Zwangs-Registrierung bei Nokia?

Nach einigen Tagen des offline-Testens hatte ich gestern zum ersten mal eine SIM-Karte in das C7 eingelegt. Kurz nach dem Booten dann folgender Dialog (wobei in diesem Fall wohl eher die Bezeichnung ‘Monolog’ angebracht wäre):

Nokia Zwangs-Registrierung

Ich frage mich, welchen Sinn eine solche Abfrage macht, die dem Benutzer (ohne Möglichkeit der Anzeige der entsprechenden Bedingungen) am Ende nichtmal eine Wahl zwischen Akzeptieren oder Ablehnen lässt; vielleicht sollten die Nokia-Entwickler hier mal ihre eigenen User Interface Design Guidelines lesen…

Da ich in dem Moment gerade keine Lust hatte, nach dem Handbuch zu suchen um diese (nicht sonderlich präzise benannten) ‘enthaltenen Bedingungen’ durchzulesen, wurde es zu einer gern angenommenen Herausforderung, wie man dies nun umgehen könnte.
Ein (langer) Druck auf die Menü- oder rote Hörertaste wird abgefangen, und auch nach einem Neustart ist der Bildschirm relativ schnell wieder da.
Einige Möglichkeiten gibt es aber doch, aus diesem Zustand auszubrechen:
Steckt man ein USB-Kabel rein, erscheint oben links kurz der Hinweis, auf den man tippen kann, um ins USB-Menü zu gelangen. Alternativ kann man die Sprachbefehl-Taste (rechts zwischen den Lautstärke-Tasten) gedrückt halten, einen Befehl sprechen und damit in irgendein anderes Programm wechseln.
Ist das Fenster erst einmal im Hintergrund, funktioniert auch die Menü-Taste wieder und das Gerät lässt sich relativ normal nutzen (bspw. um ein Screenshot-Tool zu starten…), in der Liste der aktiven Programme fehlt dem Setup-Tool allerdings der schließen-Button.

Es führt also langfristig nichts darum herum, die SIM-Karte rauszunehmen und sofort danach auf OK zu tippen, dann noch ein paar weitere Fragen ablehnen (ovi Registrierung etc.) und das war’s.
Es befindet sich dann im Mitteilungs-Ausgang eine Nachricht, die sich erst nach Ablauf des Sende-Timeouts in ‘Entwürfe’ verschieben und dort anschließend lesen lässt;
es ist eine SMS an die Kurzwahl 72626 mit dem Inhalt “4:”, gefolgt von einem base64-String, dessen Inhalt sich einem nach decodieren leider nicht ohne weiteres offenbaren will.

Die Suche nach Nokia 72626 ergibt aber bereits zahlreiche Ergebnisse, wo von Spam-SMS berichtet wird.

Fraglich also, wie die hierfür zusammen mit der IMEI an Nokia übermittelte Rufnummer in einem Zusammenhang mit Gewährleistungsansprüchen stehen soll, bzw. weshalb der Nutzer so gezielt genötigt wird, sich mit einem Mobilfunkkonto bei Nokia zu registrieren. Vermutlich dürfte der Großteil der Kunden diese Meldung nach dem ersten Einschalten mangels Alternativen voreilig bestätigen, um das neue Gerät endlich nutzen zu können.

Selbst Google zwingt Android-Nutzer doch nicht mehr, sich für die Nutzung des Gerätes mit einem Google-Konto einzuloggen!?

