December 28, 2007 by alex
Gestern Abend habe ich als letztes den Vortrag zum anonymen Zugangskontrollsystem AnonAccess gehört. AnonAccess ist eine Eigenentwicklung die aus dem Bedürfnis entstand ein günstiges und vor allem bei Bedarf anonymes Zugangskontrollsystem für den eigenen Hackerspace zu haben.
Das Ziel eines günstigen Zugangskontrollsystem konnte recht einfach durch entsprechende Hardware realisiert werden. Die Hardware besteht grob aus Chipkarten - ca. 73cent pro Stück -, Mikrocontroller - 10 Euro - und kleinere Komponenten deren Kosten auch bei 10 Euro lagen.
Dem Ziel eines anonymen Systems wurde sich langsam angenähert. Als erste Idee wurden Pseudonyme auf den Karten hinterlegt und Zugangstoken von einer Datenbank vergeben. Pseudonyme sind allerdings nicht wirklich anonym. Um richtige Anonymität zu erreichen wurde die Idee so abgeändert das satt eines Pseudonym, eine zufällige ID dem der Token zugeordnet wird und diese ID auch immer mit auf der Karte geschrieben wird. Damit ist kein Rückschluss mehr möglich welche Karte welche ID hat und somit auch keine Information mehr über dessen Besitzer. Das Modell ist zwar anonym aber absolut nicht wartbar, etwa wenn jemand seine Karte verloren hat, die entsprechenden Token zurückzuziehen.
Erst die Kombination der beiden Konzepte ermöglicht einen anonymen Zugang der sich auch verwalten lässt. Dazu wird eine Zweite Datenbank verwendet die Informationen über die ID der Karten und den hinterlegten Nutzerinformationen enthält. Dies ermöglicht eine dreistufiges Identitätsmanagement. Namentlich bekannt Nutzer, ein Pseudonym und geteilte Pseudonyme. Damit die Daten nicht einfach durch den Angriff auf eines der Teilsysteme kompromittiert werden können, etwa durch auslesen der Karte, Mithören der Kommunikation oder auslesen der Datenbanken kommen entsprechende Hashing- und Verschlüsselungstechniken zum Einsatz. Als Authentifizierungmöglichkeit für den Nutzer wurde vor kurzem die Verwendung einer PINs implementiert. Das System befindet sich immer noch im Entwicklungsstadium. Wie die Verschlüsselung im einzelnen Abläuft und wie die Datenbank aussieht kann in den Slides nachgelesen werden.
In der anschliessenden Diskussion wurden einige Kritik hinsichtlich der Architektur geäussert. Unteranderem wurde die Betreibssicherheit hinterfragt, da die Karte bei jeder Verwendung mit neuen Daten beschreiben wird und ein vorzeitiges herausziehen der Karte, diese unbrauchbar macht. Ein Problem dem durch den Einsatz von Einzugslesegeräten aus dem Weg gegangen werden kann. Grundlegender waren die Bedenken, dass das System nicht inhernt anonym ist, sondern auf das System vertraut werden muss.