Mastodawn

The Dodger ☕12h ago

Kuketz-Blog 🛡

Das deutsche EUDI-Wallet (Sprind) setzt auf Google Play Integrity und Apple App Attest zur Geräteverifizierung – beides proprietäre Attestierungsdienste der jeweiligen Plattformhersteller.

Nach heutigem Dokumentationsstand ist für Android ein Aktivierungspfad vorgesehen, der Google Play Integrity voraussetzt. Ein degoogletes Android ohne Google-Play-Komponenten fällt damit voraussichtlich raus. Was das in der Praxis bedeutet: Kein Custom-ROM, kein entsperrter Bootloader, kein degoogeltes Android.

Der digitale EU-Ausweis – ein staatliches Identitätsmittel – hängt damit strukturell von Google und Apple ab. Ob das im Sinne digitaler Souveränität ist, darf jeder selbst beurteilen.

Technische Details 👇

https://bmi.usercontent.opencode.de/eudi-wallet/wallet-development-documentation-public/latest/architecture-concept/06-mobile-devices/02-mdvm/#motivation

/kuk

Mobile Device Vulnerability Management Concept - German National EUDI Wallet: Architecture Documentation

Cyberhero 🇩🇪 🇪🇺1d ago

@kuketzblog
Kann die mal jemand in die Lehre nehmen? Das kann doch wohl nicht deren Ernst sein!

@Hans_J @kuketzblog Digitalsatirung🤦‍♂️

@kuketzblog Puuuuh kommt man da rum? Will das nicht machen...

Benedikt Wi 1d ago

@Loomy879 @kuketzblog Nach _aktueller_ Gesetzeslage ist die Nutzung freiwillig.

@benedikt @Loomy879 @kuketzblog noch

Schlaf ist überbewertet 1d ago

Ohne Worte

Benedikt Wi 1d ago

@halbwach @kuketzblog Ja, diese GitLab-Instanz ist in letzter Zeit leider häufiger offline, ich hoffe, dass die das bald in den Griff bekommen. Prinzipiell finde ich es ja gut, wenn sowas nicht bei #github und Co liegt.

Schlaf ist überbewertet 23h ago

@benedikt
Nein. das ist es nicht.

Jan Voth 1d ago

@kuketzblog Es ist ja nur noch erschreckend.
#Fail

@kuketzblog Ist dieses Vorgehen eigentlich justiziabel? Mich stört schon sehr lange wenn Stellen der Öffentlichen Hand digitale Lösungen entwickeln, die mit Elementen kommerzieller dritter Anbieter "angereichert" werden. Da wir Bürgerinnen und Bürger digitale Dienstleistungen mit unseren Steuern bezahlen, werden wir so zusätzlich zur Lieferung von geldwerten Daten an kommerzielle Dritte gezwungen, wenn so Zeugs in diese Dienstleistungen eingebaut wird. Immerhinn geht es beim digitalen EU-Ausweis um hoheitliche Aufgaben, da haben US-TechBros in der Wertschöpfungskette aber auch garnix zu suchen.

Ich bin juristisch nicht in der Lage, das ausreichend zu beurteilen, das wäre aber viellecht ein Thema für eine Kampagne und Klage durch eine kompetente Organisation. Ich wär dabei.

Sascha @ Fediverse 1d ago

@kuketzblog @dazzr Das sind ja nicht nur kommerzielle dritte Anbieter, sondern außereuropäische Quasimonopolisten die die DSGVO seit vielen Jahren mit Füßen treten.

@dazzr @kuketzblog
Wichtig zu sehen: Das ist *keine* klassische Gov-IT Beauftragung. Grundsätzlich ist die Sprind "weniger reguliert" & soll so schneller (unbürokratisch) Sprunginnovationen ermöglichen: siehe "SPRIND Freiheitsgesetz".
Inspiriert von der DARPA.
Sinn und Zweck von deren Wettbewerben ist v.a. ein "Sprung", meist interpretiert als wirtschaft. Skalierung.
Diese Werkzeuge haben sicherlich eine Berechtigung, v.a. im tatsächlichen Deep-tech bereich.

@quwm @kuketzblog Schneller ist kein Ersatz für besser. Wir sind in Europa, und wir haben eben die DSGVO. Wenn Behörden eines EU-Staats, für die Entwicklung von Digitallösungen zu hoheitlichen Aufgaben geltendes Recht missachten und unsere Privatsphärerechte an US-Monopolisten verticken, ist das m. E. nach wie vor ein Rechtsbruch.

