Da hier in letzter Zeit doch ein gewisses Interesse in Zusammenhang mit dem ComputerBild-Leseger\u00e4t und v.a. der beigelegten Karte aufkam, wollte ich nun nochmal etwas allgemeiner auf die Problematik (und bisher verbreiteten L\u00f6sungen) der Schnittstelle zwischen Web-Anwendung und Kartenleseger\u00e4t eingehen.<\/p>\n
Eine Web-Anwendung kann nicht einfach nach Belieben auf die Hardware des Computers zugreifen, was ja grunds\u00e4tzlich auch erstmal nichts Schlechtes ist; hin und wieder ergibt sich aber doch die Situation, wo dies vom Benutzer gew\u00fcnscht ist: Bekanntestes Beispiel d\u00fcrfte hier wohl das Flash-Plugin mit der Bitte um Zugriff auf Kamera und Mikrofon sein.<\/p>\n
F\u00fcr Chipkarten dagegen hat sich noch kein globaler Standard so wirklich durchgesetzt.
\nAllerdings fehlte es hier bisher auch an Angeboten, die die breite Masse ansprechen; insbesondere lokale Anwendungen mit jeweils beschr\u00e4nktem Nutzerkreis sind geradezu pr\u00e4destiniert daf\u00fcr, Insell\u00f6sungen hervorzubringen.<\/p>\n
Eine inzwischen schon relativ verbreitete Anwendung kommt dagegen aus dem Bankensektor:<\/p>\n
Mit der SmartLine<\/a> von fun communications lassen sich die Funktionen der GeldKarte<\/a> (die zumindest in der kontaktbehafteten Variante ohnehin schon die meisten mit sich herumtragen d\u00fcrften) \u00fcber ein Java-Applet online nutzen.<\/p>\n Alternativ ist auch die Nutzung \u00fcber das SIZCHIP<\/a>-Plugin der Sparkassen m\u00f6glich, das allerdings erst (und nur zu diesem Zweck) installiert werden muss, w\u00e4hrend Java in den meisten F\u00e4llen schon vorhanden sein d\u00fcrfte.<\/p>\n Wer das nun selbst ausprobieren m\u00f6chte, findet auf der GeldKarte-Seite die M\u00f6glichkeit, die im Chip gespeicherten Informationen auszulesen: http:\/\/www.geldkarte.de\/_www\/de\/pub\/geldkarte\/privatnutzer\/services\/karten_tests.php <\/a><\/p>\n Hierzu gen\u00fcgt schon ein Klasse-1-Leser (f\u00fcr kontaktbehaftete Karten, da die meisten GeldKarten bisher nicht kontaktlos<\/a> sind) – die Transaktion wird dann am Bildschirm \u00fcber eine virtuelle Tastatur best\u00e4tigt. Grunds\u00e4tzlich w\u00e4re es also m\u00f6glich, eine Transaktion z.B. umzuleiten; bisher hat das scheinbar auch niemanden gest\u00f6rt, erst jetzt mit dem nPA wird der Eindruck erweckt, als seien Klasse-1-Leser ein erst in diesem Zusammenhang entstandenens Problem. Beide Varianten sind f\u00fcr den Betreiber kostenpflichtig, und damit f\u00fcr Anwendungen abseits von Zahlungsfunktion oder Altersverifikation f\u00fcr die meisten Websites erstmal weniger interessant.<\/p>\n Eine ebenfalls propriet\u00e4re aber f\u00fcr alle Beteiligten kostenlose Methode stellt REINER SCT mit “One Web, one Key”<\/a> zur Verf\u00fcgung. Voraussetzung f\u00fcr den Nutzer ist hier jedenfalls wieder die Installation des passenden Browser-Plugins.