Zum Wochenende: Haken und Ösen

Während des Theaterspiels über die Selbstzerstörung von Twitter, an dem wir in den letzten Wochen medial teilnehmen konnten, spielte die Verifikation von Accounts eine Hauptrolle. Bislang konnten sich VIPs über einen unbekannten Prozess, die Echtheit ihrer Social-Media-Identität von Twitter bestätigen lassen, was durch einen weissen Haken auf blauem Grund neben dem Account-Namen angezeigt wurde.

Dann erregte ein Artikel meine Aufmerksamkeit, in dem es um eben diesen Nachweis der Echtheit eines Social-Media-Accounts (SMA) ging. Die Idee dahinter geht so: Du beweist deine Identität durch Kreuzverlinkung des SMA mit anderen Web-Präsenzen, über die du die Hoheit hast, bzw. einwandfrei nachgewiesen werden kann. Die Dokumentation von Keyoxide habe ich, ehrlich gestanden, nicht ganz verstanden. Die Idee sehr wohl, jedoch nicht die praktische Umsetzung.

Was ist der Use Case? Warum möchte man seine Identität online beweisen wollen? Nun, wir haben es auf Twitter gesehen. Da geben sich viele Leute als Elon Musk aus; andere behaupten, sie wären die Firma Eli Lilly und verbreiten die Botschaft, dass Insulin ab sofort kostenlos zur Verfügung gestellt würde. Auslöser für diesen Missbrauch von Identitäten war Elon Musks Fehlentscheidung, den Verification-Badge für 8 Dollar zu verkaufen, ohne eine Identitätsprüfung durchzuführen.

Wer im Internet als Person unterwegs ist, hat gute Gründe dafür, seine eigene Identität als wahr zu kennzeichnen. Dies trifft jedoch nicht auf Schwurbler, Faschisten, Extremisten und sonstiges Gewürm zu. Solchen Leuten ist daran gelegen, ihre Identität zu verbergen, weil sie nicht zu dem stehen wollen, was sie in Social-Media-Kanälen verbreiten. Von dieser Brut möchte ich ausdrücklich solche Personen ausschliessen, die sich ob ihrer Äusserungen einer autokratischen Verfolgung ausgesetzt sehen, zum Beispiel Journalisten, Regime-Kritiker, Dissidenten, usw. Ich bin mir nicht sicher, ob ich hier mit zweierlei Mass messe (Kommentiert bitte dazu, falls ich das falsch beurteile). Das gehört auch zu den "Haken und Ösen".

Ich möchte zur Idee von Keyoxide zurückkommen. In ihrer Dokumentation gibt es eine schöne Allegorie, in der die bidirektionale Verknüpfung erklärt wird.

Wie kann man eine anonyme Identität - eine Persona - aufbauen, ohne seine persönliche Identität preiszugeben?

Betrachten wir dieses etwas ungewöhnliche Szenario: Wie könnte ich beweisen, dass mir ein Auto gehört, das ungenutzt am Straßenrand steht und nicht einfach von jemand anderem dort abgestellt wurde?

Wir wollen keine "offiziellen" Dienste in Anspruch nehmen (die zentralisiert sind), so dass eine Überprüfung der Nummernschilder nicht in Frage kommt. Außerdem möchte ich anonym bleiben, so dass Personalausweise auch keine Lösung sind.

Natürlich kann ich das Auto nicht mit meiner Person in Verbindung bringen, ohne meine persönliche Identität preiszugeben.

Aber was wäre, wenn ich es mit meinem Haus verknüpfen könnte? Auf diese Weise würde derjenige, dem dieses Haus gehört, auch dieses Auto besitzen. Auf diese Weise würde ich eine anonyme Identität herstellen (jemandem gehört dieses Haus und demselben jemand gehört dieses Auto), ohne meine persönliche Identität preiszugeben.

Alles, was ich tun muss, ist, einen Zettel mit meiner Adresse unter die Windschutzscheibe zu legen. Dies wird ein transparenter Tresor sein! Jeder kann ihn lesen, da die Windschutzscheibe nur Glas ist, aber nur die Person, die die Autoschlüssel hat, kann den Zettel ändern.

Jetzt habe ich mein Auto auf völlig dezentralisierte Weise in Anspruch genommen, ohne eine zentrale Organisation einschalten zu müssen. Ist das ausreichend? Ja und nein.

Nur ich kann den Zettel dort platziert haben, was zweifelsfrei beweist, dass ich Zugang zum Auto habe.

Was aber, wenn jemand sein Auto in meiner Straße abstellt und einen Zettel mit meiner Adresse hinterlegt? Durch diesen Versuch der Nachahmung kann derjenige behaupten, dass das Auto mir gehört, weil es jetzt mit meinem Haus verbunden ist!

