Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Automatische Kryptografische Nutzerverifizierung #156

Open
benkuly opened this issue Jan 23, 2023 · 1 comment
Open

Automatische Kryptografische Nutzerverifizierung #156

benkuly opened this issue Jan 23, 2023 · 1 comment

Comments

@benkuly
Copy link

benkuly commented Jan 23, 2023
edited
Loading

Dies ist abgeleitet aus ANFTIM-152. Dieses Ticket soll eine öffentliche Diskussion anregen.

Stand TIM 1.1 keine automatische kryptografische Nutzerverifizierung:

  1. ❌ Vertrauen des Servers notwendig - Zero-Trust Ansatz wird verletzt
  2. ❌ Falsches Vertrauen wird erweckt (Pseudo-Sicherheit) – wer haftet?
  3. ❌ Manuelle Verifizierung aufwendig

Vorgeschlagene Lösung (Kurzfassung):

  • Beim ersten Einrichten des Kontos den eigenen Master Signing Key von VZD-RootKey signieren lassen und dann in Matrix hochladen
  • Hinterlegung des vertrauenswürdigen VZD-RootKey public key im Client

Vorgeschlagene Lösung (Langfassung):

Beim Einrichten des Matrix-Konto Cross Signing wird vom VZD-RootKey der MSK signiert. Dies erfolgt z. B. zusammen mit der HBA als 2FA. Der MSK wir dann Matrix-Spec konform hochgeladen.

Wenn ein Matrix-Konto nun einen Chat mit einem anderen Matrix-Konto startet, kann einer Vertrauenswürdigkeit anhand der signierten MSK festgestellt werden. Der VZD-RootKey muss dafür bereits auf dem Client als vertrauenswürdig markiert worden sein. Dies entspricht dem Matrix-Spec Vorgehen, ist jedoch dadurch erweitert, dass eine weitere (also der vorher hochgeladene VZD-RootKey) Signatur vom Homeserver ausgeliefert wird.

Kurz gefasst bedeutet das, dass abweichend von der Matrix-Spec eine extern erzeugte Signatur in das Matrix-Konto eingebracht wird. Dies benötigt vorraussichtlich eine kleine Änderung in Synapse, da Synapse bisher die Sichtbarkeit von Signatur beschränkt, je nachdem, welches Konto die Signaturen herunterladen möchte. Es ist aber keine Änderung von Matrix-Client-SDKs notwendig, was die Implementierung deutlich vereinfacht.

image

Vorteile dieser Lösung:

  1. ✅ Kein Vertrauen des Servers notwendig
  2. ✅ Sehr viele Kommunikationswege verifiziert (weniger manuelle Verifizierungen) - dabei auch einseitig verifiziert, also z. B. Patient zu Arzt.
  3. ✅ Größtenteils Matrix Spec konform (⚠️ kleine Änderung in Synapse notwendig)
@mlangguth
Copy link

Interessant.
Ich möchte vorschlagen, dass wir uns das Thema
"Ist der Nutzer hinter dem TIM-Account/MXID authentisch und gibt es eine zugehörige, verlässliche Rollenauthentisierung?"
anschauen, um dann sinnvolle technische Lösungen abzuleiten.

Aus Gründen der Schweigepflicht ergeben sich hinlängliche Bedarfe für einen "Informationssendenden", dass er sich hinreichend sicher sein kann, dass die Person auf der Gegenseite wirklich
a) die Person ist, die sie vorgibt zu sein
und
b) die Person eine bestimmte Rolle einnimmt

Aus (b) lässt sich u.a. für den Sendenden ableiten, ob der Empfänger auch der Schweigepflicht unterliegt oder nicht.
Diese beiden Themen sind aus meiner Sicht in TIM 1.1 bislang überhaupt nicht berücksichtigt und stellen ein echtes Problem für einen Branchenmessenger im HealthCare-Bereich dar...

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@benkuly @mlangguth