WebAuthn Credential Exchange Protocol (CXP) & Format (CXF)

Passkeys entwickeln sich schnell zum Goldstandard für die Online-Authentifizierung und bieten eine sichere, phishing-resistente Alternative zu herkömmlichen Passwörtern. Unterstützt von der FIDO Alliance, basieren Passkeys auf den Standards WebAuthn und FIDO2 und nutzen Public-Key-Kryptografie, um die Risiken von Datendiebstahl zu eliminieren.

Doch mit der zunehmenden Verbreitung tritt eine zentrale Herausforderung zutage: Wie importiert oder exportiert man Passkeys zwischen verschiedenen Anbietern – zum Beispiel von Bitwarden zu 1Password oder von Apples iCloud Keychain zum Google Password Manager?

Im Gegensatz zu Passwörtern haben Passkeys kein Format, das sich einfach exportieren oder importieren lässt. Diese fehlende Interoperabilität schafft Reibungspunkte für Nutzer und erhöht das Risiko eines Vendor-Lock-ins.

Genau hier kommen zwei neue Standards ins Spiel:

• Das Credential Exchange Protocol (CXP): Definiert einen sicheren Mechanismus zur Übertragung von Passkeys zwischen Anbietern.

• Das Credential Exchange Format (CXF): Definiert ein standardisiertes Datenformat für die Anmeldedaten selbst, wie Passkeys, Kreditkartendaten oder TOTP-Codes.

Zusammen sollen CXP und CXF die Portabilität von Passkeys nicht nur möglich, sondern auch sicher, flexibel und benutzerfreundlich machen. In diesem Blogbeitrag beantworten wir die folgenden Fragen:

1. Was ist das Credential Exchange Protocol (CXP) und wie funktioniert es?

2. Was ist das Credential Exchange Format (CXF) und wie sieht es aus?

3. Was ist der aktuelle Entwicklungsstand des Credential Exchange Protocol und des Credential Exchange Format?

Während immer mehr Nutzer und Organisationen Passkeys einsetzen, bleibt eine entscheidende Herausforderung bestehen: das Verschieben von Anmeldedaten zwischen Plattformen. Im Gegensatz zu Passwörtern, die als einfache Text- oder CSV-Dateien exportiert werden können (so unsicher das auch sein mag), basieren Passkeys auf kryptografischen Schlüsselpaaren. Das macht den Import/Export weitaus komplexer und sensibler.

Hier sind die aktuellen Probleme bei der Passkey-Migration:

• Kein Standardformat: Anders als CSVs für Passwörter haben Passkeys keine universelle Darstellungsform. Jeder Anbieter speichert sie anders.

• Unsichere Übertragungen: Bei einigen seltenen Versuchen, Migrationen zu unterstützen, wurden Anmeldedaten in unverschlüsselten Formaten exportiert, was zu ernsthaften Sicherheitsrisiken führte (siehe diese GitHub-Diskussion).

• Fehlgeschlagene Migrationen: Ohne eine einheitliche Struktur könnte die Migration von Passkeys zwischen Anbietern fehlschlagen, was zum Verlust von Anmeldedaten führen oder Nutzer zwingen würde, Passkeys neu zu erstellen.

• Blockiert durch Richtlinien: Unternehmensumgebungen könnten den Export von Anmeldedaten vollständig deaktivieren, aus Angst vor unsicheren Übertragungen oder Kompatibilitätsproblemen.

• Vendor-Lock-in: Ohne zuverlässige Möglichkeiten, Passkeys zu exportieren, werden Nutzer an ihren aktuellen Anbieter gebunden – was die Freiheit der Nutzer und den Wettbewerb untergräbt.

Dieses Problem ist nicht hypothetisch, es passiert genau jetzt. Da Menschen mehrere Geräte, Browser und Apps zur Verwaltung von Passkeys verwenden, wird die Notwendigkeit, Passkeys aus einem Ökosystem zu importieren und in ein anderes zu exportieren, immer dringlicher.

Deshalb haben sich Anfang 2023 wichtige Akteure wie 1Password, Dashlane, Bitwarden und NordPass zusammengetan, um einen Prototyp für eine Lösung zu entwickeln. Das Ergebnis: eine gemeinsame Initiative zur Definition offener Standards für den sicheren Austausch von Anmeldedaten – das Credential Exchange Protocol (CXP) und das Credential Exchange Format (CXF).

Um die Herausforderungen der Passkey-Migration zu bewältigen, sind zwei komplementäre Standards entstanden: das Credential Exchange Protocol (CXP) und das Credential Exchange Format (CXF). Unterstützt von Branchenführern wie Apple, Google, Microsoft und 1Password, zielen diese Spezifikationen darauf ab, den Import und Export von Passkeys sicher, standardisiert und interoperabel zu machen.