Deshalb brauchen wir eine bidirektionale Verknüpfung: Nicht nur mein Auto braucht einen Zettel unter der Windschutzscheibe, auf dem meine Adresse steht, sondern auch mein Haus braucht einen Zettel hinter einem Fenster, auf dem das Nummernschild des Autos steht. Da auf meinem Haus nun eindeutig das Nummernschild meines echten Autos steht, kann niemand behaupten, ich hätte sein Auto am Straßenrand stehen lassen.

Das ist in der Tat ein ungewöhnliches Szenario, aber eines, das den Einsatz vereinfacht und den Prozess veranschaulicht. Keyoxide ermöglicht es Ihnen, eine Online-Identität aufzubauen und dabei anonym zu bleiben: Niemand muss wissen, wer Sie sind, aber Sie können trotzdem nachweisen, dass Sie Konten auf verschiedenen Websites besitzen.

Ihr Keyoxide-Profil verweist auf alle Ihre Konten und alle Ihre Konten verweisen auf Ihr Keyoxide-Profil.

Ich halte diese Argumentation für sehr überzeugend. Die technische Umsetzung und die Bedienung von Keyoxide, habe ich nicht verstanden. Wie so oft in unserer Community, entstehen gute Konzepte, die sich der Bevölkerung nur schwer vermitteln lassen (siehe Fediverse).

Am Beispiel von Mastodon möchte ich zeigen, wie der bidirektionale Identitätsnachweis funktioniert. Dafür sind folgende Voraussetzungen nötig:

• Du hast einen Mastodon-Account
• Du hast eine eigene Webseite
• Oder du hast andere Internet-Auftritte, die sich deiner Person zuordnen lassen, z.B. ein Git-Account

Dein Identitätsnachweis funktioniert über die Kreuzverbindung zwischen diesen Accounts. Je mehr Internetseiten deine Eigentümerschaft oder Anwesenheit nachweisen, desto besser ist der Nachweis deiner Identität. Das möchte ich am Beispiel meines Mastodon-Accounts beweisen. Mein Masto-Account sieht so aus:

Was sieht man dort? Meine Adresse @ralfhersel@social.anoxinon.de könnte irgendwer angelegt haben. Mein Avatar ist öffentlich verfügbar; den kann jeder kopieren. Beim Hinweis auf GNU/Linux.ch und die FSFE wird es schon schwieriger. Zwar kann man diesen Text auch kopieren; ein Fake hält jedoch einer Überprüfung nicht stand. Zwingender wird es bei den Metadaten, die Links auf meine Homepage und die GNU/Linux.ch-Seite sind. Dort gibt es Rückverlinkungen zu meinem Mastodon-Profil. Das kann niemand fälschen, der nicht Zugriff auf meine private Homepage und auf meinen GNU/Linux.ch-Account hat.

Bei Mastodon kann man vier dieser Backlinks anlegen. Zuerst kopiert man den Code für den Backlink und fügt diesen auf der selbst kontrollierten Seite an passender Stelle ein. Bei GNU/Linux.ch habe ich das auf dieser Seite gemacht. Im HTML-Code sieht das so aus:

<a href="https://social.anoxinon.de/@ralfhersel" rel="me">Ralf Hersel</a>

Dazu geht man im Menü auf Profil bearbeiten. Dort trägt man bei den Tabellenfeldern einen beliebigen Namen und die URL ein, die auf eine selbst kontrollierte Seite verweist. Die Reihenfolge ist wichtig: zuerst den Code auf der kontrollierten Seite eintragen und danach die URL im Mastodon-Profil hinterlegen. Nach einer Weile werden die Verweise grün eingefärbt und jeweils mit einem grünen Haken versehen. Daran sieht man, dass Mastodon die Kreuzverweise erkannt hat.

Ein Klick auf meinen Namen führt zu meinem Mastodon-Konto. Ein Klick auf einen Meta-Eintrag auf meinem Mastodon-Konto führt entweder zu meiner Homepage oder zur GNU/Linux.ch-Seite. Ich halte diese Methode für einen guten Identitätsnachweis in den Sozialen Medien, weil sie dezentralisiert, individuell und sehr schwer zu fälschen ist.

Ach ja, da war doch noch etwas mit dem Haken ✅. Mastodon unterstützt, abgesehen vom beschriebenen Verfahren, keine Auszeichnung für verifizierte Konten mit einem Emblem neben dem Benutzernamen. Dafür müsst ihr selbst sorgen. Am einfachsten geschieht das mit einem Emoji hinter dem Account-Namen. Fügt dort das Emoji "U+2705" ein, und gut ist. Ihr könnt es auch bleiben lassen, wenn ihr weniger eitel seid als ich.

Was meint ihr dazu? Wie wichtig ist euch eure Identität im Internet? Was haltet ihr vom bidirektionalen Verfahren? Ich freue mich über eure Kommentare. Habt ein schönes Wochenende.