Ist das ein ausreichender Hebel für eine juristische Grundsatzentscheidung?

@dazzr @kuketzblog
Doch Geschwindigkeit: z.B. Fehlschläge eingeplant, IPs bei den Firmen verbleiben und die Sprind als VC Auftritt. Die Innovation zählt. Idee: Steuerzahler/Volkswirtschaft profitieren durch Wirtschaftswachstum (Einhörner durch deregulierte Gießkannen-Förderung).

Einen DSGVO Verstoß aus dem Repo nachweisen wird schwer.
Auch darüber hinaus ist das US-Cloud Argument wenig vielversprechend: die EU-Cloud-Souveränität-Formeln schließen ja explizit internationale Dienstleister ein.

@dazzr @kuketzblog
Also als Unternehmer bin ich dazu angehalten den Datenschutz nach BDSG und DSGVO zu wahren. Das schließt aktuell mit dem CloudAct und dem Schrems II Urteil die Nutzung von Diensten der USA komplett aus. Ich Frage mich, wieso hierbei wieder mit zwei Waagen gemessen wird.

Franz Philippe Bachmann 9h ago

@cytro @dazzr @kuketzblog – Es gibt seit 2023 einen #Angemessenheitsbeschluss der EU-Kommission nach Art. 45 #DSGVO für die USA als Drittland:
🔗 https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023D1795

Wenn die Bedingungen des #TADPF eingehalten werden, was manchmal übersehen wird, dann darf ein Verantwortlicher Daten in die #USA übermitteln, also US-Dienste nutzen. Man kann den Beschluss zu Recht kritisieren, aber er ist gültig und kann als Grundlage für Datenübermittlungen verwendet werden.

L_2023231DE.01011801.xml

Morsus Apri R.I.P. Natenom🕯️🖤12h ago

@dazzr @kuketzblog
Als absoluter Laie, gehört das in gewisser Weise dazu?

https://mastodon.social/@pojntfx/116345677794218793

Hammerwell 1d ago

@kuketzblog Ich glaube hier kann man dazu kommentieren. Keine Ahnung obs hilft. https://gitlab.opencode.de/bmi/eudi-wallet/wallet-development-documentation-public/-/issues

Issues · BMI / EUDI-Wallet / Wallet Development Documentation - public · GitLab

GitLab Enterprise Edition

GitLab

@kuketzblog Wie wird denn z. B. die AusweisApp verifiziert? Der Bund kann doch selbst Zertifikate ausgeben, da braucht es kein Google oder Apple - und das gehört auch nicht in kommerzielle Hände.

Und diese Technik bezahlen wir Bürger auch schon mit unseren Steuern.

Coding Physicist 1d ago

@dazzr @kuketzblog AFAIK ist die AusweisApp unabhängig von Google-Services, die taucht sogar auf F-Droid auf.

Es geht hier auch nicht um irgendwelche ausgestellten Zertifikate. So Dinge wie "Play Integrity" sollen sicherstellen, dass ein Endgerät vertrauenswürdig ist. Läuft aber im der Praxis darauf hinaus, dass Google sich selbst zertifiziert dass ihre Geräte sicher sind.

@CodingPhysicist @kuketzblog Das macht es dann noch schlimmer.

Coding Physicist 23h ago

@dazzr @kuketzblog Hence all the fuss. Das Zeugs wird nur auf Geräten laufen die Google zertifiziert hat. Und das ist vor dem Hintergrund aktueller Debatten über Souveränität vorsichtig gesagt etwas schwierig.

@CodingPhysicist @dazzr @kuketzblog
Bei Apple übrigens das Gleiche in Grün "wir sind sicher, haben wir uns bestätigt - und äh Viren gibt es auch nicht" 🙂

@CodingPhysicist @dazzr @kuketzblog für mich ist die AusweisApp sogar ein gutes Beispiel dafür, dass es auch anders geht. Funktioniert mit Custom-ROMs ausgezeichnet.

@CodingPhysicist
Das prinzipielle Problem ist nicht die Abhängigkeit von Google/Apple, sondern dass hiermit Remote Attestation eingeführt wird: Der Anbieter eines Dienstes kann technisch erzwingen welchen Zustand die Nutzer-Geräte haben dürfen. Wenn jetzt ein deutscher Hersteller den Zustand deines Geräts erzwingt, macht es das nur wenig besser.
"Vertrauenswürdig" nicht im Sinne der Nutzer, sondern im Sinne des Anbieters, der damit den unvertrauenswürdigen Nutzer erpresst.
@dazzr @kuketzblog

Coding Physicist 7h ago

@thomas @dazzr @kuketzblog Die Abhängigkeit von Google und Apple ist schon ein prinzipielles Problem. Aber Du hast natürlich Recht, wenn Du sagst, dass Remote Attestation auch von einer europäischen Firma, oder Staat, nicht akzeptabel ist.

