Fundamental Design Flaw

Ich hatte da schon sicherheitstechnische Zweifel an der Altersverifikation.

Ich hatte eigentlich vor, mir das Protokoll mal anzusehen, das die da bei der Altersverifikation verwenden. Mir geht da nämlich ein kryptographisches Problem durch den Kopf.

Im Prinzip ist die Sache so, dass wir ein Protokoll aus drei Parteien haben, nämlich Webseitenanbieter, Benutzer und Staat. Und letztlich geht es um ein Autorisierungsschema: Ist der Benutzer X autorisiert, auf Resourcen der Kategeorie Y zuzugreifen?

So etwas ist nicht unproblematisch, denn wenn sie außerdem behaupten, dass das alles anonym ablaufe, dann kann da etwas nicht stimmen. Normalerwiese nämlich setzt eine Autorisation eine Authentifikation voraus – was auch zusammen passieren kann. Althergebracht macht man das in zwei Schritten:

1. Ich: Guten Tag, ich bin der Danisch. Beweis: …
2. Zugangssystem (hier: Staat): Akzeptiert. Der Danisch darf auf die Resource Y zugreifen.

Es gibt Systeme, in denen etwas geringfügig anders läuft. Bei Anmeldungen an LDAP läuft beispielsweise die Autorisation implizit: Guten Tag, ich bin jener Danisch, der auch auf die Resource Y zugreifen darf. System: Akzeptiert, so einen haben wir gefunden. Läuft aber letztlich auf dasselbe hinaus.

Ein wesentliche Knackpunkt bei solchen Autorisationssystemen ist: Muss ich jedesmal, wenn ich auf eine Resource zugreife, Kontakt zum Autorisationssystem aufnehmen, oder bekomme ich so etwas wie einen „Ausweis“? Melde ich mich also ein einziges Mal beim Staat an, und bekomme dann etwas, womit ich immer wieder auf Webseiten zugreifen kann? Wozu auch der ePerso zählen könnte? Oder muss ich jedesmal den Staat Kontaktieren? Hey, Staat, ich will gerade Pornos gucken oder Dildos kaufen, bestätige mir doch mal bitte, dass ich volljährig bin!

Das ist letztlich nicht so weit entfernt von Systemen wie OAuth. Es könnte also sein, dass einem der Staat da ein Zugriffstoken gibt.

Mir ist da allerdings etwas unklar. Ich kann mir noch relativ gut vorstellen, dass das so gebaut wird, dass die Webseite nicht erfährt, wer ich bin, nur „die Bundesrepublik Deutschland bestätigt amtlich, dass der Masturbationsantragsteller volljährig ist und der Antrag für 24 Stunden bewilligt wurde.“ Oder auch der Regierungskritiklesenersuchende. Wie auch immer. Mir fällt es aber gerade schwer, mir das so vorzustellen, dass ich dabei auch gegenüber dem Staat anonym bleibe. Denn irgendwie, irgendwo, irgendwann müssen die ja bei der Frage, ob ich volljährig bin, mal klären, wer ich bin. Ich kann ja nicht anonym verlangen, die Volljährigkeit bestätigt zu haben, sondern muss irgendwann mal sagen, dass ich der Danisch und nicht der minderjährige Rotzlöffel aus der Nachbarschaft bin.

Und das kommt mir alles seltsam vor, denn ich kenne zwar deren Protokoll noch nicht, aber einfach so aus Erfahrung heraus würde ich sagen, dass die Versprechung von der Leyens bestensfalls sehr wackelig sind, denn das kann ja irgendwo gar nicht alles funktionieren. Entweder muss ich mich jedesmal beim Staat anmelden, he, ich bin der Danisch und möchte mal wieder …, oder ich bekomme eine Art wiederverwendbares Token. Das aber wäre zu leicht zu klauen.

Mir leuchtet das noch nicht ein, auf welche einfache, robuste Weise sie die Versprechen von der Leyens erfüllen wollen, ohne sich schwere Sicherheitsprobleme einzuhandeln. Das hat so eine erste Geschmacksnote, als ob sich das gegenseitig widerspreche. Letztlich kann man das aber erst sagen, wenn man sieht, was sie da eigentlich treiben wollen.

Und genau auf diesen Gedankengang sind offenbar auch andere gekommen (klar, ist ja eigentlich auch nicht so schwer):

Bypassing #EU #AgeVerification using their own infrastructure.

I've ported the Android app logic to a Chrome extension – stripping out the pesky step of handing over biometric data which they can leak… and pass verification instantly.

Step 1: Install the extension
Step 2:… https://t.co/9zSony8Em4 pic.twitter.com/a5oQnf0n2Y

— Paul Moore – Security Consultant  (@Paul_Reviews) April 16, 2026

Wenn das so stimmt, scheinen sie genau an der Stelle, die mir dubios vorkommt, bei der mir die Hauptfragen kommen, einfach gar keine Prüfung zu haben.

Das würde mich jetzt auch nicht wundern, denn das entspräche genau der Vorgehensweise von der Leyens damals bei der Kinderpornosperre. Nachdem ich beim BKA gezeigt hatte, dass das so nicht funktionieren kann, wie man sich das vorstellte, kam von der Leyen mit einem Bluff als PR-Stunt und wollte so einen Vertrag der Provider, in dem genau gar nichts stand, außer dass er sofort außer Kraft trete, sobald die Gefahr bestehe, dass er relevant werden könnte. Ich habe von der Leyen nie persönlich gesehen, aber ich kenne diese Handschrift.

Und charakterlich ist sie ja auch nicht in der Lage, einzusehen, dass etwas nicht funktionieren kann.

Ich könnte mir also vorstellen, dass das durchaus Pfusch ist, weil sie in ihrer charakteristischen Weise massiven Druck ausgehübt hat, dass sie das bis dann und dann haben will, egal wie.