Steffen Voß14h ago

Ohne Google/Apple = Keine EUDI-Wallet

Die Wallet soll EU-Bürger*innen unabhängiger machen - doch sie vertraut blind den gleichen Tech-Giganten, die wir mit DMA & Datenschutzklagen bekämpfen.

Die Wallet prüft via Play Integrity (Android) & App Attest (iOS), ob euer Gerät sicher ist. Gerootet/Jailbroken? Kein Zugang. Veraltete Sicherheitsupdates? Blockiert.

Wie souverän ist eine digitale ID, wenn zwei US-Konzerne über ihre Nutzung bestimmen? Und was passiert, wenn Google/Apple die Attestierung einfach abschalten? Oder meinen Account sperren? Ich soll doch in der EUDI-Wallet zukünftig alles vom Personalausweis bis zum Mietvertrag speichern, wenn ich das recht verstanden habe.

via HackerNews

https://bmi.usercontent.opencode.de/eudi-wallet/wallet-development-documentation-public/latest/architecture-concept/06-mobile-devices/02-mdvm/#motivation

#DigitalSouveränität #eIDAS #EUDI #Privacy #BigTech

Mobile Device Vulnerability Management Concept - German National EUDI Wallet: Architecture Documentation

Show threadMasterEmit
@kaffeeringe Play Integrity ist Snake Oil. Wer als App-Anbieter darauf angewiesen ist, hat seine Security nicht im Griff.
8:36amWeb
Show threadNils Fuhrmann13h ago

@masteremit
Problem ist doch, dass man ohne Anbindung an einen der beiden App Stores kaum die Reichweite auf dem Markt bekommt, die man gerne für eine Appentwicklung hätte. Das heißt, Entwickler fallen doch vermutlich gar nicht auf das Sicherheitsversprechen rein, sondern müssen schlicht überlegen, ob sie ein Nischenprodukt rausbringen oder die breite Masse erreichen wollen.

@kaffeeringe

Show threadSteffen Voß12h ago
@nfk @masteremit Es ist ja eine Sache, dass die App in den Stores ist. Es ist eine andere Sache, dass die App abhängig von den Stores ist.
Show threadReiner Jung 🇬🇱 🇺🇦 🇪🇺12h ago

@kaffeeringe @nfk @masteremit man könnte gerade als Staat sich für alternative Stores einsetzen und auf andere Absicherungsmethoden.

Mit F-Droid gibt es bereits für Android eine Alternative.

Show threadMasterEmit11h ago
@prefec2 @kaffeeringe @nfk F-Droid ist leider nicht immer eine Alternative, da nur FOSS dort zulässig ist. Closed Source Apps gehen dort nicht.
Show threadMasterEmit11h ago
@prefec2 @kaffeeringe @nfk Allerdings F-Droid + Aurora könnte gehen, hab ich selbst allerdings nie probiert.
Show threadReiner Jung 🇬🇱 🇺🇦 🇪🇺11h ago
@masteremit @kaffeeringe @nfk für Endnutzer ist das eine Option. Aber F-Droid ist Open Source. Man könnte auch ein C-Droid oder Public-Droid einrichten für Closed Source Apps. Darf gerne die EU oder die Bundesregierung betreiben. Ich sehe das Analog zum Wochenmarkt. Den organisiert auch die Kommune (also der Staat) und die Anbieter zahlen einen kleinen Beitrag.
Show threadSteffen Voß11h ago
@prefec2 @masteremit @nfk Es reicht ja ein Repository für F-Droid…
Show threadMasterEmit11h ago
@kaffeeringe @prefec2 @nfk Es sollte einfach nutzbar sein und Repositories in F-Droid hinzufügen ist für viele bereits wieder eine Hürde. Aber ja, vielleicht ist ein EU store auf Basis von F-Droid mit vorkonfigurierten Repos eine Option. FOSS + auf Sicherheit geprüfte andere Apps. Der Store und die Software drumherum selbst ist natürlich auch FOSS. Public Money und so.
Show threadMichael S.8h ago
@masteremit @prefec2 @kaffeeringe @nfk Es ist natürlich die Frage, ob eine staatliche Closed-Source-App ausreichend vertrauenswürdig sein kann. Ich bevorzuge inzwischen generell OpenSource-Software.
Show threadMasterEmit7h ago
@M_E_ST @prefec2 @kaffeeringe @nfk oh die staatlichen Apps sollten definitiv FOSS sein. Mit Closed Source Apps meinte ich generell andere Apps von Unternehmen. Da war ich nicht eindeutig.
Show threadNils Fuhrmann12h ago

@kaffeeringe

Man tut doch alles dafür, dass es keine zwei verschiedenen Sachen sind: Wenn der Googlestore keine Apps zulässt, die unabhängig von Playintegry sind, das Wallet somit abhängig von Google ist, werden alle Anwendungen, die Funktionen des Wallet nutzen, ebenfalls googleabhängig.

Vielleicht verstehe ich Dich auch falsch?

@masteremit

Show threadMasterEmit11h ago
@nfk @kaffeeringe Play Integrity wird von Google nicht erzwungen. Es gibt also keinen Grund es zu nutzen, um im PlayStore zu sein. Und andere Services wie Push oder Pay können auch optional in den Apps angeboten werden. Es ginge schon, wenn Hersteller wollen würden.