Mastodawn

Ohne Google/Apple = Keine EUDI-Wallet

Die Wallet soll EU-Bürger*innen unabhängiger machen - doch sie vertraut blind den gleichen Tech-Giganten, die wir mit DMA & Datenschutzklagen bekämpfen.

Die Wallet prüft via Play Integrity (Android) & App Attest (iOS), ob euer Gerät sicher ist. Gerootet/Jailbroken? Kein Zugang. Veraltete Sicherheitsupdates? Blockiert.

Wie souverän ist eine digitale ID, wenn zwei US-Konzerne über ihre Nutzung bestimmen? Und was passiert, wenn Google/Apple die Attestierung einfach abschalten? Oder meinen Account sperren? Ich soll doch in der EUDI-Wallet zukünftig alles vom Personalausweis bis zum Mietvertrag speichern, wenn ich das recht verstanden habe.

via HackerNews

https://bmi.usercontent.opencode.de/eudi-wallet/wallet-development-documentation-public/latest/architecture-concept/06-mobile-devices/02-mdvm/#motivation

#DigitalSouveränität #eIDAS #EUDI #Privacy #BigTech

Mobile Device Vulnerability Management Concept - German National EUDI Wallet: Architecture Documentation

Show thread

MasterEmit 19h ago

@kaffeeringe Play Integrity ist Snake Oil. Wer als App-Anbieter darauf angewiesen ist, hat seine Security nicht im Griff.

Show thread

Nils Fuhrmann 18h ago

@masteremit
Problem ist doch, dass man ohne Anbindung an einen der beiden App Stores kaum die Reichweite auf dem Markt bekommt, die man gerne für eine Appentwicklung hätte. Das heißt, Entwickler fallen doch vermutlich gar nicht auf das Sicherheitsversprechen rein, sondern müssen schlicht überlegen, ob sie ein Nischenprodukt rausbringen oder die breite Masse erreichen wollen.

@kaffeeringe

Show thread

Steffen Voß 18h ago

@nfk @masteremit Es ist ja eine Sache, dass die App in den Stores ist. Es ist eine andere Sache, dass die App abhängig von den Stores ist.

Show thread

Reiner Jung 🇬🇱 🇺🇦 🇪🇺17h ago

@kaffeeringe @nfk @masteremit man könnte gerade als Staat sich für alternative Stores einsetzen und auf andere Absicherungsmethoden.

Mit F-Droid gibt es bereits für Android eine Alternative.

Show thread

MasterEmit 16h ago

@prefec2 @kaffeeringe @nfk F-Droid ist leider nicht immer eine Alternative, da nur FOSS dort zulässig ist. Closed Source Apps gehen dort nicht.

Show thread

Michael S.13h ago

@masteremit @prefec2 @kaffeeringe @nfk Es ist natürlich die Frage, ob eine staatliche Closed-Source-App ausreichend vertrauenswürdig sein kann. Ich bevorzuge inzwischen generell OpenSource-Software.

Show thread

MasterEmit

@M_E_ST @prefec2 @kaffeeringe @nfk oh die staatlichen Apps sollten definitiv FOSS sein. Mit Closed Source Apps meinte ich generell andere Apps von Unternehmen. Da war ich nicht eindeutig.