Das Credential Exchange Protocol (CXP) ist eine Spezifikation, die eine sichere Methode zur Übertragung von Anmeldedaten zwischen zwei Anbietern von Anmeldedaten/Passkeys definiert. Aktuell ist es ein Working Draft innerhalb der FIDO Alliance, sein Design entwickelt sich also noch. Ziel ist es, einen standardisierten und sicheren Kanal zu schaffen, um Anmeldedaten von einem Sender zu exportieren und bei einem Empfänger zu importieren.

Obwohl die Details noch nicht endgültig sind, wird erwartet, dass das Protokoll Hybrid Public Key Encryption (HPKE) verwendet, um eine Ende-zu-Ende-Verschlüsselung der Anmeldedaten während der Übertragung zu gewährleisten. Diese robuste kryptografische Grundlage schützt sensible Daten vor dem Abfangen oder Manipulieren.

CXP wird als besonders wichtig für Drittanbieter wie Passwort-Manager angesehen, um den Austausch von Anmeldedaten zwischen verschiedenen Plattformen, beispielsweise zwischen Browser-Erweiterungen, zu erleichtern. In diesen Szenarien ist ein standardisiertes und hochsicheres Transportprotokoll entscheidend. Da es sich noch in einem frühen Entwurfsstadium befindet, sind seine endgültige Form und der Zeitplan für die Standardisierung noch ungewiss, Schätzungen deuten auf Anfang 2026 hin.

Das Credential Exchange Format (CXF) definiert, wie die Anmeldedaten selbst für den Austausch strukturiert sind. Es befindet sich derzeit im Status Review Draft, was bedeutet, dass es kurz vor der Finalisierung als Standard steht.

Im Gegensatz zu CXP, das die sichere Übertragung regelt, konzentriert sich CXF ausschließlich auf das Datenformat. Es spezifiziert eine standardisierte JSON-basierte Struktur für verschiedene Arten von Anmeldedaten und stellt so sicher, dass eine von einem Anbieter exportierte Anmeldeinformation von einem anderen korrekt verstanden werden kann.

CXF definiert Typen für:

• Passkeys (public-key-credential)
• Passwörter (password)
• TOTP-Secrets (totp)
• Notizen (note)

Dieses standardisierte Vokabular ist der Schlüssel zur Interoperabilität. Zum Beispiel verwenden sowohl Apple als auch Google bereits CXF für die Übertragung von Anmeldedaten zwischen nativen Apps auf demselben Gerät. Da die Übertragung lokal stattfindet, ist ein dediziertes Transportprotokoll wie CXP nicht erforderlich.

Durch die Standardisierung der Struktur beseitigt CXF Probleme wie Format-Inkompatibilitäten oder teilweisen Datenverlust bei Migrationen. Es ist zudem von Grund auf erweiterbar, sodass zukünftige Versionen neue Arten von Anmeldedaten hinzufügen können, ohne die Abwärtskompatibilität zu beeinträchtigen.

Ende 2024 haben sowohl das Credential Exchange Protocol (CXP) als auch das Credential Exchange Format (CXF) unterschiedliche Reifegrade erreicht und werden von der Branche stark vorangetrieben.

Die Entwicklung von CXP und CXF wird durch die FIDO Alliance koordiniert, mit aktiven Beiträgen von wichtigen Akteuren wie Apple, Google, Microsoft, 1Password, Bitwarden und Dashlane.

Diese breite Zusammenarbeit signalisiert ein gemeinsames Engagement, die Portabilität von Passkeys Realität werden zu lassen. Tatsächlich implementieren bereits mehrere Unternehmen Lösungen, die auf den Entwürfen basieren:

• Apple und Google werden CXF für den Austausch von Anmeldedaten zwischen Apps auf demselben Gerät verwenden.
• Drittanbieter von Passwort-Managern entwickeln Prototypen auf Basis früher CXP-Entwürfe, um sich auf einen sicheren, plattformübergreifenden Austausch vorzubereiten.

Die beiden Spezifikationen haben unterschiedliche Zeitpläne:

• Das Credential Exchange Format (CXF) befindet sich im Review Draft. Es wird erwartet, dass es noch vor Ende 2024 als formeller Standard verabschiedet wird.
• Das Credential Exchange Protocol (CXP) ist ein Working Draft. Sein Weg zur Standardisierung ist länger, mit einer möglichen Veröffentlichung Anfang 2026, da das Feedback der Community eingearbeitet wird, um sicherzustellen, dass es für plattformübergreifende Anwendungsfälle robust und sicher ist.

Die Entwürfe der Spezifikationen sind auf der Website der FIDO Alliance öffentlich zugänglich, und das Feedback von Entwicklern wird aktiv gefördert, um sie vor der Finalisierung zu verfeinern.

Um frühe Experimente und die Implementierungsplanung zu unterstützen, umfasst das Passkey-Ökosystem mittlerweile:

• Passkeys Debugger: Eine Plattform, die hilft, WebAuthn-Anfragen verständlich zu debuggen.

• Passkey Community: Eine Community von Softwareentwicklern und Produktmanagern, die Fragen rund um Passkeys diskutieren.

• Passkey Subreddit: Ein spezielles Subreddit, um Neuigkeiten über Passkeys und WebAuthn zu diskutieren, einschließlich CXP und CXF.

