versteckte Funktion der eID – FIDO
Der neue Personalweis (nPA oder eID) hat einige digitale Funktionen, manche davon werden sogar benutzt, wie dieser aktuelle Heise-Artikel darlegt:
https://www.heise.de/ct/artikel/Was-man-mit-dem-E-Perso-im-Netz-anfangen-kann-4647067.html
Allerdings übersieht dieser Artikel eine wichtige Funktion, die bisher überhaupt nicht dokumentiert oder veröffentlicht wurde, obwohl diese Funktion in jedem neuen Personalausweis drin steckt und von den Bürgern genutzt werden könnte.
Was ist FIDO?
FIDO ist ein Authentifizierungsstandard der FIDO-Alliance. Der FIDO-Standard ermöglicht es, den Login mit Username und Passwort mit einem weiteren Faktor abzusichern – nämlich einem Hardwaremodul. Diese Hardwaremodule werden u.A. vom Hersteller Yubico unter dem Namen Yubikey verkauft.
Was ist 2-Faktor-Authentifizierung (2FA)?
Normalerweise loggt man sich im Internet mit einem Usernamen und einem Passwort ein. Diese Vorgehensweise ist allerdings nicht die sicherste, weil der Account kompromittiert ist, wenn das Passwort abhanden kommt. Deswegen verwenden viele Unternehmen und manche Privatpersonen eine sogenannte 2-Faktor-Authentifizierung, bei der zusätzlich zum Passwort (der erste Faktor) ein zweiter Faktor dazu kommt. Sinnvollerweise ist ein Faktor aus der Kategorie „Wissen“ (geheimes Wissen im eigenen Kopf – also z.B. ein Passwort) und der zweite Faktor aus der Kategorie „Haben“ – also der physische Besitz eines Geräts oder Eigenschaft. Beim Onlinebanking wäre der Faktor „Haben“ der Besitz des Smartphones, auf dem die TAN angezeigt wird.
Was genau kann der nPA / elektronische Personalausweis?
Der elektronische Personalausweis ist kompatibel zum FIDO-Standard, kann also wie ein FIDO-Token, wie z.B. ein Yubikey, verwendet werden. Überall wo die Verwendung eines Yubikey möglich ist, kann auch der nPA verwendet werden. Diese Funktion war bisher nicht dokumentiert und nur den Entwicklern des Personalausweises bekannt. Durch Zufall bin ich auf diese Funktion gestoßen und habe daraufhin mit einem der Softwarearchitekten des neuen Personalausweises ein Video produziert, das diese Funktion dokumentiert und erklärt. Auch zeigt das Video wie man diese Funktion einrichten kann am Beispiel von Google.
Video
Links
Die im Video verwendeten Websiten und Dienste finden sich hinter diesen Links:
FIDO Alliance: https://fidoalliance.org/members
AusweisApp2: https://www.ausweisapp.bund.de/ausweisapp2
Webauthn-eID: https://addons.mozilla.org/…/webauthn-eid-for-firefox
U2F Testseite: https://u2f.bin.coffee