Falls hier also gerade ein paar arbeitlose Anwälte mitlesen, die sich gern mit dubiosen Abmahnungen etc. finanziell über Wasser halten: Ich denke hier sollte wirklich was zu holen sein;
zumal Nokia auch langsam mal damit aufhören könnte, solche (bei anderen Marktteilnehmern scheinbar ebenfalls geduldete) Strategien zu kopieren…

NXP PN544 (44501) chip and NFC antenna inside the Nokia C7-00

after frequent rumours about the (yet inactive) NFC hardware inside the nokia c7-00, i recently decided to get myself one and have a closer look at the actual chip.
curiously, most of the information available on the internet relies on confirmed statements by nokia, but i could not find any details about the chip to actually prove it.
however, the schematics leaked on the internet (search for “Nokia_C7-00_RM-675_Service_Schematics_v2.0.pdf”) show a controller called N6500, and you can see the connection to the two antenna pads on the back of the PCB (X6500 and X6501), but there’s no info about the real name of the chip.

so here it is:

NXP 44501
07 05
ZSD0364
//UPDATE: it seems to be a PN544, just labeled differently. Here is some more info, also concerning the Google Nexus S hardware.

the antenna is located at the back of the b-cover, hidden underneath the Bluetooth/GPS/WiFi Antenna:

Chipkartenanwendungen und Browser-Integration: Standard gesucht

Da hier in letzter Zeit doch ein gewisses Interesse in Zusammenhang mit dem ComputerBild-Lesegerät und v.a. der beigelegten Karte aufkam, wollte ich nun nochmal etwas allgemeiner auf die Problematik (und bisher verbreiteten Lösungen) der Schnittstelle zwischen Web-Anwendung und Kartenlesegerät eingehen.

Eine Web-Anwendung kann nicht einfach nach Belieben auf die Hardware des Computers zugreifen, was ja grundsätzlich auch erstmal nichts Schlechtes ist; hin und wieder ergibt sich aber doch die Situation, wo dies vom Benutzer gewünscht ist: Bekanntestes Beispiel dürfte hier wohl das Flash-Plugin mit der Bitte um Zugriff auf Kamera und Mikrofon sein.

Für Chipkarten dagegen hat sich noch kein globaler Standard so wirklich durchgesetzt.
Allerdings fehlte es hier bisher auch an Angeboten, die die breite Masse ansprechen; insbesondere lokale Anwendungen mit jeweils beschränktem Nutzerkreis sind geradezu prädestiniert dafür, Insellösungen hervorzubringen.

Eine inzwischen schon relativ verbreitete Anwendung kommt dagegen aus dem Bankensektor:

Mit der SmartLine von fun communications lassen sich die Funktionen der GeldKarte (die zumindest in der kontaktbehafteten Variante ohnehin schon die meisten mit sich herumtragen dürften) über ein Java-Applet online nutzen.

Alternativ ist auch die Nutzung über das SIZCHIP-Plugin der Sparkassen möglich, das allerdings erst (und nur zu diesem Zweck) installiert werden muss, während Java in den meisten Fällen schon vorhanden sein dürfte.

Wer das nun selbst ausprobieren möchte, findet auf der GeldKarte-Seite die Möglichkeit, die im Chip gespeicherten Informationen auszulesen: http://www.geldkarte.de/_www/de/pub/geldkarte/privatnutzer/services/karten_tests.php

Hierzu genügt schon ein Klasse-1-Leser (für kontaktbehaftete Karten, da die meisten GeldKarten bisher nicht kontaktlos sind) – die Transaktion wird dann am Bildschirm über eine virtuelle Tastatur bestätigt. Grundsätzlich wäre es also möglich, eine Transaktion z.B. umzuleiten; bisher hat das scheinbar auch niemanden gestört, erst jetzt mit dem nPA wird der Eindruck erweckt, als seien Klasse-1-Leser ein erst in diesem Zusammenhang entstandenens Problem.
Allerdings speichert die eigene GeldKarte immer auch die ID der jeweiligen Händlerkarte, mit der der Empfänger schließlich seine Umsätze bei seiner Bank einfordert, d.h. es wäre im Zweifelsfall relativ gut nachvollziehbar, wo das Geld gelandet ist.

Beide Varianten sind für den Betreiber kostenpflichtig, und damit für Anwendungen abseits von Zahlungsfunktion oder Altersverifikation für die meisten Websites erstmal weniger interessant.

