Chipkartenanwendungen und Browser-Integration: Standard gesucht

Da hier in letzter Zeit doch ein gewisses Interesse in Zusammenhang mit dem ComputerBild-Lesegerät und v.a. der beigelegten Karte aufkam, wollte ich nun nochmal etwas allgemeiner auf die Problematik (und bisher verbreiteten Lösungen) der Schnittstelle zwischen Web-Anwendung und Kartenlesegerät eingehen.

Eine Web-Anwendung kann nicht einfach nach Belieben auf die Hardware des Computers zugreifen, was ja grundsätzlich auch erstmal nichts Schlechtes ist; hin und wieder ergibt sich aber doch die Situation, wo dies vom Benutzer gewünscht ist: Bekanntestes Beispiel dürfte hier wohl das Flash-Plugin mit der Bitte um Zugriff auf Kamera und Mikrofon sein.

Für Chipkarten dagegen hat sich noch kein globaler Standard so wirklich durchgesetzt.
Allerdings fehlte es hier bisher auch an Angeboten, die die breite Masse ansprechen; insbesondere lokale Anwendungen mit jeweils beschränktem Nutzerkreis sind geradezu prädestiniert dafür, Insellösungen hervorzubringen.

Eine inzwischen schon relativ verbreitete Anwendung kommt dagegen aus dem Bankensektor:

Mit der SmartLine von fun communications lassen sich die Funktionen der GeldKarte (die zumindest in der kontaktbehafteten Variante ohnehin schon die meisten mit sich herumtragen dürften) über ein Java-Applet online nutzen.

Alternativ ist auch die Nutzung über das SIZCHIP-Plugin der Sparkassen möglich, das allerdings erst (und nur zu diesem Zweck) installiert werden muss, während Java in den meisten Fällen schon vorhanden sein dürfte.

Wer das nun selbst ausprobieren möchte, findet auf der GeldKarte-Seite die Möglichkeit, die im Chip gespeicherten Informationen auszulesen: http://www.geldkarte.de/_www/de/pub/geldkarte/privatnutzer/services/karten_tests.php

Hierzu genügt schon ein Klasse-1-Leser (für kontaktbehaftete Karten, da die meisten GeldKarten bisher nicht kontaktlos sind) – die Transaktion wird dann am Bildschirm über eine virtuelle Tastatur bestätigt. Grundsätzlich wäre es also möglich, eine Transaktion z.B. umzuleiten; bisher hat das scheinbar auch niemanden gestört, erst jetzt mit dem nPA wird der Eindruck erweckt, als seien Klasse-1-Leser ein erst in diesem Zusammenhang entstandenens Problem.
Allerdings speichert die eigene GeldKarte immer auch die ID der jeweiligen Händlerkarte, mit der der Empfänger schließlich seine Umsätze bei seiner Bank einfordert, d.h. es wäre im Zweifelsfall relativ gut nachvollziehbar, wo das Geld gelandet ist.

Beide Varianten sind für den Betreiber kostenpflichtig, und damit für Anwendungen abseits von Zahlungsfunktion oder Altersverifikation für die meisten Websites erstmal weniger interessant.

Eine ebenfalls proprietäre aber für alle Beteiligten kostenlose Methode stellt REINER SCT mit “One Web, one Key” zur Verfügung.
Die Serverkomponente bzw. Spezifikation zur Einbindung in eigene Web-Anwendungen soll in Kürze bereitgestellt werden; vermutlich wird es zukünftig auch möglich sein, eigene Karten nach PKCS#11 für OWOK zu verwenden(?); außerdem soll z.B. auch der neue Personalausweis unterstützt werden.

Voraussetzung für den Nutzer ist hier jedenfalls wieder die Installation des passenden Browser-Plugins.

Nun ist der Gedanke des Logins auf Webseiten ohne Benutzername und Passwort an sich nichts neues, und so hat natürlich auch Microsoft hierzu seit längerem eine Lösung parat:
Windows CardSpace ermöglicht dem Benutzer das Erstellen und Verwalten von virtuellen ‘Karten’, mit denen man sich bei Webseiten anmelden kann, die dies unterstützen. Zusammen mit einigen anderen bekannten Unternehmen wurde die Information Card Foundation gegründet – es handelt sich hier also um einen offenen Standard.

