Alternative zur eCard als Bürgerkarte

  • Die "neue" eCard wird keine Bürgerkartenfunktion mehr aufweisen. Meine eCard wird als Bürgerkarte noch bis Ende März funktionieren.


    Welche alternative Chipkarte/Smartcard/Kryptocard ist als Bürgerkarte geeignet (Yubikeys schonmal nicht)?


    Die Handysignatur kommt aus Sicherheitsgründen jedenfalls nicht in Frage :

    1. SMS ist nicht sicher, da das Mobilfunknetz de facto nicht verschlüsselt ist und sich das Netz nicht beim Handy/Smartphone authentifiziert
    2. Jedwede App am Smartphone ist nur so sicher wie das Smartphone selbst (also nicht), Sicherheitsupdates hinken tw. Jahre hinterher
    3. Eine Smartcard funktioniert nur im Lesegerät, da ansonsten ohne Stromversorgung. Ein Smartphone ist immer an und immer Online.

    Man möge mich eines besseren belehren, aber Grundsätzlich:

    • Handysignatur bedeutet zwingend, dass auf einem Server mein Privater Schlüssel liegt, mit dem ich rechtsverbindlich Dokumente unterschreibe und mich ausweise. Dieser Schlüssel kann nicht so verschlüsselt sein, dass nur ich ihn nutzen kann bzw, muss er am Server zeitweise unverschlüsselt vorliegen (zumindest zwischen Passworteingabe und Eingabe des Codes). Damit ist ein Hack dieses Servers sehr lohnenswert.
    • Bei einer Smartcard verlässt der Private Schlüssen die Karte nie und kann auch nicht exportiert werden.
  • Ich weiß nicht inwieweit Sie mit der Verschlüsselung durch Pupblic/Private Key Verfahren vertraut sind, aber keine davon verlangt, dass der private Schlüssel irgendwo anders als eben privat gespeichert wird. Ganz im Gegenteil. Das ist ja gerade die Idee bei dem Verfahren.


    Durch den Registrierungs Vorgang wird lediglich ein Personenkonto mit dem öffentlichen Schlüssel Ihrer Signatur App verknüpft. Das Personenkonto umfasst Name, Anschrift und ggf E-Mail Adresse. Ganz so wie wenn Sie auch jedes andere Zertifikat bei einem beliebigen "vertauenswürdigen Dritten" kaufen. Die SMS mit dem Code benötigt man nur um sicherzustellen, dass derjenige, der gerade versucht ein Endgerät über die Webseite als vertrauenswürdig zu etablieren. auch Zugang zum behaupteten Endgerät hat.


    Bei der Signatur eines Logins, einer Petiton oder eines Dokuments richtet der Dienstleister eine Anfrage auf Bestätigung an die zentrale Zertifikats Stelle. Die Signatur App liest die Anforderung mit der registrierten Telefonnummer und dem Signatur Passwort und bekommt so nur die für diesen Account anfallende Signatur Anforderung. Diese ist mit dem öffentlichen Schlüssel der registrierten Signatur App und dem privaten Schlüssel der Zertifikatsstelle verschlüsselt. Die Signatur App kann mit ihrem weiterhin lokal liegenden privaten Schlüssel und dem öffentlichen Schlüssel der Zertifikats Stelle das Paket entschlüsseln und eine ebenso verschlüsselte Antwort senden.


    Die Signatur Stelle kann nun das Paket nur dekodieren, wenn sie wirklich mit dem privaten Schlüssel Ihrer Signatur App versschlüsselt wurde und meldet den Erfolg der anfragenden Stelle.


    Letztendlich geht es nur darum, dass man bei dem Verfahren eindeutig beweisen kann, dass man im Besitz eines bestimmten aber unbekannten privaten Schlüssels ist, zu dem ein öffentlicher Schlüssel bekannt ist. Das geht in dem beide Parteien die einander durch die Registrierung vertrauen, gemeinsam ein Dokument unterschreiben und dabei jeweils prüfen können, dass die Unterschrift des Partners echt ist.


