Mastodawn

Das deutsche EUDI-Wallet (Sprind) setzt auf Google Play Integrity und Apple App Attest zur Geräteverifizierung – beides proprietäre Attestierungsdienste der jeweiligen Plattformhersteller.

Nach heutigem Dokumentationsstand ist für Android ein Aktivierungspfad vorgesehen, der Google Play Integrity voraussetzt. Ein degoogletes Android ohne Google-Play-Komponenten fällt damit voraussichtlich raus. Was das in der Praxis bedeutet: Kein Custom-ROM, kein entsperrter Bootloader, kein degoogeltes Android.

Der digitale EU-Ausweis – ein staatliches Identitätsmittel – hängt damit strukturell von Google und Apple ab. Ob das im Sinne digitaler Souveränität ist, darf jeder selbst beurteilen.

Technische Details 👇

https://bmi.usercontent.opencode.de/eudi-wallet/wallet-development-documentation-public/latest/architecture-concept/06-mobile-devices/02-mdvm/#motivation

/kuk

Mobile Device Vulnerability Management Concept - German National EUDI Wallet: Architecture Documentation

Show thread

caneToad

19h ago

@kuketzblog Ist dieses Vorgehen eigentlich justiziabel? Mich stört schon sehr lange wenn Stellen der Öffentlichen Hand digitale Lösungen entwickeln, die mit Elementen kommerzieller dritter Anbieter "angereichert" werden. Da wir Bürgerinnen und Bürger digitale Dienstleistungen mit unseren Steuern bezahlen, werden wir so zusätzlich zur Lieferung von geldwerten Daten an kommerzielle Dritte gezwungen, wenn so Zeugs in diese Dienstleistungen eingebaut wird. Immerhinn geht es beim digitalen EU-Ausweis um hoheitliche Aufgaben, da haben US-TechBros in der Wertschöpfungskette aber auch garnix zu suchen.

Ich bin juristisch nicht in der Lage, das ausreichend zu beurteilen, das wäre aber viellecht ein Thema für eine Kampagne und Klage durch eine kompetente Organisation. Ich wär dabei.

Show thread

quwm 16h ago

@dazzr @kuketzblog
Wichtig zu sehen: Das ist *keine* klassische Gov-IT Beauftragung. Grundsätzlich ist die Sprind "weniger reguliert" & soll so schneller (unbürokratisch) Sprunginnovationen ermöglichen: siehe "SPRIND Freiheitsgesetz".
Inspiriert von der DARPA.
Sinn und Zweck von deren Wettbewerben ist v.a. ein "Sprung", meist interpretiert als wirtschaft. Skalierung.
Diese Werkzeuge haben sicherlich eine Berechtigung, v.a. im tatsächlichen Deep-tech bereich.

Show thread

caneToad

8h ago

@quwm @kuketzblog Schneller ist kein Ersatz für besser. Wir sind in Europa, und wir haben eben die DSGVO. Wenn Behörden eines EU-Staats, für die Entwicklung von Digitallösungen zu hoheitlichen Aufgaben geltendes Recht missachten und unsere Privatsphärerechte an US-Monopolisten verticken, ist das m. E. nach wie vor ein Rechtsbruch.

Ist das ein ausreichender Hebel für eine juristische Grundsatzentscheidung?

Show thread

quwm

@dazzr @kuketzblog
Doch Geschwindigkeit: z.B. Fehlschläge eingeplant, IPs bei den Firmen verbleiben und die Sprind als VC Auftritt. Die Innovation zählt. Idee: Steuerzahler/Volkswirtschaft profitieren durch Wirtschaftswachstum (Einhörner durch deregulierte Gießkannen-Förderung).

Einen DSGVO Verstoß aus dem Repo nachweisen wird schwer.
Auch darüber hinaus ist das US-Cloud Argument wenig vielversprechend: die EU-Cloud-Souveränität-Formeln schließen ja explizit internationale Dienstleister ein.