Dieses Jahr haben wir bereits angekündigt, dass wir die Online-Überprüfung, ob es sich bei einem Nutzer um einen Menschen handelt, für mehr Anwender rund um den Globus vereinfachen wollen. Wir möchten die unzähligen Busse, Ampeln und schwer zu entziffernden Buchstabenfolgen, die den Usern zur Auswahl vorgelegt werden, überflüssig machen – nicht nur, weil täglich 500 Jahre zur Lösung der Machine-Learning-Probleme anderer Leute eine riesige Zeitverschwendung darstellen, sondern auch, weil wir ein schnelles und transparentes Internet für alle anstreben, bei dem Datenschutz großgeschrieben wird. CAPTCHAs sind für menschliche Anwender nicht besonders praktisch, weil sie selbst für die eifrigsten Internetnutzer oft nur schwer zu lösen sind. Eine besonders große Herausforderung stellen sie für Menschen dar, die bestimmte Sprachen nicht beherrschen, oder für Nutzer von Mobilgeräten (und das ist die Mehrheit).
Heute kommen wir der Unabhängigkeit des Internets von CAPTCHAs zur Erkennung von Bots einen weiteren Schritt näher: Wir dehnen den Anwendungsbereich unseres Experiments „Cryptographic Attestation of Personhood“ (CAP) aus – nun wird eine deutlich größere Bandbreite von Geräten unterstützt. Berücksichtigt werden nun biometrische Authentifizierungsmethoden wie die Face ID von Apple, Microsoft Hello und die Biometrielösung von Android. Dabei können die Authentifizierungsaufgaben mit einem Fingerabdruck oder einer Gesichtserkennung in unter fünf Sekunden gelöst werden, und zwar ohne dass dabei diese vertraulichen biometrischen Daten weitergeleitet werden müssen.
Sie können sich auf unserer Demonstrationswebsite cloudflarechallenge.com selbst ein Bild machen und uns Ihr Feedback übermitteln.
Neben der Unterstützung von hardwarebasierten biometrischen Authentifizierungslösungen geben wir heute auch die Unterstützung vieler weiterer Hardware-Tokens innerhalb des „Cryptographic Attestation of Personhood“-Experiments bekannt. Wir unterstützen sämtliche USB- und NFC-Schlüssel, die von der FIDO-Allianz zertifiziert sind und zu denen dem Metadatendiensts der Organisation (MDS 3.0) keine Sicherheitslücken bekannt sind.
Datenschutzfreundlich
Datenschutz steht im Zentrum der „Cryptographic Attestation of Personhood“. Biometrische Daten werden niemals an Cloudflare übermittelt oder von uns verarbeitet. Wir können sie schlicht und ergreifend nicht einsehen. Vielmehr werden jegliche sensiblen biometrischen Daten ausschließlich auf Ihrem Gerät verarbeitet. Die Verfahren der einzelnen Betriebssysteme unterscheiden sich zwar geringfügig voneinander, doch alle beruhen auf dem Konzept einer vertrauenswürdigen Laufzeitumgebung (Trusted Execution Environment – TEE) oder eines Trusted Platform Module (TPM). Diese beiden Lösungen erlauben es nur Ihrem Gerät, Ihre verschlüsselten biometrischen Daten zu speichern und zu verwenden. Andere auf dem Gerät laufende Anwendungen oder Software können niemals auf diese Informationen zugreifen und sind auch nicht in der Lage, diese an ihre eigenen Systeme zu übermitteln. Falls Sie mehr darüber erfahren wollen, wie die großen Betriebssysteme Biometriesicherheit jeweils umsetzen, empfehlen wir zur weiterführenden Lektüre die Artikel unter den folgenden Links:
Apple (Face ID und Touch ID)
Datenschutz bei Face ID und Touch ID
Übersicht zu Secure Enclave
Microsoft (Windows Hello)
Übersicht zu Windows Hello
Technische Vertiefung zu Windows Hello
Google (biometrische Authentifizierung von Android)
Biometrische Authentifizierung
Messung der biometrischen Entsperrsicherheit
Für uns beschränkt sich Datenschutz aber nicht auf das Gerät: Die WebAuthn API verhindert auch die Übermittlung biometrischer Daten. Wenn ein Nutzer mit einen biometrischen Schlüssel (etwa beim Einsatz der Touch ID von Apple oder Windows Hello) nutzt, haben Dritte wie Cloudflare keinen Zugang dazu: Der Schlüssel verbleibt auf dem Gerät und wird niemals vom Browser übermittelt. Wenn Sie noch besser verstehen möchten, wie „Cryptographic Attestation of Personhood“ vertrauliche Daten schützt, empfehlen wir Ihnen unseren Blogbeitrag zur ursprünglichen Ankündigung der Lösung.
Hervorragender Datenschutz – jetzt noch besser
Beim Ausbau dieser Technologie hatten wir uns von Anfang an auf die Fahnen geschrieben, den bestmöglichen Datenschutz zu gewährleisten. Schon zuvor war dieser Schutz relativ robust. Wie in einem früheren Beitrag von uns beschrieben, geben Sie bei der Verwendung von CAP nur sehr wenige Informationen zu Ihrer Authentifizierungshardware preis, nämlich allenfalls Marke und Modell. Dass man sie Ihnen nicht individuell zuordnen kann, ist Absicht: Der zugrundeliegende Standard legt fest, dass die Daten von Tausenden von anderen Datensätzen nicht zu unterscheiden sein dürfen, sodass Sie in der Masse der Nutzer identischer Hardware untergehen.