Eine sehr interessante Möglichkeit, sich mit InformationCards einzuloggen, bietet die Seite openidbycard.com, die übrigens von fun communications (s.o.) betrieben wird.
Man kann sich damit auf einer beliebigen OpenID-Website anmelden, indem man einfach openidbycard.com eingibt und anschließend eine (selbst erstellte!) virtuelle Karte zur Identifikation sendet; man ist hier also mehr oder weniger sein eigener OpenID-Provider.

Wer das nun selbst testen möchte, mag vielleicht überrascht sein, als Windows-User (konkret: ab dem .net-Framework 3.0) CardSpace bereits vorinstalliert zu finden, und kann nun einfach mit dem Internet Explorer eine Seite mit OpenID-Unterstützung besuchen und eine persönliche Karte erstellen. Für Firefox gibt es das IdentitySelector-Plugin, das ebenfalls auf die lokale CardSpace-Sammlung zurückgreift (natürlich gibt es auch vollständige Open-Source-Implementationen wie openinfocard oder DigitalMe).

Allerdings handelt es sich hier immernoch um virtuelle Karten, die auf dem PC des Nutzers hinterlegt sind. Ginge man nach der derzeitigen Situation der Berichterstattung in Massenmedien, dürfte dieser wohl schon längst nicht mehr als sicherer Raum einzustufen sein. Aber auch für CardSpace gibt es Möglichkeiten, die Karten des Benutzers mit einer ‘echten’ Karte zu schützen; hier wird sich wiederum noch herausstellen müssen, was für eine das sein wird.

Die von ComputerBild in großer Auflage verbreitete loginCard unterstützt jedenfalls keine asymmetrische Kryptografie, und auch der neue Personalausweis lässt sich ohne BSI-Zertifikat nicht zur Identifikation oder gar Hinterlegung eines Schlüsselpaars nutzen.
Natürlich könnte sich auch jeder selbst eine JCOP- oder andere RSA-Karte kaufen, aber die breite Masse der Internetnutzer erreichen am Ende doch immer proprietäre Komplettlösungen (v.a. wenn für den Nutzer selbst kostenlos).
Vielleicht wird OWOK weitere Verbreitung finden, wenn sich mehr Anbieter für die Ausgabe einer solchen (nicht ‘light’) Karte entscheiden, die sich dann neben der Login-Funktion auch für eigene Anwendungen nutzen lässt.

Nun aber noch kurz zu dem Standard, der am Ende nun auch erst diese ganze Aufmersamkeit in dem Bereich verursacht hat:

Das e-Card-API-Framework vom BSI, das unter anderem den neuen Personalausweis umfasst.
Die Browser-Integration wird in Teil 7 der TR-03112 (Kapitel 2.3.1, ab Seite 12) beschrieben – man ist also grundsätzlich nicht auf die Benutzung einer bestimmten Software angewiesen.
Somit ist also zu erwarten, dass bis zum Aufkommen einer nennenswerten Anzahl von Nutzungsmöglichkeiten der eID-Funktion (sowie der Verbreitung des neuen Ausweises in der Bevölkerung) längst eine Open-Source-Alternative zu dem 800.000 Euro teuren 68-MB-Datenhaufen namens “AusweisApp” zur Verfügung stehen wird.

Eine große Verbreitung ist in diesem Fall langfristig also zu erwarten, leider lässt sich der Ausweis wie bereits erwähnt aber nicht für lokale Anwendungen nutzen.
Und überhaupt ist im Moment noch offen, ob zukünftig wirklich jeder auch zur Investition in einen Standard- oder Komfortleser zur Online-Nutzung bereit wäre.
Vermutlich nicht, aber wahrscheinlich wird das auch gar nicht mehr nötig sein.

Wenn man so die aktuelle Entwicklung in der Mobilfunkbranche betrachtet, stehen wir gerade sehr kurz vor der (praktischen) Einführung von NFC, also im Grunde soetwas wie ein Kontaktloskarten-Lesegerät in jedem Handy – aber auch mit der Möglichkeit der direkten Kommunikation zwischen zwei Geräten.
Uneinigkeit herrschte hier in der Vergangenheit hauptsächlich über die Verwendung von Sicherheitsmodulen – nun scheint aber mit dem ‘Single Wire Protocol’ der Standard für die Integration sicherheitskritischer Anwendungen auf der SIM-Karte gefunden zu sein (die Mobilfunkbetreiber bekommen hier also wieder die Kontrolle darüber, was auf ihre Karten darf und was nicht…).