Eine ebenfalls proprietäre aber für alle Beteiligten kostenlose Methode stellt REINER SCT mit “One Web, one Key” zur Verfügung.
Die Serverkomponente bzw. Spezifikation zur Einbindung in eigene Web-Anwendungen soll in Kürze bereitgestellt werden; vermutlich wird es zukünftig auch möglich sein, eigene Karten nach PKCS#11 für OWOK zu verwenden(?); außerdem soll z.B. auch der neue Personalausweis unterstützt werden.

Voraussetzung für den Nutzer ist hier jedenfalls wieder die Installation des passenden Browser-Plugins.

Nun ist der Gedanke des Logins auf Webseiten ohne Benutzername und Passwort an sich nichts neues, und so hat natürlich auch Microsoft hierzu seit längerem eine Lösung parat:
Windows CardSpace ermöglicht dem Benutzer das Erstellen und Verwalten von virtuellen ‘Karten’, mit denen man sich bei Webseiten anmelden kann, die dies unterstützen. Zusammen mit einigen anderen bekannten Unternehmen wurde die Information Card Foundation gegründet – es handelt sich hier also um einen offenen Standard.

Eine sehr interessante Möglichkeit, sich mit InformationCards einzuloggen, bietet die Seite openidbycard.com, die übrigens von fun communications (s.o.) betrieben wird.
Man kann sich damit auf einer beliebigen OpenID-Website anmelden, indem man einfach openidbycard.com eingibt und anschließend eine (selbst erstellte!) virtuelle Karte zur Identifikation sendet; man ist hier also mehr oder weniger sein eigener OpenID-Provider.

Wer das nun selbst testen möchte, mag vielleicht überrascht sein, als Windows-User (konkret: ab dem .net-Framework 3.0) CardSpace bereits vorinstalliert zu finden, und kann nun einfach mit dem Internet Explorer eine Seite mit OpenID-Unterstützung besuchen und eine persönliche Karte erstellen. Für Firefox gibt es das IdentitySelector-Plugin, das ebenfalls auf die lokale CardSpace-Sammlung zurückgreift (natürlich gibt es auch vollständige Open-Source-Implementationen wie openinfocard oder DigitalMe).

Allerdings handelt es sich hier immernoch um virtuelle Karten, die auf dem PC des Nutzers hinterlegt sind. Ginge man nach der derzeitigen Situation der Berichterstattung in Massenmedien, dürfte dieser wohl schon längst nicht mehr als sicherer Raum einzustufen sein. Aber auch für CardSpace gibt es Möglichkeiten, die Karten des Benutzers mit einer ‘echten’ Karte zu schützen; hier wird sich wiederum noch herausstellen müssen, was für eine das sein wird.

Die von ComputerBild in großer Auflage verbreitete loginCard unterstützt jedenfalls keine asymmetrische Kryptografie, und auch der neue Personalausweis lässt sich ohne BSI-Zertifikat nicht zur Identifikation oder gar Hinterlegung eines Schlüsselpaars nutzen.
Natürlich könnte sich auch jeder selbst eine JCOP- oder andere RSA-Karte kaufen, aber die breite Masse der Internetnutzer erreichen am Ende doch immer proprietäre Komplettlösungen (v.a. wenn für den Nutzer selbst kostenlos).
Vielleicht wird OWOK weitere Verbreitung finden, wenn sich mehr Anbieter für die Ausgabe einer solchen (nicht ‘light’) Karte entscheiden, die sich dann neben der Login-Funktion auch für eigene Anwendungen nutzen lässt.

