Online-Iden­ti­tä­ten und „Veri­fi­zie­rung“

Das The­ma „ist die Per­son, die sie behaup­tet zu sein“ ist kein Neu­es. @tante (Twit­ter/Mast­o­don)zum Bei­spiel hat sich schon vor Jah­ren Gedan­ken dar­über gemacht. In sei­nem Arti­kel „What’s in a name“ denkt er dar­über nach, was ein Name alles dar­stellt und in „Iden­ti­ty“ dar­über, dass die Iden­ti­tät einer Per­son eben nicht fix ist. 

War­um komm ich jetzt also mit die­sem The­ma an, wo doch schon viel klü­ge­re Men­schen als ich seit vie­len Jah­ren dar­über nach­den­ken? Elon Musk hat Twit­ter gekauft. So weit, so teu­er gut, das ist zwar mit 44 Mil­li­ar­den USD nicht gera­de bil­lig gewe­sen, aber nicht mein Pro­blem. Oder doch? 

Ich benut­ze neben mei­nem Blog noch Twit­ter (noch) als Hub für mei­ne digi­ta­le Iden­ti­tät. Der Blog­na­me und mein Ruf­na­me haben sich im Lau­fe der Jah­re mehr­fach geän­dert, mei­ne Twit­ter-Hand­le aber war all die Jah­re kon­stant und ist es noch immer. Man fin­det mich dort unter @herrurbach.

Was für mich sehr prak­tisch ist: Auf Twit­ter habe ich die­sen blau­en Haken. Der sagt erst ein­mal nur: Die­se Per­son, die der Account sagt, dass sie es sei, ist es auch, wir hier im Twit­ter-Haupt­quar­tier haben das über­prüft: „Du kannst das blaue Abzei­chen erhal­ten, wenn dein Account echt, bekannt und aktiv ist.“[mfn]Twitter Hilf­e­sei­te: Wie du auf Twit­ter veri­fi­ziert wirst (abge­ru­fen am 08.11.22, 18:29)[/mfn] Einer­seits ist das natür­lich für Behör­den und Orga­ni­sa­tio­nen rele­vant, ande­rer­seits auch für Aktivist*innen und Künstler*innen. Lil Nas X Twit­ter-Kon­to hat einen blau­en Haken, die Shit­posts sind also von ihm oder zumin­dest von ihm auto­ri­siert. Er kann sich also nur noch damit raus­re­den, dass er gehackt wur­de. Donald Trump ist das pas­siert, sei­nem eige­nem sozia­lem Netz ist das pas­siert, dann kann das auch mal Lil Nas X oder mir oder jeder ande­ren Per­son passieren. 

Lesen­de dür­fen also davon aus­ge­hen, dass ich es bin, der gera­de auf Twit­ter ein Buch abfei­ert, Eis isst oder ein­fach Zeug pos­tet. Wun­der­bar. Von Twit­ter aus ver­lin­ke ich auf ande­re Sachen von mir und kann damit qua­si bestä­ti­gen, dass sie von mir sind. Drit­te, die mich nicht ken­nen, dür­fen sich sicher sein, dass der Unfug von mir ist. Nice. War­um also die­ser Bei­trag, wenn doch alles in Ord­nung ist?

Es ist nicht alles in Ord­nung, es hat aber die Twit­ter-Über­nah­me von Musk gebraucht und einen ande­ren Umgang mit Accounts gebraucht, bis ich mir klar gewor­den bin, was denn mein Pro­blem ist. Iden­ti­tät ist bei mir stark mit Kon­trol­le ver­bun­den – der Kon­trol­le, die ich dar­über habe. Bis­her war ich mit einem Drit­ten als Bestä­ti­gung der Iden­ti­tät sehr OK bis… nun bis die­ser Drit­te sich über­legt hat, for die „Veri­fi­zie­rung“ ~ 8,00 USD oder das Äqui­va­lent in loka­ler Wäh­rung haben zu wol­len. Im Jahr ~96,00 USD, Stand jetzt knapp 95,00 EUR. Das ist eine Men­ge Holz und ähn­lich viel zah­le ich eh für mei­nen Ser­ver, die Domains, etc. Elon Musk will damit „Power to the Peo­p­le“ zurück geben, aber halt nur, die 95,00 EUR im Jahr zah­len. Veri­fi­ka­ti­on macht Nut­zen­de nicht zu „bes­se­ren“ Nut­zen­den, es macht sie ein­zig zu veri­fi­zier­ten Nut­zen­den. Ich weiß, eini­ge vie­le inter­pre­tie­ren in den Haken mehr rein, als er eigent­lich ist; das ist ein ande­res Pro­blem, um das es hier jetzt nicht geht. 