Carsten O. 📯 💚🌻1d ago

@kuketzblog dann bin ich da raus.

Also kein IDs auf dem Handy.

Und inzwischen läuft fast alles auf dem @fairphone mit /e/OS.

Damit gehts bei mir dann wohl wie mit der EPA der Krankenkassen: Habe nur ein Ipad (kein Händi) und kann dies nicht nutzen wegen der fehlenden NFC-fähigen Funktion. Da ich es noch einige Jahre behalte, erledigt sich die EPA und vermutlich auch die Funktion mit EU-Ausweis.

Elischeva 9h ago

@dhuelp @kuketzblog

Ich hoffe nur mal, dass die Nutzung nicht verpflichtend wird.

Bei der EPA würde ich ja gerne klassisch per Webseite drauf zugreifen können - oder wenigstens eine nirgendwo angebundene, googlefreie, offlinefähige App. Gilt für die EUID-Wallet entsprechend.

Die Apps so wie sie sind, verpflichtend zu machen, würde Leute ausschließen. Also darf das klassische Papierdokument nicht aussterben. Oder du bestrafst Leute dafür, dass sie keinen Bock auf Konzerne oder gar noch nicht mal ein Smartphone haben. Also wenn überhaupt, Stand jetzt, nur zusätzlich zum Papier.

@kuketzblog Wieso überrascht mich das nicht? Wahrscheinlich folgt man der gleichen Fehlerhaften Logik mit welcher man schon Dinge wie DE-Mail durchsetzen wollte. Die gleiche Logik welche Software entwickelt mit öffentlichen Geldern nur als blob verfügbar macht.

Philippe 1d ago

@kuketzblog Was können wir Bürgerinnen und Bürger da machen?

Kuketz-Blog 🛡1d ago

@Philippe Hier bspw. ein Issue erstellen bzw. bereits vorhandene kommentieren.

https://gitlab.opencode.de/bmi/eudi-wallet/wallet-development-documentation-public/-/issues

/kuk

Issues · BMI / EUDI-Wallet / Wallet Development Documentation - public · GitLab

GitLab Enterprise Edition

GitLab

@Philippe @kuketzblog Die Entwickler auf weitaus geeignetere Methoden hinweisen?

https://developer.android.com/privacy-and-security/security-key-attestation

Verify hardware-backed key pairs with key attestation | Security | Android Developers

A tool for verifying security properties of hardware-backed key pairs.

Android Developers

Philippe 23h ago

@kuketzblog Diese beiden genannten Möglichkeiten werde ich mir morgen anschauen. Vielen Dank. Da muss ich mir womöglich noch zwei Konten erstellen. Uff!
Ich hätte mir gewünscht, da gäbe ist eine niedrigschwellige Möglichkeit für die breitere Bevölkerung 😁

hallunke23 🇺🇦

Wenn ich an Fa. Google gebunden werde, wie ist das dann kompitibel mit dem Binnenmarkt? Ich hab doch das Recht, meine Software von beliebigen Softwareherstellern im EWR zu beziehen!

@hallunke23
So, wie ich das verstanden habe, sind unsere Geräte nur noch Terminals zum Zugriff auf die Plattformen von Tech Bro Kartell -Faschisten. Stichwort "Alles ist eine Xbox".
In Zukunft wird es Software nur noch im Abo geben, und wir werden nicht mehr bestimmen können, was auf unserer Hardware installiert ist.
Android und Windows 11 sind hier leuchtende Beispiele, wie Usern die Kontrolle über ihre Geräte entzogen wird

@kuketzblog Das ist genauso gewollt.

@kuketzblog Ich habe es nicht so ganz verstanden: Was soll dieses EUID Wallet denn können, was sich nicht im Stile einer AusweisApp abfackeln liesse?

Und warum ist bei so einem Projekt dann so ein Laden wie PwC dabei?

Christian Berger DECT 2763 23h ago

@kuketzblog Leider sind solche "Ausweise als App" wahrscheinlich prinzipiell nicht mit dem Grundrecht auf "Integrität und Vertraulichkeit Informationsverarbeitender Systeme" vereinbar.