Nun aber noch kurz zu dem Standard, der am Ende nun auch erst diese ganze Aufmersamkeit in dem Bereich verursacht hat:

Das e-Card-API-Framework vom BSI, das unter anderem den neuen Personalausweis umfasst.
Die Browser-Integration wird in Teil 7 der TR-03112 (Kapitel 2.3.1, ab Seite 12) beschrieben – man ist also grundsätzlich nicht auf die Benutzung einer bestimmten Software angewiesen.
Somit ist also zu erwarten, dass bis zum Aufkommen einer nennenswerten Anzahl von Nutzungsmöglichkeiten der eID-Funktion (sowie der Verbreitung des neuen Ausweises in der Bevölkerung) längst eine Open-Source-Alternative zu dem 800.000 Euro teuren 68-MB-Datenhaufen namens “AusweisApp” zur Verfügung stehen wird.

Eine große Verbreitung ist in diesem Fall langfristig also zu erwarten, leider lässt sich der Ausweis wie bereits erwähnt aber nicht für lokale Anwendungen nutzen.
Und überhaupt ist im Moment noch offen, ob zukünftig wirklich jeder auch zur Investition in einen Standard- oder Komfortleser zur Online-Nutzung bereit wäre.
Vermutlich nicht, aber wahrscheinlich wird das auch gar nicht mehr nötig sein.

Wenn man so die aktuelle Entwicklung in der Mobilfunkbranche betrachtet, stehen wir gerade sehr kurz vor der (praktischen) Einführung von NFC, also im Grunde soetwas wie ein Kontaktloskarten-Lesegerät in jedem Handy – aber auch mit der Möglichkeit der direkten Kommunikation zwischen zwei Geräten.
Uneinigkeit herrschte hier in der Vergangenheit hauptsächlich über die Verwendung von Sicherheitsmodulen – nun scheint aber mit dem ‘Single Wire Protocol’ der Standard für die Integration sicherheitskritischer Anwendungen auf der SIM-Karte gefunden zu sein (die Mobilfunkbetreiber bekommen hier also wieder die Kontrolle darüber, was auf ihre Karten darf und was nicht…).

Bisher hat Nokia angekündigt, sämtliche Geräte der ‘Smartphone’-Kategorie ab 2011 mit NFC auszustatten (das C7 besitzt bereits die Hardware-Funktionalität dafür, welche im nächsten Jahr per Firmware-Update nutzbar werden soll), und auch die Gerüchte um das iPhone 5 mit NFC-Technik tendieren derzeit zum ersten Quartal 2011.

Auch wenn ich persönlich eine gewisse Abneigung gegenüber Apple habe, ist es doch bemerkenswert, welche Macht man inzwischen auf dem Markt hat; mit anderen Worten: Wenn Apple von den Betreibern verlangen würde, SIM-Karten mit Unterstützung für solche Zusatzapplikationen zu verwenden, bliebe diesen wohl kaum etwas anderes übrig, wenn sie das iPhone 5 anbieten wollen (ähnlich der Micro-SIM beim iPad). Wäre also eine Möglichkeit, wir werden sehen ob Apple sie auch nutzt.

Worauf ich aber eigentlich hinauswollte, war die Integration mit Web-Anwendungen. Bisher ist es auch beim Mobilfunk nur über die Installation von Software (Java-MIDlets) möglich, auf die NFC-Funktionen zugreifen zu können.
Es wird sich zeigen, ob sich daran noch etwas ändert, und diese schnelllebige Branche eventuell auch einen offenen Standard hervorbringt, der am Ende sogar in die Desktop-Welt Einzug halten könnte.

Unabhängig davon würde ich jedenfalls auch folgende Kombination für einigermaßen realistisch halten: ein per USB-Kabel am Rechner angeschlossenes Mobiltelefon, das – dank eigenem Display und Tastatur – als Klasse-2 oder -3-Leser zertifiziert sein könnte.
Zumindest erreicht man so sicher eine schnellere Marktdurchdringung als mit dedizierten Kartenterminals, die sonst keinen zusätzlichen Zweck erfüllen, der ihre Anschaffungskosten rechtfertigen würde.