    Der Schlüssel selbst verlässt das Gerät nie und ist im Idealfall auch in einem TPM Chip (also genau das was auch auf der Chipkarte drauf ist) weggesperrt, den man auch nicht auslesen kann, wenn man das Gerät physisch greifbar hat und zerlegt. Nicht einmal die Signatur App selbst muss in dem Fall den privaten Schlüssel kennen, kann ihn daher auch keinem verraten und er kann auch nicht gehackt werden. Ebensowenig kann ein Trojaner ihn auslesen.


    Sicherheitsbedenken bestehen natürlich insofern wie das Gerät auf dem der private Schlüssel verwahrt wird selbst den Zugang dazu sichert. Das ist aber bei einer Chipkarte + Lesegerät auch nicht grundsätzlich anders. Wenn ich in Besitz von Chipkarte (Handy + Zugangshürde) und Lesegerät (App + weitere Zugangshürde) komme und zusätzlich das Signatur Passwort (einzugeben auf einem anderen "sicheren Kanal" wie einer verschlüsselten Webseite) weiß, "bin ich" die betreffende Person. Denn dann kann ich nachweisen, dass ich im Besitz des betreffenden privaten Schlüssels bin - was ja auch stimmt. Der Angriffsvektor ist etwas größer, weil es genügt mich zu bestehlen um in den Besitz der Hardware zu kommen. Man muss nicht bei mir einbrechen.

    Da der Besitz der Hardware aber nicht genügt, ist das Zeitfenster in dem ich meine darauf generierten Kennung(en) als nicht mehr vertrauenswürdig deklarieren kann sehr großzügig bemessen.


    Das ist bei den aktuellen FIDO2 Hardware Schlüsseln übrigens exakt das gleiche Verfahren. Selbst das in Windows 10 integrierte "Hello" arbeitet nach diesem Prinzip. Es werden jeweils kryptographische aber öffentliche Schlüssel ausgetauscht, die nur auf den beiden zuvor anderweitig eindeutig ausgehandelten Gegenstellen erzeugt werden können. Die beliebten TAN Generatoren als Ergänzung zum Login sind da ein gutes Stück leichter angreifbar.


    Die Gefahr ist eher, dass das vertraute Endgerät kaputt oder verloren geht und man damit seinen Schlüssel verliert und selbst nicht mehr da hinein kann wo er als einzige Zugangsmethode verwendet wird. Angreifbar ist hier noch am ehesten der notwendige "Plan-B" gegen diese Gefahr, also das gute Alte Login/Passwort Verfahren.


    Soweit ich weiß ist noch kein einziger Fall von Identitäts Diebstahl durch Kompromitierung der Handy Signatur bekannt geworden. Da gibt es viel leichtere und daher lohnendere Verfahren.


    Man kann es mit der Paranoia auch übertreiben.


    Was ICH allerdings nicht verstehe ist, warum es auf der Webseite der Handysignatur nicht möglich ist, sich auch mittels Handysignatur anzumelden.

    Oder warum das Verfahren zwar von den heimischen Behörden als unbedingt vertrauenswürdig, gleichbedeutend wie ein Personalausweis akzeptiert wird, ich aber damit keine popeligen E-Mails oder einen Programm Code signieren kann.

  • Guten Tag,


    vielen Dank für die ausführliche Antwort!
    Einige kleine Anmerkungen;

    Die Gefahr ist eher, dass das vertraute Endgerät kaputt oder verloren geht und man damit seinen Schlüssel verliert und selbst nicht mehr da hinein kann wo er als einzige Zugangsmethode verwendet wird. Angreifbar ist hier noch am ehesten der notwendige "Plan-B" gegen diese Gefahr, also das gute Alte Login/Passwort Verfahren.

    Die Handysignatur ist an die Telefonnummer gebunden, das heißt solange die Simkarte mit der registrierten Nummer noch intakt ist, kann diese weiter verwendet werden.
    Im Falle einer neuen Nummer, beugt ein Widerruf bzw. eine Neuregistrierung (inkl. Widerruf) einem eventuellen Missbrauch vor.
    Weitere Informationen finden Sie unter anderem hier.

    Zitat

    Was ICH allerdings nicht verstehe ist, warum es auf der Webseite der Handysignatur nicht möglich ist, sich auch mittels Handysignatur anzumelden.

    Auf https://www.handy-signatur.at/ ist eine Anmeldung mittels Handysignatur sehr wohl möglich.