Kur­zer Ein­schub: Ich mag es, wie Mast­o­don eine Web­site mit einem Mast­o­don-Kon­to ver­knüpft. Im Hea­der die­ses Blogs steht <link rel=„me“ href=„https://chaos.social/@herrurbach“> und in mei­nem Mast­odon­kon­to befin­det sich ein Link zu die­ser Web­site – zusam­men mit einem grü­nen Haken, weil die Soft­ware den Link auf mei­ner Sei­te gefun­den hat. Das Prin­zip ist also, dass sich bei­de Enti­tä­ten gegen­sei­tig ver­lin­ken und bestätigen.

Ich habe ja noch mei­nen Blog der als Hub für mei­ne Akti­vi­tä­ten dient. So weit, so gut. Mein Blog könn­te aber wie­der ver­schwin­den, viel­leicht, weil ich ver­ges­se die Domain zu bezah­len, mal wie­der einen Domain dafür fin­de, die ich ein­fach toll fin­de oder was weiß ich. Außer­dem könn­te ich ja hier ein­fach behaup­ten, das Twit­ter-Kon­to @Bediko gehört mir. OK, die Leu­te, die mich und Bediko schon in einem Raum gese­hen haben, wis­sen, dass das nicht so ist, aber unbe­darf­ten Drit­ten könn­te man damit was vor machen. Wo also eine:n Dritte*n her­neh­men, di:er ver­trau­ens­wür­dig genug ist und nicht ans Geld will? [mfn]Ja, mei­ne Zeit ist auch was wert, aber ich mach das ja für mich und mei­ne eige­ne Zufriedenheit[/mfn] Es muss da doch was geben.

Wer hät­te es gedacht: natür­lich gibt es etwas. Die momen­tan für mich funk­tio­nie­ren­de Lösung ist Key­oxi­de. Die­je­ni­gen, die sich für die tech­ni­schen Details genau­er inter­es­sie­ren, lesen sich die Doku durch, für alle ande­ren fas­se ich grob zusam­men, was Key­oxi­de macht.

Dreh und Angel­punkt der Veri­fi­zie­rung ist ein Objekt, dass von mir kon­trol­liert wird, mani­pu­la­ti­ons­si­cher ist und von jeder Per­son (theo­re­tisch) über­prüft wer­den kann. Key­oxi­de hat sich für einen PGP-Schlüs­sel als Dreh und Angel­punkt für die digi­ta­le Iden­ti­tät entschieden. 

PGP ist die Abkür­zung von Pret­ty Good Pri­va­cy, einem Pro­gramm, dass zur Ver­schlüs­se­lung und Signie­rung von Datei­en ver­wen­det wird. Für Men­schen, die dar­über mehr wis­sen wol­len, gibt es einen Ein­stieg in der Wiki­pe­dia.[mfn]Ich bin nicht für den Schwin­del ver­ant­wort­lich, der nach dem Lesen von Arti­keln über Kryp­to­gra­fie ent­ste­hen kann.[/mfn]

Ich hat­te seit Jah­ren kei­nen gül­ti­gen Schlüs­sel mehr, wen nicht der Zufall gewollt hat­te, dass ich eine ver­schlüs­sel­te Email sen­den muss­te und ich eh gera­de wie­der GPG instal­liert hat­te (GPG ist die freie Imple­men­tie­rung des PGP Stan­dards). Die Idee hin­ter Key­oxi­de ist, dass dem Schlüs­sel wei­te­re Signa­tu­ren hin­zu­ge­fügt wer­den, die wie­der­um mit der ID eige­nen ID unter­zeich­net sind. Kurz also: Wenn der Ein­trag nicht von mir wäre, wür­de man das sehen kön­nen. In jeder ein­zel­nen der Signa­tu­ren befin­det sich der Pfad zu einer Veri­fi­zie­rung, in der wie­der­um auf den Fin­ger­ab­druck des PGP Schlüs­sels ver­wie­sen wird. Ein Bei­spiel könnt ihr hier auf Twit­ter sehen. Die wich­ti­ge Infor­ma­ti­on dabei ist der letz­te Teil des Tweets: openpgp4fpr:1c283f8b92d0f9bb149b7360a43a844b114f9b08. In dem Tweet habe ich den Fin­ger­ab­druck mei­nes Schlüs­sels wie­der gege­ben. In einer der vie­len Signa­tu­ren, die ihr eben­falls auf dem Bild sehen könnt, befin­det sich ein Link zu die­sem Tweet. 

