und zu übermitteln. Ist der Vorgang erfolgreich und mit der übermittelten Karte alles in Ordnung, ist man nun auf der Website angemeldet, ohne ein Passwort eingetippt zu haben (CardSpace sieht auch vor, den eigenen Geldbeutel mit einem Passwort, Fingerabdruck oder einer Smartcard lokal auf dem eigenen Computer zu schützen).

Karten

Es gibt zwei verschiedene Arten von Karten:

• selbst ausgestellte Karten (self-issued card, auch self-asserted card genannt)
• verwaltete Karten (managed card)

Eine Karte besteht allgemein immer aus:

1. einem eindeutigen Identifikator
2. eigenen Informationen (Claims) wie etwa Postadresse
3. einem PKI-Zertifikat für den lokalen Account (self-signed)
4. einem Zertifikat, das von der Zertifizierungsstelle unterzeichnet ist

In den ersten Versionen von CardSpace konnte der Dienst nur mit SSL-Zertifikaten genutzt werden. Da aber Zertifikate für den privaten Gebrauch in Weblogs und Online-Communitys eine zu große (oft auch wirtschaftlich) Hürde darstellt, ist es ab Version 3.5 nun möglich CardSpace auch ohne SSL-Zertifikat zu nutzen.^[2]

Selbst ausgestellte Karten

Selbst ausgestellte Karten kann man, wie der Name schon sagt, selbst anfertigen. Die selbst ausgestellten Karten enthalten einen festgelegten Satz von Attributen^[3] (Claims genannt) wie z. B. (Vor- und Nachname, E-Mail-Adresse, Postanschrift,…).

Für die meisten Fälle reichen selbst ausgestellte Karten aus. Die Analogie zur Benutzername/Passwort-Kombination liegt auch hier nahe, da man sich diese meist auch frei wählt. In Unternehmen möchte man aber evtl. sicherstellen, dass nur Mitarbeiter Zugang zu bestimmten Bereichen haben, für diesen Fall gibt es die verwalteten Karten.

Verwaltete Karten

Verwaltete Karten können beliebige Attribute (Claims) enthalten. Diese legt die ausgebende Instanz (Identity Provider, z. B. ein Unternehmen oder eine Behörde) fest. Beispielsweise kann ein Unternehmen den Claim »Abteilung« festlegen, so dass nur die Personalabteilung auf den Bereich Bewerbungen innerhalb eines Unternehmens Zugriff erhält. Auch denkbar wären Karten eines Staates, welche einem das Geburtsdatum und daraus abgeleitet das Alter des Besitzers versichern, so dass man z. B. Filme im Onlineshop bestellen könnte, ohne einen zusätzlichen Altersnachweis (vergleiche Postident-Verfahren) erbringen zu müssen.

Weblinks

• Information Card Foundation (ICF)
• Information Card DACH Initiative (ICF German Chapter)
• Microsoft Windows Cardspace
• CardSpacet mit Tom Köhler, Leiter Sicherheitsstrategie bei Microsoft Deutschland (Webcast)
• OSIS
• Microsoft InfoCard: Universal-Identität für Webnutzer – Artikel auf golem.de
• Artikel im MSDN Magazin zu CardSpace – führt detailliert in die Technik am Beispiel von ASP.NET und WCF ein
• IAM-Wiki: CardSpace – deutschsprachiges Wiki zu Identity und Access Management über CardSpace
• Kim Camerons Identityblog (Hauptverantwortlicher für CardSpace bei Microsoft)
• Windows Card Space - Grundlegende Einführung und Einsatzszenarien (Webcast)

Alternative Identitätsselektoren

• Azigo
• DigitalMe
• Higgins
• IdentitySelector – Selector für Firefox (Entwicklerblog)
• Open InfoCard / xmldap

Einzelnachweise

1. ↑ Pressemitteilung zum Ende der Entwicklungsarbeiten an CardSpace 2.0
2. ↑ OutOfCoffeeException Blog Blogeintrag von Mathias Raacke, ehemaliger Microsoft-Senior-Student-Partner zum Thema CardSpace ohne SSL-Zertifikat
3. ↑ Information Card Profile V1.0 Claims, Dezember 2006