Sicherer digitaler Nachlass ("flexible secret sharing")
Dieser Beitrag schlägt das Konzept der flexiblen Geheimnisteilung ("flexible secret sharing") als sicheren und praktikablen Lösungsansatz für folgendes Problem vor: Personen die kritische digitale Infrastruktur betreiben können längerfristig oder für immer ausfallen (sog. Bus-Faktor). Damit wenigstens der Betrieb der Infrastruktur weitergehen kann, sollten andere Personen grundsätzlich Zugriff bekommen können, allerdings so dass sinnvolle Sicherheitsanforderungen für den Nominalfall gewahrt bleiben. Ein solches Secret-Sharing-System muss außerdem der dynamischen sozialen Wirklichkeit echter Menschen Rechnung tragen.
Sicherer digitaler Nachlass durch flexible Geheimnisteilung
(Mail vom 2023-03-08, an die fsfe-de Mailingliste, leicht angepasst)
Problem allgemein:
Alice verwaltet einen Server mit wichtigen Daten für den Verein "Veilchen" und ist außerdem Fallschirmspringerin. Für den Fall der Fälle, dass ihr irgendwas zustößt, sollen andere Mitglieder (Bob, Carl und Dora) Zugriff auf den Server bekommen. Dass ssh-Passwort direkt weiterzugeben ist aber zu unsicher, denn jede Person hat ein Risiko gehackt oder erpresst zu werden etc.
Secret Sharing:
Die technische Lösung dafür ist "Secret Sharing". Bob, Carl und Dora bekommen jeweils nur einen (verschlüsselten) Teil des ssh-Passworts, einen sog. "Anteil" (engl. "share"). Alice hat die Anteile so generiert, dass es insgesamt M=3 gibt und N=2 beliebige davon benötigt werden, um das Passwort zu rekonstruieren. Für den Fall dass Carl also z.B. auf Weltreise ist, während Alice einen Unfall hat, können immer noch Bob und Dora die Serververwaltung übernehmen.
Für dieses Problem gibt es bereits konzeptionelle Lösungen [1] und darauf basierende Software [2-5].
- [1] https://de.wikipedia.org/wiki/Shamir%E2%80%99s_Secret_Sharing
- [2] https://manpages.debian.org/stable/libgfshare-bin/gfshare.7.en.html
- [3] https://github.com/lapets/shamirs
- [4] https://github.com/cyphar/paperback
- [5] https://www.moserware.com/2011/11/life-death-and-splitting-secrets.html
Flexibles Secret Sharing (Level 1):
Ich suche nun aber eine Lösung, die folgenden "Flexibilitäts-Use-Case" abdeckt: Alice hatte bisher keinen Unfall, alles geht seinen Gang. Aber Carl tritt nach seiner Weltreise aus dem Verein aus. Dafür tritt Egon ein. Alice möchte Egon auch einen PW-Anteil geben und gleichzeitig den von Carl ungültig machen. Das ganze soll so ablaufen, dass sich die PW-Anteile für Bob und Dora nicht ändern. Und wenn Egon sich irgendwann als Vollpfosten herausgestellt haben sollte, soll eine analoge Anpassung möglich sein.
Die Option, dass sich ein Teil der Geheimnis-Anteile ändern und andere nicht, gibt es meines Wissens noch nicht. Mathematisch sollte das möglich sein, unter der Berücksichtigung, dass Alice das Passwort beliebig anpassen kann.
Flexibles Secret Sharing (Level 2):
Personelle Fluktuation kommt im Veilchen-Verein jetzt öfter vor, außerdem betreibt Alice inzwischen auch noch Server für andere Vereine, wobei die Mitgliedermengen teilweise überlappen. Sie wünscht sich eine übersichtliche Oberfläche in der sie sehen kann, wer wann Anteile an welchen Geheimnissen bekommen hat und wo sie die Verwaltung (neue Anteile erzeugen, alte ungültig machen, Parameter M und N ändern, etc.) durchführen kann.
Zusammenhang zu Nachhaltigkeit
Grundsätzlich halte ich eine nachhaltige Gestaltung der Digitalisierung für dringend notwendig, siehe bits-und-baeume.org für Details. Aus meiner Sicht hat eine sichere Fallback-Lösung für digitale Geheimnisse ziemlich viel mit einer nachhaltigen Digitalisierung zu tun: Im Kern geht es bei Nachhaltigkeit darum, dass wir zukünftigen Generationen keine schwerwiegenden Probleme hinterlassen (oft bezogen auf die ökologische Domäne). Einen sicheren und unkomplzierten Transferprozess für den Zugriff auf Infrastruktur und ggf. Daten zu haben, fällt für mich vollumfänglich unter diese Definition. Hinzu kommt der Nebeneffekt, dass beim Implementieren in einer Organisation unweigerlich das Thema IT-Sicherheit angesprochen werden muss, welches explizit Teil der B&B-Forderungen ist (siehe Forderung 5).
Frage: Kennt jemand sowas (Level 1 oder sogar Level 2)?
Anmerkung: Level 1 ließe sich vermutlich als Hobby-Projekt zusammenstricken. Ich denke, mit guter UX und gutem Marketing wäre Level 2 vermutlich ein funktionierendes Geschäftsmodell (vorzugsweisse um ein Open-Source-Kernprodukt):
- Ressourcen für Benutzerfreundlichkeit, Sicherheit und Komfortfunktionen
- Ressourcen für die PR → mehr Menschen würden es nutzen
- → mehr Menschen würden über die sichere Aufbewahrung von Geheimnissen nachdenken (und hoffentlich aufhören, Klebezettel zu verwenden)
- → weniger Frustration und Datenverlust in Unternehmen, NROs, Hackspace, Familien, Freundeskreisen usw.