PiratenID
Inhaltsverzeichnis
Aktueller Status
siehe https://it.piratenpad.de/PiratenID
Beschreibung
Der ID-Server soll die Möglichkeit bieten, dass sich Piraten an beliebigen Applikationen als Piraten ausweisen können, ohne dass die Applikationen erkennen, welche Person sich genau anmeldet.
Begrifflich unterscheiden sich PiratenID und Pirate Identity durch die unterschiedlichen Anwendungskategorien: im technischen Internet und im menschlichen Gedanken-/Denkraum.
Technik
Als Protokoll wird OpenID verwendet. Die Anmeldung an der Applikation geschieht pseudonym. D.h. die Applikation erfährt nicht, welcher User sich tatsächlich anmeldet. Damit keine Daten zwischen verschiedenen Applikationen (Forum, Wiki, ...) zusammengeführt werden können, wird pro Applikation eine unterschiedliche ID übergeben, die aber bei wiederholten Anmeldungen an der selben Applikation identisch ist, damit ein Konto dauerhaft damit verbunden werden kann.
Software
https://github.com/janschejbal/piratenid
Vorstandsbeschluss
Austausch der Daten zwischen Mitgliederverwaltung und ID-System
Das geplante Austauschverfahren ist der im Vorstandsbeschluss verlinkten Stellungname der Rechtsabteilung zu entnehmen.
Zuteilung eines neuen Token
Sollte ein Pirat sein Token verlieren, bevor er es genutzt hat, sind in dieser Reihenfolge folgende Schritte durchzuführen:
- Der Hash des alten Tokens wird gesichert und aus dem CiviCRM entfernt
- Die nächste Synchronisation der PiratenID-Datenbank wird abgewartet. Nach dieser kann das Token nicht mehr genutzt werden
- Erst jetzt, wenn das Token nicht mehr eingegeben werden kann, wird geprüft, ob es bereits eingegeben wurde. Nur falls das Token tatsächlich nicht verwendet wurde, darf ein neues Token ausgestellt werden! Ein neues Token würde dem Piraten sonst ermöglichen, neue Pseudonyme zu erhalten und somit z. B. an Abstimmungen, an denen er bereits teilgenommen hat, nochmals teilzunehmen.
- Falls das Token nicht verwendet wurde, wird ein neues Token ausgestellt, dem Piraten mitgeteilt und der neue Hash ins CiviCRM eingetragen. Nach dem nächsten Abgleich kann der Pirat das Token nutzen.
Sollte der Pirat sein Token verlieren, nachdem er es genutzt hat, existiert ein Account mit diesem Token. Dieser Account ist zu nutzen, bei vergessenem Passwort muss dieses über die Password-Reset-Funktion zurückgesetzt werden. Ein neues Token darf nicht ausgestellt werden - auch nicht, wenn das alte Token aus der Datenbank entfernt würde! Ist ein regulärer Passwort-Reset nicht möglich, muss ein manueller Reset durchgeführt werden. Dies könnte z. B. geschehen, indem die Mitgliederverwaltung die IT anweist, eine neue Mailadresse in den mit einem bestimmten Token verbundenen Account einzutragen. Dies darf selbstverständlich nur nach gründlicher Identitätsprüfung des Antragstellers geschehen, um social engineering-Angriffen entgegenzuwirken. Dabei bleiben die Pseudonyme erhalten.