Steffen Voß14h ago

Ohne Google/Apple = Keine EUDI-Wallet

Die Wallet soll EU-Bürger*innen unabhängiger machen - doch sie vertraut blind den gleichen Tech-Giganten, die wir mit DMA & Datenschutzklagen bekämpfen.

Die Wallet prüft via Play Integrity (Android) & App Attest (iOS), ob euer Gerät sicher ist. Gerootet/Jailbroken? Kein Zugang. Veraltete Sicherheitsupdates? Blockiert.

Wie souverän ist eine digitale ID, wenn zwei US-Konzerne über ihre Nutzung bestimmen? Und was passiert, wenn Google/Apple die Attestierung einfach abschalten? Oder meinen Account sperren? Ich soll doch in der EUDI-Wallet zukünftig alles vom Personalausweis bis zum Mietvertrag speichern, wenn ich das recht verstanden habe.

via HackerNews

https://bmi.usercontent.opencode.de/eudi-wallet/wallet-development-documentation-public/latest/architecture-concept/06-mobile-devices/02-mdvm/#motivation

#DigitalSouveränität #eIDAS #EUDI #Privacy #BigTech

Mobile Device Vulnerability Management Concept - German National EUDI Wallet: Architecture Documentation

Show threadPEisenhofer12h ago

@kaffeeringe
@kaibojens

Die Abhängigkeit besteht automatisch, weil für die breite Bereitstellung der EUDI-Wallet die vorhandenen Plattformen genutzt werden müssen.
Die Abhängigkeit von den (Gatekeeper-)Plattformen ist deshalb durch den DMA beschränkt. Dort ist auch die konkrete Verpflichtungen auferlegt, Zugänge zu HW- und SW-Funktionen freizugeben.
(Vgl. Art. 5-9 DMA)
Ich sehe die Risiken eher in der erfolgreichen Durchsetzung des DMA durch die EU-Kommission.

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022R1925

Verordnung - 2022/1925 - EN - EUR-Lex

Show threadDigiDoc

@Peisho @kaffeeringe @kaibojens

Die AusweisApp kann man auch ohne Google installieren und nutzen.
Corona-Warn-App war ebenfalls so nutzbar außer, dass man keine Pushbenachrichtigungen bekommen hat.

Es geht also absolut ohne. Beim überfliegen der BMI-Quelle hatte ich irgendeine Referenz zu einer IEC-Norm gesehen. Ich vermute das dort irgendwas steht von nur auf sicherem Device ausführbar und sich die Entwickler da entspannt zurück lehnen und auf Apple und Google verweisen...

10:40amWeb
Show threadPEisenhofer5h ago
@FK_Med @kaffeeringe @kaibojens
Das prüft das BSI. Da lehnt sich definitv niemand zurück.
Show threadDigiDoc4h ago
@Peisho @kaffeeringe @kaibojens
Nur zu Android weil ich von Apple noch weniger Ahnung habe:
Das BSI prüft die Einhaltung der Norm, welche ein "sicheres" Gerät fordert. Die Möglichkeit die Sicherheit des Gerätes zu prüfen kann durch Googles "SafetyNet" erfolgen was wahrscheinlich irgendwie zertifiziert ist wo Google aber jederzeit Unfug mit treiben kann. 1/X
Show threadDigiDoc4h ago

@Peisho

Alternativ könnte jeder App-Developer aber auch die Android-Eigenen Funktionen nutzen um die Geräteintegrität zu prüfen. Zumindest Laut Aussage der Entwickler von @GrapheneOS unter https://grapheneos.org/articles/attestation-compatibility-guide

Soweit ich das verstehe würde dies sogar eine höhere Sicherheit bedeuten, weil es dafür kein Vertrauen zu Google braucht.

Es gibt auch Banking-Apps die dieses Feature unproblematisch nutzen. 2/3

GrapheneOS attestation compatibility guide

Guide on using remote attestation in a way that's compatible with GrapheneOS.

GrapheneOS
Show threadDigiDoc4h ago

@Peisho

Ich werfe also den Entwicklern der deutschen euIDAs-App Faulheit vor, weil Sie statt selbst etwas zu programmieren was dem Standard entspricht lediglich die Google-Lösung nutzen.

Sie müssten nicht einmal relevant viel neuen Code schreiben sondern lediglich eine Android-eigene API integrieren.

So wird das halt nichts mit Souveränität.

3/3