    Zitat

    Oder warum das Verfahren zwar von den heimischen Behörden als unbedingt vertrauenswürdig, gleichbedeutend wie ein Personalausweis akzeptiert wird, ich aber damit keine popeligen E-Mails oder einen Programm Code signieren kann.

    Dazu gibt es einen Eintrag unter "Ich möchte E-Mails signieren".
    (Rechtliche) Details zur qualifizierten Signatur gibt es hier.

    Beste Grüße

  • Hallo skeller,


    Thema verfehlt?


    1) Meine Bedenken bezüglich "alleiniger Zugang per E-Mail Signatur App" waren, dass wenn ich das Handy/Bürgerkarte/FIDO2Token/... verliere damit auch meinen Zugang zur Seite "X" verliere, wenn das die einzige Zugangsmöglichkeit ist. Die gleiche Nummer bekomme ich vermutlich nicht wieder, also bestenfalls eine neue Signatur, die ich aber erst wieder an der Webseite registrieren muss - mit einem alternativen Zugang. Und dieser Alternative Zugang ist meist nicht so sicher und eher angreifbar. Wie im echten Leben auch. Wenn ich eine Panzertür am Haus hab und den Schlüssel verliere, komme ich nicht mehr rein. Also entweder selber einbrechen, oder man hat eine Hintertür, wo man ohne das Haus einzureißen wieder rein kann. Dann würde ich als Einbrecher aber auch gleich die Hintertür angreifen.


    2) im "forum.buergerkarte.at" habe ich keine Möglichkeit gefunden, mich mit meiner Bürgerkarte oder Handy Signatur zu authentifizieren. Weder damit noch kann ich irgend eine andere "sichere" Variante zur Anmeldung nutzen. Plain old Username/password. Wie wenn der Koch den Gästen die feinste Karte vorlegt, zum Essen aber selber zum Burger Laden geht. Das ist für jemanden der Sicherheits Technologie anbietet unwürdig.


    3) der Link zu "wie signiere ich E-Mails" ist völlig irrelevant, weil er sich auf "die Bürgerkarte" und nicht auf die Handysignatur bezieht. Meine "Beschwerde" aber schon. Weil aber erstere offenbar aufgegeben wird heißt das in Zukunft "gar nicht mehr". Und es war bisher schon unglaublich umständlich mit der Bürgerkartenumgebung zu hantieren. Der Inhalt hinter "ich möchte E-Mails signieren" hat dann nicht einmal mehr Bezug zur Bürgerkarte. Ich erinnere mich aber noch gut daran wie uns vor ein paar jahren die "verpflichtende qualifizierte Signatur für elektronische Rechnungslegung" auf's Aug gedrückt wurde. Völlig unbedienbar für beide Seiten und so nutzlos, dass es tatsächlich wieder abgeschafft wurde.


    Das ganze Verfahren haben sich Bürokraten ausgedacht. Ohne Sinn für's Praktische. Für Behörden Webseiten (Finanzamt, Sozialversicherung) OK. Da glaubt man mir meine Identität genug dass ich einen Steuerausgleich machen kann. Ich kann eine Petition unterschreiben. Wählen kann ich damit nicht. Ich muss meinen physischen Pass oder Personalausweis bei etlichen Gelegenheiten vorweisen. Meine "amtliche digitale Identität" ist aber außerhalb der digitalen Behörde keinen Pfifferling wert.


    Wenn ich das will, kann ich ja auf dem freien Markt noch eine zusätzliche Identität kaufen, die mir dann von irgend einem Unbekannten aus Südafrika oder Israel (wo ich dann wieder mein physisches Dokument vorweisen muss) meine Identität bestätigt. Damit kann ich mich dann überall ausweisen und meine E-Mails oder Programme signieren. Nur mit meiner offiziellen digitalien Identität, die mir A-Trust im Auftrag des österreichische Staates bestätigt kann ich gar nichts.


    Völlig am Bedarf vorbei. 99.9% meines Lebens haben mit einem Amt nichts zu tun. Der ganze Aufwand also nur für die 0,1%. Kein Wunder, dass das seit Jahren nicht in die Gänge kommt. Aber in Österreich waren "Formulare für's Amt" schon immer der Nabel der Welt.


