Usability

EI-Manager-System

Primäre Zielgruppe für das Projekt ist der private Nutzer. Dieser wird EI aber nur nutzen, wenn sie keinen Bedienaufwand oder sonstige komplizierte Handgriffe erfordert. Das Konzept ist so gestaltet, dass eine Notwendigkeit für einen Nutzereingriff, abgesehen von unvermeidlichen Konfigurationsschritten, nur dann entsteht, wenn ein Betrugsversuch vorliegt. Allerdings muss das Konzept auch in die Realität umsetzbar sein.

Da der Quellcode offen ist, kann jeder ihn herunterladen, für seine Bedürfnisse konfigurieren und eine Anwendung compilieren. Das ist zwar nicht besonders kompliziert, die Erfahrung lehrt aber, dass selbst Programmierer sich oft schwer tun, diese Schritte zu vollziehen. Für den IT-technisch unbelasteten Nutzer ein Unding.

Der nächste Schritt besteht darin, fertig compilierte Module zur Verfügung zu stellen, die der Nutzer nur herunterladen und installieren muss. Das wird zwar von vielen Nutzern akzeptiert, jedoch bestehen auch hier noch mehrere Probleme:

  • Der Entwickler muss Module für viele unterschiedliche Module vorhalten und zeitnah auf Updates der Systeme reagieren (möglichst mit einer Auto-Update-Funktion).
  • Bei der Installation von Software kommt es aus verschiedenen Gründen immer wieder zu kleinen Problemen, die viele Nutzer von sich aus nicht lösen können.
  • Für einen nicht unbeträchtlichen Nutzerkreis wird selbst diese Lösung zu kompliziert sein.

Hinzu kommt, dass eine Nutzergruppe wie eine Familie viele unterschiedliche Geräte nutzt. Eine Verschlüsselung wäre zwar immer möglich, die angestrebte Sicherheit kann aber nur mit einem EI-Manager-Server hergestellt werden. Das bedeutet jedoch, dass ein Gerät permament verfügbar sein muss - vielfach ebenfalls zu viel verlangt.

Eine Lösung, die keines dieser Probleme mit sich bringen sollte (außer dem bereits angesprochenen Konfigurationsaufwand, der pro Gerät nur einmalig anfällt), ist eine spezielle EI-Manager-Hardware, die mit ins häusliche WLAN oder LAN eingebunden wird und die Aufgaben übernimmt. Dies ist zwar mit Kosten für die Hardware verbunden, die aber im Rahmen der Kosten für einen Router bleiben. Der weitere Vorteil: bei weiteren Ansprüchen an das System kann die Firmware problemlos erweitert werden, bei Problemen mit dem Manager bleiben sämtliche anderen Geräte samt ihrer darauf installierten Anwendungen im vollen Umfang funktionsfähig (wenn auch ohne die EI-Sicherheit).

Wir sehen daher als nutzerfreundlichste Lösung eine Hardwarelösung in Gestalt eines Raspberry PI oder eines vergleichbaren Kleinsystems vor, das als Server die anderen Geräte bedient. Die Möglichkeit der Installation auf vorhandenen Systemen bleibt natürlich unberührt.

Datenbank

Die Manager-Datenbank wird nur auf einem System eingerichtet, da es sonst zu Konsistenzproblemen kommt. Alle anderen Systeme müssen im Bedarfsfall auf das Zentralsystem zurückgreifen und sich von dort die notwendigen Freigaben besorgen.

Wenn das Zentralsystem verfügbar ist, wie im häuslichen LAN-Bereich, ist das kein Problem: die Kommunikation wird entweder direkt über den Manager abgewickelt oder die anderen Geräte erhalten in technisch unkomplizierten und daher störunanfälligen Seitenkanalanfragen die notwendigen Informationen für eine abgesicherte Kommunikation.

Wer über einen Internetprovider verfügt, der es erlaubt, vom WAN aus das heimische LAN als Server-Punkt anzusprechen (z.B. für VPN-Zugänge), kann von seinem Router einen Zugriffskanal zum EI-Managersystem konfigurieren und wäre damit fertig. Auf den Manager kann von überall her (z.B. mit dem SmartPhone) zugegriffen und die notwendigen Informationen für eine sichere Kommunikation ausgetauscht werden. Solche Nutzer können für den EI-Zertifikat-Upgrade auch eine URL angeben, so dass Upgrades während des Kommunikationsaufbaus in Echtzeit verifiziert werden können.

Leider ist das nicht bei allen Providern möglich oder zumindest so einfach möglich, dass sich normale Nutzer damit anfreunden können. Viele Nutzer verfügen aber heute bereits über eine eigene Homepage oder haben einen Bekannten mit einer eigenen Homepage, die sich mit einer weiteren Datenbank für das EI-Schema aufrüsten lassen kann. Wir haben es daher vorzugsweise mit einem HTTP-Server mit PHP5 oder höher als Programmiersprache und MySQL als Datenbank zu tun.

Es dürfte unmittelbar klar sein, dass eine solche Datenbank nur ein Abbild der Managedatenbank ist und private Schlüssel nicht erhält. Die verschiedenen Geräte agieren aufgrund der in der Datenbank abgelegten Daten und hinterlassen ihre Protokolldaten, die vom Managersystem in kurzen Zeitabständen abgerufen und aufgearbeitet werden, um die Netzdatenbank auf den neuesten Stand zu bringen.

Für die Arbeit mit der Netzdatenbank sind eine Reihe von Sicherheitsmaßnahmen notwendig:

  • Im einfachsten Fall ist die Kommunikation mit dem Server nicht verschlüsselt. Die Clients und das Managersystem können sich entweder mit einem der abgesicherten Kennwortprotokolle oder mit EI-Zertifikaten anmelden. Die Bearbeitung der EI-Zertifikate kann mit PHP-Bordmitteln des Servers vorgenommen werden. Aus Sicherheitsgründen sollte jedoch eines der beiden folgenden Modelle verwendet werden.

  • Wenn der Server TLS unterstützt, ist zusätzlich die komplette Kommunikation verschlüsselt. Das setzt allerdings bislang ein X.509-Zertifikat mit CA-Absicherung voraus, was zu zusätzlichen Kosten führt. Alternativ kann

  • die Kommunikation mit PHP-Bordmitteln verschlüsselt werden, obwohl ein normaler HTTP- und kein HTTPS-Port verwendet wird.

  • Die Absicherung der Kommunikation lässt jedoch immer noch das Ausspähen von Daten auf dem Server oder gar deren Manipulation zu (die Rede ist vom Serverprovider bzw. Organisationen, die die Macht haben, den Provider zur Freigabe der Daten zu zwingen). Eine Sicherung gegen Manipulation ist leicht zu erreichen, indem

    • die Datensätze einen fortlaufenden Index erhalten. Fehlt ein Index, kann dies durch eine einfache SQL-Abfrage erkannt werden.
    • jeder Datensatz mit einem Hash-MAC gesichert wird. Da der private Schlüssel des Hash-MAC nur den Nutzergeräten bekannt ist, fällte eine Verfälschung auf.

    Dieser Schutz lässt immer noch den Zugriff auf die Daten und deren Auswertung zu.