dave-ïnïtïv
K. Olbe@fehlfarbe Klingt so...
haagch@fehlfarbe @david_zwei Steht sogar explizit hier: https://support.fairtiq.com/hc/de/articles/208291845--Anforderungen-f%C3%BCr-die-Verwendung-von-FAIRTIQ
Außerdem: "Auf Android verwendet FAIRTIQ die Standortdienste von Google. Daher sind aktuelle Huawei-Telefone, wie das P40 und das Mate 30, leider nicht mit FAIRTIQ kompatibel."
Den Zwang zu bestimmten Betriebssystemen und besonders proprietärer Software und Datenschutzbedingungen von Firmen außerhalb der EU dürfte die EU langsam gerne mal verbieten.
André@haagch @fehlfarbe @david_zwei Das Problem ist, dass die Anbieter der Produkte verplfichtet sind, sicherzustellen, dass die Daten in einer vertrauenswürdigen Umgebung laufen.
Das kommt entweder aus der Google Attestation oder der Apple Attestation - daher sind gerootetes Handy oder alternative Betriebssysteme hier raus.
Die EU müsste also eine alternative Attestierung von Hardware bis hoch in die App definieren, sonst sind wir weiterhin auf Google/Apple angewiesen.
@asltf @fehlfarbe @david_zwei Das Problem ist die Einbildung, dass man sichere vom Benutzer kontrollierte Umgebungen haben kann, das ist nur eine Wette, dass die Leute keine Lust haben, ständig zu reverse engineeren.
Fahrkarten sollten andersherum funktionieren, mit im ÖPNV fest installierten QR/NFC Scannern.
In Brüssel z.B. kann man ohne Fahrkarte direkt mit diversen Bankkarten in jedem Bus/Tram/Metro direkt an einem Kartenleser zahlen (wenn es denn funktioniert).
@haagch @fehlfarbe @david_zwei
Nein, es nicht nur Katz und MAus Spiel gegen reverse engineering.
Bei vielen Dingen ist vor allem die Attestierung wichtig, dass die Schlüssel sicher in Hardware stecken und damit nicht aus dem Gerät auf ein anderes Übertragen werden können.
Aber um der Attestierung der Hardware zu vertrauen, muss man auch dem Environment vertrauen, in dem die Attestierung erfolge - das also auch nicht nur ein MITM ist.
@haagch @fehlfarbe @david_zwei
"In Brüssel z.B. kann man ohne Fahrkarte direkt mit diversen Bankkarten in jedem Bus/Tram/Metro direkt an einem Kartenleser zahlen (wenn es denn funktioniert)."
Und diese Karten sind sichere Betriebsumgebungen, EAL4 oder höher Zertzifiziert - genau das was man mit dem TEE und der Attestation auch versucht nachzubilden - weswegen du von deinem OS teilweise ausgeschlossen wirst
@asltf @fehlfarbe @david_zwei Info über Datenextraktion aus diversen secure enclave Implementierungen findet man im Internet schon, aber eigentlich sollte der Punkt sein, dass das System gar nicht erst darauf ausgelegt sein sollte, dass man Smartphones als irgendwie sicher betrachtet, sondern dass z.B. QR Codes direkt übers Internet verteilt und validiert werden.
Und wie hoch ist der Schaden, bei temporärem Internetausfall einen betrügenden (registrierten!) Account erst retroaktiv zu erkennen?
Und wie hoch ist der Schaden, bei temporärem Internetausfall einen betrügenden (registrierten!) Account erst retroaktiv zu erkennen?