Damit ist zwar ein guter Anfang gemacht, doch wir wollten sehen, ob wir noch weitergehen können. Wäre es möglich, unsere Abfrage auf die eine erforderliche Information – dass Sie über einen gültigen Sicherheitsschlüssel verfügen – zu beschränken?
Und wir sind stolz darauf, mitteilen zu können, dass wir durch den Einsatz einer kryptographischen Lösung der nächsten Generation, sogenannter Zero-Knowledge-Proofs (ZKP), der Bejahung dieser Frage einen großen Schritt nähergekommen sind. Dank ZKP erfahren wir über Sie nur, dass Ihr Gerät ein zugelassenes Zertifikat für den Beleg, dass es sich bei Ihnen um einen Menschen handelt, generieren kann.
Zur Vertiefung des Themas Zero-Knowledge-Proofs möchten wir Ihnen diesen Artikel an Herz legen.
Priorisierung von Geschwindigkeit, Nutzerfreundlichkeit und Bot-Abwehr
Ausgangspunkt für dieses Projekt waren drei Fragestellungen:
- Wie können wir die Nutzererfahrung beim Nachweis, dass ein Mensch aus Fleisch und Blut vor dem Rechner sitzt, maßgeblich optimieren?
- Wie lässt sich sicherstellen, dass bei der von uns entwickelten Lösung stets die Anwendungsfreundlichkeit im Fokus steht und der weltweite Zugang zum Internet verbessert wird?
- Wie sollte eine Lösung aussehen, die unserer bestehendes Bot-Managementsystem nicht beeinträchtigt?
Vor dem Einsatz dieser neuen Entwicklungsstufe unserer CAPTCHA-Lösung haben wir einen Proof of Concept-Test mit Anwendern durchgeführt, um uns zu vergewissern, dass dieser Ansatz auch seine Berechtigungsgrundlage hat – denn nur, weil sich etwas in der Theorie gut anhört, muss es noch lange nicht praxistauglich sein. Die Mitglieder unserer Testgruppe haben unsere „Cryptographic Attestation of Personhood“-Lösung mit Face ID ausprobiert und uns von ihren Eindrücken berichtet. Wir stellten fest, dass die Aufgabenlösung mit Face ID und Touch ID erheblich schneller erfolgte als bei der Auswahl von Bildern, und dass dabei so gut wie keine Fehler gemacht wurden. Bei den Testpersonen kam diese Alternative zudem sehr gut an und sie machten Vorschläge zur Verbesserung der Nutzererfahrung, die wir bei der weiteren Entwicklung berücksichtigten.
Durch die Daten, die wir dann beim Einsatz in der Produktionsphase sammelten, wurden diese Ergebnisse klar bestätigt. In der ersten Phase der Bereitstellung von CAP war die Möglichkeit, einen Nachweis mit Biometrieanbietern zu erbringen, zwar noch nicht aktiviert, doch wir erfassten jeden Versuch von Usern, einen Service zur biometrischen Authentifizierung zu nutzen. Lässt man YubiKeys außen vor, wurden die meisten dieser Versuche für Face ID unter iOS und für die biometrische Authentifizierung unter Android registriert. Wir freuen uns, diesen Mobilgerätenutzern nun ihren bevorzugten Weg zum Nachweis, dass es sich bei ihnen um einen Menschen handelt, anbieten zu können.
Während der Testphase wurden – wie zu erwarten war – Datenschutzbedenken an uns herangetragen. Wie wir bei der Produkteinführung erläutert haben, bietet die unserer Lösung zugrundeliegende WebAuthn-Technologie einen hohen Grad an Datenschutz. Cloudflare kann einen Identifikator einsehen, den Tausende ähnliche Geräte gemeinsam haben und der allgemeine Angaben zu Marke und Modell offenlegt. Eine Zuordnung zu einem bestimmten Menschen oder seine Nachverfolgung ist aber nicht möglich – und so soll es auch sein.
Da unsere Lösung nun auf weitere Gerätetypen erweitert wurde, können Sie jetzt auch biometrische Lesegeräte verwendet werden. Wir können Ihnen versichern, dass dabei das gleiche Datenschutzniveau angewandt wird. So haben wir niemals Einblick in Ihre biometrischen Daten; diese verbleiben auf Ihrem Gerät. Sobald Ihr Gerät eine Übereinstimmung festgestellt hat, schickt es lediglich eine einfache Bestätigungsnachricht, wie es das bei jedem anderen beliebigen Sicherheitsschlüssel auch tun würde. Faktisch stellt die Nachricht des Geräts einen Beleg dar, dass jemand auf diesem vertrauenswürdigen Gerät beispielsweise einen korrekten Fingerabdruck eingegeben hat. Der Fingerabdruck selbst wird jedoch grundsätzlich nicht übermittelt.
Außerdem haben wir uns die Rückmeldungen von Menschen angesehen, die CAP entweder auf unserer Demonstrationswebsite oder beim normalen Surfen im Web getestet haben. Wir sind dankbar für die nützlichen Hinweise und würden gern noch mehr erfahren, um weitere Verbesserungen vornehmen zu können. Daher haben wir eine Umfrage auf unserer Demonstrationswebsite freigeschaltet. Sie erreichen uns aber auch unter [email protected]. Damit wir unsere Lösung wirklich anwenderfreundlich gestalten können, sind wir auf Ihre Hilfe angewiesen. Lassen Sie uns also bitte wissen, was sie davon halten.