Zur Sicherheit von LiquidFeedback

In den letzten Tagen sind unter anderem auf Mailinglisten und auf Twitter einige Fragen zu bestimmten Aspekten des bundesweiten LiquidFeedback-Betriebs aufgekommen, die den Umgang mit Referenz- und Einladungsschlüsseln betreffen. Da dabei zumindest bei einigen der Eindruck entstanden zu sein scheint, dass es sicherheitsrelevante Probleme gibt, will ich hier ausführlich darauf eingehen, um diese Bedenken zu adressieren.

Erstens wurde über die Möglichkeit spekuliert, die erhaltenen Referenz- oder die damit eingelösten Einladungsschlüssel unter den Empfängern zu tauschen. Zunächst möchte ich jedem dringend davon abraten, dies zu tun oder ein Angebot einer anderen Person dazu wahrzunehmen. Die für die Beteiligten damit verbundenen Risiken hat Pavel bereits ausführlich in seiner Mail vom 18.08. auf der Aktiven-Mailingliste aufgeführt. Jeder, der seinen Schlüssel weitergibt, geht damit sowohl das Risiko eines permanenten Zugangsverlusts zum System als auch rechtliche Risiken ein (auch unabhängig davon, ob die Nutzungsbedingungen durch die Weitergabe des Schlüssels verletzt werden oder nicht).

Für die Integrität von LiquidFeedback in Hinblick darauf, dass jedem Account genau ein Pirat zugeordnet ist, entsteht durch diese Möglichkeit aber kein spezielles Problem. Natürlich ist es jedem prinzipiell möglich, seine Zugangsdaten, ob in Form des Referenzschlüssels, des Einladungsschlüssels oder der Logindaten, an eine zweite Person weiterzugeben. Dies kann grundsätzlich auch nie ausgeschlossen werden; dass es für die Logindaten in den Nutzungsbedingungen untersagt ist ist sicherheitstechnisch irrelevant. Der Tausch von Zugangsdaten bewahrt das Prinzip „ein Pirat – eine Stimme“; selbst die einseitige Weitergabe hat keinen anderen Effekt als die Vergabe einer globalen Delegation, die ja innerhalb von LiquidFeedback selbst auch jederzeit möglich ist. Ein Unterschied besteht darin, dass hier auch eine Übertragung auf Nichtpiraten möglich ist, aber auch dies ist kein prinzipielles Problem. Tatsächlich gibt es ja bereits Überlegungen, wie sich dies auch innerhalb von LiquidFeedback umsetzen lassen könnte. Die Nachvollziehbarkeit der 1-zu-1-Beziehung von Accounts und Mitgliedern mit benutzten Referenzschlüsseln ist ebenfalls nicht gefährdet. Ein potentielles Problem entsteht zwar duch die Haftung der Partei für rechtswidrige Inhalte, wenn sie sich nicht mehr eindeutig einem Mitglied zuordnen lassen, das berührt aber nicht die Integrität des Systems.

Zweitens wurde die Frage aufgeworfen, inwieweit Referenzschlüssel bei der Mailadresse des LiquidFeedback-Accounts auflaufen könnten, die es den Mitgliedern des Supportteams ermöglichen würden, sich zusätzliche Accounts anzulegen. Es ist richtig, dass sich im Moment der Support von LiquidFeedback und der Mitgliederverwaltung, soweit sie sich auf LiquidFeedback bezieht, eine gemeinsame Ticketqueue teilen, die über support@lqfb.piratenpartei.de zu erreichen ist. Der Rücklauf der Einladungsmails zu LiquidFeedback landet also ebenfalls dort. Eine andere Lösung wäre natürlich wünschenswert, aber es gibt zur Zeit keinen eigenen Mailaccount der Mitgliederverwaltung.

Dadurch entsteht aber keine Gefahr, dass ein Mitglied des Supportteams unerkannt Referenzschlüssel verwendet, um damit Acounts zu erstellen. Jeder Referenzschlüssel, der den Support aufgrund einer gebounceten Einladungsmails erreicht, wird gesperrt und ist somit wertlos. Es gibt darüber hinaus keinen Grund, in einer Supportanfrage an die Mitgliederverwaltung seinen Referenzschlüssel zu nennen; aber auch wenn es trotzdem jemand tut, kann man davon ausgehen, dass dies entweder im Rahmen eines Prozesses geschieht, der zur Sperrung des Accounts führt, oder durch ein Mitglied, das gedenkt diesen Referenzschlüssel zu benutzen oder es bereits getan hat.

Trotzdem ist es natürlich nicht auszuschließen, dass Mitglieder des Supportteams Kenntnis von einem gültigen, nicht zu sperrenden, nicht bereits jetzt oder in absehbarer Zeit benutzten Referenzschlüssel erhalten. Dies ließe sich aber auch durch getrennte Supportqueues nicht ausschließen, da die Erfahrung zeigt, dass immer Supportanfragen auch an nicht zuständige Stellen gehen werden. Daher muss der Schutz vor unberechtigt angelegten Accounts auch dann gewährleistet sein, wenn ein Referenzschlüssel bekannt wird. Bei uns wird dies durch den Prozess der Teilnehmerkreisprüfung gewährleistet, der hier dokumentiert ist. Selbst wenn z.B. ich mit dem Referenzschlüssel eines anderen Piraten einen Account anlegen würde, hätte dies zur Folge, dass an die in der Mitgliederverwaltung gespeichtere Mailadresse dieses Mitglieds eine entsprechende Nachricht geschickt wird und der Betrug auffliegt. Wenn es sich um einen Referenzschlüssel handelt, der in der Supportqueue aufgetaucht ist, wäre auch die Rückverfolgung auf mich nicht all zu schwer.

Ich hoffe, dass ich mit diesen Ausführungen einige Befürchtungen ausräumen konnte. Wir freuen uns über jede kritische Auseinandersetzung mit unserem Sicherheitskonzept und sind für Fragen jederzeit erreichbar (Mail: support@lqfb.piratenpartei.de, Twitter, Wiki).

Kommentare sind geschlossen.