So einfach könnte man sich heute mit dem Personalausweis im Internet sicher bei Behörden, Banken und Unternehmen ausweisen. Technisch ist das kein Problem mehr. Die Hürden des St. Bürokratius sind in Deutschland wohl nicht überwindbar. Man begibt sich wohl lieber in die Abhängigkeit von Apple, Google, Facebook und Co. für die sichere Identifikation der Benutzer im Internet. Platzhirsche möchten die privaten Schlüssel im Smartphone speichern und verwalten und möchten den Benutzern keinen unabhängigen NFC Kartenleser anbieten.
Beim Bezahlen mit Smartphone speichert das Smartphone die notwendigen Schlüssel und Passwörter. Man muss der Hardware und dem Betriebssystem vertrauen, dass die Sicherheit gewährleistet wird. Die Smartphone Hersteller erhalten damit ein Monopol und können entscheiden welche Anbieter zu welchen Kosten die NFC Dienste nutzen dürfen. Hat das Smartphone aber die Funktion eines Lesegeräts für kontaktlose Smartcards werden die geheimen Schlüssel nur in der Karte (Personalausweis, Gesundheitskarte, Bankkarte, Firmenausweis usw) gespeichert und interagieren direkt mit dem Server. Das empfiehlt sich für hochwertige, rechtlich wirksame Identifikation und Authorisierung für Zahlung von grösseren Beträgen, Verträgen, Interaktion mit Behörden, Ärzten oder Zugangskontrolle z.B. an Flughäfen. Damit hätten Apple, Samsung, Google und andere Smartphone Betriebsysten Hersteller keine ausschliessliche Kontrolle über die sichere Authentisierung im Web. Bei Windows PCs ist die Unterstützung von NFC Karten über CCID (PC/SC) Standard. Inzwischen gibt es auch Bluetooth NFC Karten Leser , die man über WLAN auch mit Smartphones lesen kann.
Freiwillig werden die Monopolfirmen diese Funktion im Betriebssystem allerdings nicht anbieten. Inzwischen gibt es APPs, die eine Smartcard Leser Applikation anbieten. Sogar das deutsche Steuersystem ELSTER bietet diese Funktion an. Allerdings ist der Setup für Otto Normalverbraucher zu kompliziert. Im Moment sind Facebook und Google mit Ease of Use und Single Sign On (OAUTH) bereits auf dem Weg diese Schlüsselfunktion zu übernehmen.
Das neue DSGVO befasst sich leider nicht mit Schutz der Identität und Authentisierung im Internet. Wie so vieles will unsere Regierung das privaten Firmen überlassen. Dagegen müssen die EU Bürger täglich mindestens eine Milliarde Mal die Zustimmung zur Verwendung von Cookies klicken ohne dass sich an den Verfahren der Betreiber etwas ändert.
Die Kontrolle der Identität und die Authentisierung sowie das Management der notwendigen kryptografischen Schlüssel und biometrischen Merkmale der Benutzer ist in Gefahr in die Hände von Monopolisten zu fallen. Immerhin ist die Bayrische Verwaltung zumindest auf dem richtigen Weg eine Identifikation für Behörden zu schaffen. Offensichtlich hat man sich in Lettland etwas umgesehen.
Hat dies auf PrivatesPortal rebloggt.