    Ich beschäftige mich seit 20+ Jahren mit Datenverschlüsselung, weiß also wovon ich rede. Die Technologie ist grundsätzlich leicht bedienbar. Aber es wird wohl ganz bewusst so verkompliziert, dass es um Himmels Willen hoffentlich keiner freiwillig nutzt. Wo kämen wir da hin, wenn plötzlich alles verschlüsselt wäre?


    Aber eigentlich wollte ich hier nicht jammern. Bringt eh nichts. Aber zumindest SICHER ist das Verfahren. Da braucht sich keiner davor zu fürchten. Das war meine Botschaft und nur dafür hab ich mich hier angemeldet.

  • Guten Tag,

    ich verstehe dass die Aussage allgemein ausgelegt war.
    Meine Antwort bezieht sich ausschließlich auf die Handy-Signatur.


    Zitat

    2) im "forum.buergerkarte.at" habe ich keine Möglichkeit gefunden, mich mit meiner Bürgerkarte oder Handy Signatur zu authentifizieren. Weder damit noch kann ich irgend eine andere "sichere" Variante zur Anmeldung nutzen. Plain old Username/password.

    Diese Seite ist nicht die offizielle Seite zur Handy-Signatur, sondern ein Forum zur Hilfestellung.
    Dennoch finde ich den Vorschlag der HS-Anmeldung gut und leite ihn gerne weiter.


    Zitat

    3) der Link zu "wie signiere ich E-Mails" ist völlig irrelevant, weil er sich auf "die Bürgerkarte" und nicht auf die Handysignatur bezieht. Meine "Beschwerde" aber schon.

    Sie haben Recht, es ist nur mit der Karte möglich, aber eigentlich auch nicht sinnvoll.
    Ein direktes Zitat von Bürgerkarte.at ist in diesem Fall wohl zielführender:

    Zitat

    Dies ist nur mit der neuersten Generation von e-cards (e-card G3) möglich.

    Das Signieren von E-Mails hat drei Nachteile:

    • Es ist unsicher. Denn der Betreff und weitere Kopfzeilen werden nicht mitsigniert. Das heißt, Sie können auf dem Weg zum Empfänger manipuliert werden.
    • Die E-Mail-Signatur beruht auf der RSA-Verschlüsselung und funktioniert daher nur mit einer e-card G3.
    • Die E-Mail-Signatur ist weniger rechtsverbindlich: Es ist immer nur eine fortgeschrittene Signatur (keine qualifizierte), weil das RSA-Zertifikat auf der e-card kein qualifiziertes Zertifikat ist.


    Zitat

    Wählen kann ich damit nicht. Ich muss meinen physischen Pass oder Personalausweis bei etlichen Gelegenheiten vorweisen. Meine "amtliche digitale Identität" ist aber außerhalb der digitalen Behörde keinen Pfifferling wert.

    Digitale Wahlen gehören vielmehr in eine rechtliche oder gesellschaftspolitische Diskussion, als hierhin.
    Die qualifizierte elektronische Signatur (ausgestellt in einem Mitgliedsstaat) hat laut eIDAS Verordnung Artikel 25 die "gleiche Rechtswirkung wie eine handschriftliche Unterschrift" und zwar in allen Mitgliedsstaaten.

    Zitat

    Völlig am Bedarf vorbei. 99.9% meines Lebens haben mit einem Amt nichts zu tun. Der ganze Aufwand also nur für die 0,1%. Kein Wunder, dass das seit Jahren nicht in die Gänge kommt. Aber in Österreich waren "Formulare für's Amt" schon immer der Nabel der Welt.

    Der Bürgerkarte/Handysignatur-Zugang ist ein Werkzeug, welches unter anderem von Behörden für den Nutzer angeboten wird.
    Dort findet die qualifizierte elektronische Signatur eine angemessene Anwendung.
    Andere Einsatzmöglichkeiten finden Sie hier.

    Zitat

    Aber zumindest SICHER ist das Verfahren. Da braucht sich keiner davor zu fürchten.

    Um zum eigentlichen Thema zurückzukommen stimme ich Ihnen hierbei zu.

    Beste Grüße

  • skeller

    Hat das Thema geschlossen