Lei­der kann bis­her kein Front­end den Inhalt anzei­gen, der wun­der­bar in der Tabel­le auf­ge­führt ist. Aber nur weil kein Front­end das kann, heisst es ja nicht, dass es gar nichts kann, Key­oxi­de liest die ja auch aus. Dafür muss auf dem Gerät, von dem aus der Inhalt über­prüft wer­den soll, GnuPG instal­liert sein. Linux-Nut­zen­de wis­sen, wie das geht. Für macOS-Nut­zen­de geht es am ein­fachs­ten mit brew install gnupg. Für Win­dows-Sys­te­me emp­fiehlt sich Gpg4win. Egal Wel­ches Betriebs­sys­tem, nach­dem der Schlüs­sel in den GnuPG-Schlüs­sel­bund impor­tiert wur­de, geht es im Ter­mi­nal weiter:

gpg --edit-key 1C283F8B92D0F9BB149B7360A43A844B114F9B08
[Ausgabe der Schlüsselinformationen]
showpref
[Ausgabe der Notationen - also der ganzen zusätzlichen Inhalte]
ein Beispiel:
proof@ariadne.id=https://twitter.com/herrurbach/status/1589541373371625472

Der Link zu dem Tweet, der wie­der­um den Fin­ger­ab­druck des Schlüs­sels ent­hält, der wie­der­um den Link ent­hält, der.. genau, es dreht sich im Kreis. Da nur ich das Pass­wort zu mei­nem Schlüs­sel (hof­fent­lich) habe und auch nur ich Zugang zu mei­nem Twit­ter-Kon­to (hof­fent­lich) darf davon aus­ge­gan­gen wer­den, dass sowohl der Schlüs­sel als auch das Twit­ter-Kon­to mir gehö­ren. Wenn mein Schlüs­sel abhan­den kommt kann ich den Tweet löschen, kommt mir das Twit­ter-Kon­to abhan­den, lösche ich den Ver­weis auf den Tweet. So ver­hält es sich mit allen Diens­ten, mit denen man sich momen­tan veri­fi­zie­ren kann. Im End­ef­fekt funk­tio­niert die Veri­fi­ka­ti­on genau­so wie bei Mast­o­don, nur mit mehr Kryp­to­gra­fie und weni­ger Men­schen, dei­ne man ver­trau­en muss.

Damit es ein­fa­cher ist, den Inhalt des Schlüs­sels mit den Diens­ten abzu­glei­chen, gibt es Key​oxi​de​.de. Auf der Web­site kann jeder PGP-Schlüs­sel über­prüft wer­den, so lan­ge der Schlüs­sel öffent­lich zugäng­lich ist. Mein Schlüs­sel ist auf den Key­ser­vern als auch über das OpenPGP Web Key Direc­to­ry zugäng­lich. Die Soft­ware von Key­oxi­de ist öffent­lich und über­prüf­bar. Jede lau­fen­de Instal­la­ti­on von Key­oxi­de kann jeden öffent­lich ver­füg­ba­ren Schlüs­sel über­prü­fen und die Infor­ma­tio­nen zusam­men tra­gen, so wie hier auf die­ser Sei­te die Infor­ma­tio­nen aus mei­nem Schlüs­sel. Es wäre total witz­los, wenn ich das das für mich selbst hos­ten wür­de, denn ich könn­te ja den Code ver­än­dern wie ich will und damit dafür sor­gen, dass irgend­ei­ne Infor­ma­ti­on ange­zeigt wird. Es braucht also offe­ne, freie Soft­ware die von unbe­tei­lig­ten Drit­ten betrie­ben wird, damit die Veri­fi­ka­ti­on der Ver­hält­nis­se zwi­schen Schlüs­sel und Kon­ten bei/auf Diens­ten ver­trau­ens­voll durch­ge­führt wer­den kann.

Zuletzt hof­fe ich dar­auf, dass in Zukunft mehr Web­sites das Pro­to­koll, dem Key­oxi­de zugrun­de liegt (Ari­ad­ne), unter­stüt­zen und es Frontends für GPG geben wird, bei denen nie­mand im Ter­mi­nal her­um­fum­meln muss den Inhalt eines PGPG-Schlüs­sels genau­er anzuschauen.

Titel­bild: CC BY 2.0 „Ver­steck­te Iden­ti­tät“ von Mar­co Ferch.