Bisher hat Nokia angekündigt, sämtliche Geräte der ‘Smartphone’-Kategorie ab 2011 mit NFC auszustatten (das C7 besitzt bereits die Hardware-Funktionalität dafür, welche im nächsten Jahr per Firmware-Update nutzbar werden soll), und auch die Gerüchte um das iPhone 5 mit NFC-Technik tendieren derzeit zum ersten Quartal 2011.

Auch wenn ich persönlich eine gewisse Abneigung gegenüber Apple habe, ist es doch bemerkenswert, welche Macht man inzwischen auf dem Markt hat; mit anderen Worten: Wenn Apple von den Betreibern verlangen würde, SIM-Karten mit Unterstützung für solche Zusatzapplikationen zu verwenden, bliebe diesen wohl kaum etwas anderes übrig, wenn sie das iPhone 5 anbieten wollen (ähnlich der Micro-SIM beim iPad). Wäre also eine Möglichkeit, wir werden sehen ob Apple sie auch nutzt.

Worauf ich aber eigentlich hinauswollte, war die Integration mit Web-Anwendungen. Bisher ist es auch beim Mobilfunk nur über die Installation von Software (Java-MIDlets) möglich, auf die NFC-Funktionen zugreifen zu können.
Es wird sich zeigen, ob sich daran noch etwas ändert, und diese schnelllebige Branche eventuell auch einen offenen Standard hervorbringt, der am Ende sogar in die Desktop-Welt Einzug halten könnte.

Unabhängig davon würde ich jedenfalls auch folgende Kombination für einigermaßen realistisch halten: ein per USB-Kabel am Rechner angeschlossenes Mobiltelefon, das – dank eigenem Display und Tastatur – als Klasse-2 oder -3-Leser zertifiziert sein könnte.
Zumindest erreicht man so sicher eine schnellere Marktdurchdringung als mit dedizierten Kartenterminals, die sonst keinen zusätzlichen Zweck erfüllen, der ihre Anschaffungskosten rechtfertigen würde.

2 thoughts on “Chipkartenanwendungen und Browser-Integration: Standard gesucht”

  1. Unabhängig von der Microsoft-Welt die gerne so tun als ob sie das alles erfunden hätten und es das vorher nie gab, gibt es doch schon länger einen Standard für Chipkarten in Webbrowsern: PKCS#11.

    Ein PKCS#11-Modul (entweder proprietär vom Kartenhersteller bereitgestellt, oder offen in Form von opensc) das dann auf eine Smartcard (üblicherweise PKCS#15-formatiert, oder zumindest PKCS#15-ähnlich) zugreift lässt sich bereits seit Netscape Navigator 4 (Realitätscheck: Das war 1997!) und alle späteren Mozilla-basierten Browser und Mail-Clients einbinden. Dort erlaubt es dann SSL-Client-Authentifizierung und damit sehr einfaches, wirksames, standardkonformes Single-Sign-On.

    1. interessant, PKCS#11 war mir bereits aus dem ReinerSCT-Forum in Zusammenhang mit OWOK bekannt (es ging darum, ob man OWOK-Karten z.B. für TrueCrypt benutzen könne), aber so genau hatte ich das dann auch nicht weiter verfolgt…

      Habe mir mal das SmartCard Bundle von http://opensc-project.org/scb runtergeladen und die opensc-pkcs11.dll als Kryptographie-Modul in Firefox geladen. Es erscheinen auch die 4 Slots für den ReinerSCT-Leser, leider habe ich gerade keine PKCS-geeignete Karte rumliegen… werde mir aber diese virtuellen Slots mal genauer ansehen.
      vielen Dank für den Hinweis! 🙂

      Welche Möglichkeiten gibts es denn konkret, darüber aus einer Webanwendung auf die Karte zuzugreifen?

      Wenn ich das richtig verstanden habe, hätte man dann z.B. eine SSL-Verbindung, bei der nicht nur der Server sich per öffentlichem Zertifikat gegenüber dem Nutzer authentisiert, sondern auch der Nutzer (womit dann quasi gleichzeitig auch die Identifikation stattfindet)!?

      Wenn ich so an die Computerbild-Aktion denke, war es glaube ich ganz zu Anfang auch so, dass sich beim Aufruf von mein-cockpit.de ohne installiertes OWOK-Plugin ein Passwort-Fenster (also HTTP-Authentifizierung) öffnete; offenbar wird OWOK am Ende auch darüber abgewickelt…!? Nunja, wir werden sehen, wenn die Spezifikationen für OWOK fertig sind 🙂

Leave a Reply

Your email address will not be published.