Mastodawn

Das deutsche EUDI-Wallet (Sprind) setzt auf Google Play Integrity und Apple App Attest zur Geräteverifizierung – beides proprietäre Attestierungsdienste der jeweiligen Plattformhersteller.

Nach heutigem Dokumentationsstand ist für Android ein Aktivierungspfad vorgesehen, der Google Play Integrity voraussetzt. Ein degoogletes Android ohne Google-Play-Komponenten fällt damit voraussichtlich raus. Was das in der Praxis bedeutet: Kein Custom-ROM, kein entsperrter Bootloader, kein degoogeltes Android.

Der digitale EU-Ausweis – ein staatliches Identitätsmittel – hängt damit strukturell von Google und Apple ab. Ob das im Sinne digitaler Souveränität ist, darf jeder selbst beurteilen.

Technische Details 👇

https://bmi.usercontent.opencode.de/eudi-wallet/wallet-development-documentation-public/latest/architecture-concept/06-mobile-devices/02-mdvm/#motivation

/kuk

Mobile Device Vulnerability Management Concept - German National EUDI Wallet: Architecture Documentation

Show thread

caneToad

1d ago

@kuketzblog Wie wird denn z. B. die AusweisApp verifiziert? Der Bund kann doch selbst Zertifikate ausgeben, da braucht es kein Google oder Apple - und das gehört auch nicht in kommerzielle Hände.

Und diese Technik bezahlen wir Bürger auch schon mit unseren Steuern.

Show thread

Coding Physicist 1d ago

@dazzr @kuketzblog AFAIK ist die AusweisApp unabhängig von Google-Services, die taucht sogar auf F-Droid auf.

Es geht hier auch nicht um irgendwelche ausgestellten Zertifikate. So Dinge wie "Play Integrity" sollen sicherstellen, dass ein Endgerät vertrauenswürdig ist. Läuft aber im der Praxis darauf hinaus, dass Google sich selbst zertifiziert dass ihre Geräte sicher sind.

Show thread

caneToad

1d ago

@CodingPhysicist @kuketzblog Das macht es dann noch schlimmer.

Show thread

Coding Physicist

@dazzr @kuketzblog Hence all the fuss. Das Zeugs wird nur auf Geräten laufen die Google zertifiziert hat. Und das ist vor dem Hintergrund aktueller Debatten über Souveränität vorsichtig gesagt etwas schwierig.