@fehlfarbe @david_zwei Steht sogar explizit hier: https://support.fairtiq.com/hc/de/articles/208291845--Anforderungen-f%C3%BCr-die-Verwendung-von-FAIRTIQ

Außerdem: "Auf Android verwendet FAIRTIQ die Standortdienste von Google. Daher sind aktuelle Huawei-Telefone, wie das P40 und das Mate 30, leider nicht mit FAIRTIQ kompatibel."

Den Zwang zu bestimmten Betriebssystemen und besonders proprietärer Software und Datenschutzbedingungen von Firmen außerhalb der EU dürfte die EU langsam gerne mal verbieten.

@haagch @fehlfarbe @david_zwei Das Problem ist, dass die Anbieter der Produkte verplfichtet sind, sicherzustellen, dass die Daten in einer vertrauenswürdigen Umgebung laufen.

Das kommt entweder aus der Google Attestation oder der Apple Attestation - daher sind gerootetes Handy oder alternative Betriebssysteme hier raus.

Die EU müsste also eine alternative Attestierung von Hardware bis hoch in die App definieren, sonst sind wir weiterhin auf Google/Apple angewiesen.

@asltf @fehlfarbe @david_zwei Das Problem ist die Einbildung, dass man sichere vom Benutzer kontrollierte Umgebungen haben kann, das ist nur eine Wette, dass die Leute keine Lust haben, ständig zu reverse engineeren.

Fahrkarten sollten andersherum funktionieren, mit im ÖPNV fest installierten QR/NFC Scannern.

In Brüssel z.B. kann man ohne Fahrkarte direkt mit diversen Bankkarten in jedem Bus/Tram/Metro direkt an einem Kartenleser zahlen (wenn es denn funktioniert).

@haagch @fehlfarbe @david_zwei
Nein, es nicht nur Katz und MAus Spiel gegen reverse engineering.

Bei vielen Dingen ist vor allem die Attestierung wichtig, dass die Schlüssel sicher in Hardware stecken und damit nicht aus dem Gerät auf ein anderes Übertragen werden können.

Aber um der Attestierung der Hardware zu vertrauen, muss man auch dem Environment vertrauen, in dem die Attestierung erfolge - das also auch nicht nur ein MITM ist.