• passkeys.eu: Test-Tools für Entwickler zur Validierung von WebAuthn-Flows und dem Verhalten von Passkeys.

• CXP GitHub Draft: Vollständige Protokollnachrichtenstruktur und kryptografischer Ablauf.

• CXF GitHub Draft: ZIP-Dateilayout und Format für das Verpacken von Anmeldedaten.

Obwohl noch nicht vollständig standardisiert, sind CXP und CXF klar auf dem Weg, das letzte fehlende Puzzleteil im Passkey-Puzzle zu werden – und ermöglichen so einen sicheren, nahtlosen Import/Export für Nutzer und Organisationen gleichermaßen.

Das Credential Exchange Protocol (CXP) und das Credential Exchange Format (CXF) entstanden aus der Notwendigkeit, den Import und Export von Passkeys sicher und nahtlos zu gestalten. Aber ihr Potenzial endet hier nicht.

Diese Standards schaffen eine Blaupause für die Übertragung beliebiger sensibler Anmeldedaten zwischen Anbietern – sicher, zuverlässig und plattformübergreifend. Das öffnet die Tür zu breiteren Anwendungsfällen in den Bereichen Identität, Authentifizierung und sogar bei von Regierungen ausgestellten Ausweisen.

Eine der größten Sorgen bei der aktuellen Verbreitung von Passkeys ist der Vendor-Lock-in. Ohne eine Möglichkeit, Anmeldedaten sicher zu verschieben, sind Nutzer oft an ihren ursprünglichen Anbieter gebunden – selbst wenn sich ihre Bedürfnisse ändern.

Mit CXP und CXF bewegen wir uns auf ein wirklich interoperables Passkey-Ökosystem zu, in dem Nutzer und Unternehmen:

• Passkeys frei zwischen Anbietern migrieren können

• die Erstellung doppelter Anmeldedaten vermeiden können

• den Wechsel von Geräten und Plattformen vereinfachen können

Dies unterstützt direkt die Wahlfreiheit der Verbraucher, fördert den Wettbewerb und stärkt das Vertrauen in das Passkey-Modell.

Wie Christiaan Brand, Produktmanager der Identity and Security Group bei Google, es ausdrückte:

„In Zukunft könnte dies auch für mobile Führerscheine, Pässe und alle anderen Geheimnisse gelten, die man exportieren und in ein anderes System importieren möchte.“

Stellen Sie sich vor, Sie könnten sicher übertragen:

• Passkeys (public-key-credential)

• TOTP-Secrets (totp)

• Zahlungsdetails (credit-card)

• Behördliche Ausweise (identity-document)

alles über denselben, standardisierten Austauschmechanismus. Das ist die Zukunft, die CXP und CXF mitgestalten.

Da der verschlüsselte, verifizierbare Austausch von Anmeldedaten zur Norm wird, können Organisationen endlich unsichere CSV-Exporte abschaffen, fehleranfällige manuelle Prozesse vermeiden und Encryption-First-Richtlinien für die gesamte Handhabung von Anmeldedaten durchsetzen.

Ob im Verbraucherbereich, in der Unternehmens-IT oder in Identitätssystemen des öffentlichen Sektors – dieser Wandel erhöht die standardmäßige Sicherheitslatte, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

Das Credential Exchange Protocol (CXP) und das Credential Exchange Format (CXF) stellen eine entscheidende Weiterentwicklung im Passkey-Ökosystem dar. Indem sie langjährige Lücken bei der Migration von Anmeldedaten schließen, bieten sie ein sicheres, standardisiertes Rahmenwerk für den Import und Export von Passkeys über verschiedene Plattformen und Anbieter hinweg. Während CXF das „Was“ (das Datenformat) standardisiert und CXP das „Wie“ (die sichere Übertragung), ebnen sie gemeinsam den Weg für echte Passkey-Portabilität.

Mit breiter Unterstützung von Branchenführern und wachsender Dynamik in der FIDO-Community sind diese Spezifikationen auf dem besten Weg, eine der letzten großen Hürden für die Verbreitung von Passkeys zu beseitigen: die Portabilität.

Für Entwickler und Organisationen, die heute Passkey-basierte Systeme aufbauen, bedeutet das, bei CXP und CXF auf dem Laufenden zu bleiben, nicht nur Zukunftssicherheit – es geht darum, bessere Nutzererlebnisse, höhere Sicherheit und mehr Flexibilität zu ermöglichen.

Bei Corbado verfolgen wir diese Entwicklungen genau und helfen Unternehmen, Passkeys in großem Maßstab zu implementieren – ohne Vendor-Lock-in, Kopfschmerzen bei der Benutzermigration oder Sicherheitskompromisse. Wenn das Ökosystem reift, werden wir zu den Ersten gehören, die CXP/CXF-basierte Abläufe unterstützen, um den sicheren Austausch von Anmeldedaten Realität werden zu lassen.

Passkeys sind da. CXP und CXF werden ihnen helfen, sich überall zu verbreiten.