<\/p>\n Nun ist der Gedanke des Logins auf Webseiten ohne Benutzername und Passwort an sich nichts neues, und so hat nat\u00fcrlich auch Microsoft hierzu seit l\u00e4ngerem eine L\u00f6sung parat: Eine sehr interessante M\u00f6glichkeit, sich mit InformationCards einzuloggen, bietet die Seite openidbycard.com<\/a>, die \u00fcbrigens von fun communications (s.o.) betrieben wird. Wer das nun selbst testen m\u00f6chte, mag vielleicht \u00fcberrascht sein, als Windows-User (konkret: ab dem .net-Framework 3.0) CardSpace bereits vorinstalliert zu finden, und kann nun einfach mit dem Internet Explorer eine Seite mit OpenID-Unterst\u00fctzung besuchen und eine pers\u00f6nliche Karte erstellen. F\u00fcr Firefox gibt es das IdentitySelector<\/a>-Plugin, das ebenfalls auf die lokale CardSpace-Sammlung zur\u00fcckgreift (nat\u00fcrlich gibt es auch vollst\u00e4ndige Open-Source-Implementationen wie openinfocard<\/a> oder DigitalMe<\/a>).<\/p>\n Allerdings handelt es sich hier immernoch um virtuelle Karten, die auf dem PC des Nutzers hinterlegt sind. Ginge man nach der derzeitigen Situation der Berichterstattung in Massenmedien, d\u00fcrfte dieser wohl schon l\u00e4ngst nicht mehr als sicherer Raum einzustufen sein. Aber auch f\u00fcr CardSpace gibt es M\u00f6glichkeiten, die Karten des Benutzers mit einer ‘echten’ Karte zu sch\u00fctzen; hier wird sich wiederum noch herausstellen m\u00fcssen, was f\u00fcr eine das sein wird.<\/p>\n Die von ComputerBild in gro\u00dfer Auflage verbreitete loginCard unterst\u00fctzt jedenfalls keine asymmetrische Kryptografie, und auch der neue Personalausweis l\u00e4sst sich ohne BSI-Zertifikat nicht zur Identifikation oder gar Hinterlegung eines Schl\u00fcsselpaars nutzen. Nun aber noch kurz zu dem Standard, der am Ende nun auch erst diese ganze Aufmersamkeit in dem Bereich verursacht hat:<\/p>\n Das e-Card-API-Framework<\/a> vom BSI, das unter anderem den neuen Personalausweis umfasst. Eine gro\u00dfe Verbreitung ist in diesem Fall langfristig also zu erwarten, leider l\u00e4sst sich der Ausweis wie bereits erw\u00e4hnt aber nicht f\u00fcr lokale Anwendungen nutzen. Wenn man so die aktuelle Entwicklung in der Mobilfunkbranche betrachtet, stehen wir gerade sehr kurz vor der (praktischen) Einf\u00fchrung von NFC<\/a>, also im Grunde soetwas wie ein Kontaktloskarten-Leseger\u00e4t in jedem Handy – aber auch mit der M\u00f6glichkeit der direkten Kommunikation zwischen zwei Ger\u00e4ten. Bisher hat Nokia angek\u00fcndigt, s\u00e4mtliche Ger\u00e4te der ‘Smartphone’-Kategorie ab 2011 mit NFC auszustatten (das C7 besitzt bereits die Hardware-Funktionalit\u00e4t daf\u00fcr, welche im n\u00e4chsten Jahr per Firmware-Update nutzbar werden soll), und auch die Ger\u00fcchte um das iPhone 5 mit NFC-Technik tendieren derzeit zum ersten Quartal 2011. <\/p>\n Auch wenn ich pers\u00f6nlich eine gewisse Abneigung gegen\u00fcber Apple habe, ist es doch bemerkenswert, welche Macht man inzwischen auf dem Markt hat; mit anderen Worten: Wenn Apple von den Betreibern verlangen w\u00fcrde, SIM-Karten mit Unterst\u00fctzung f\u00fcr solche Zusatzapplikationen zu verwenden, bliebe diesen wohl kaum etwas anderes \u00fcbrig, wenn sie das iPhone 5 anbieten wollen (\u00e4hnlich der Micro-SIM beim iPad). W\u00e4re also eine M\u00f6glichkeit, wir werden sehen ob Apple sie auch nutzt.<\/p>\n Worauf ich aber eigentlich hinauswollte, war die Integration mit Web-Anwendungen. Bisher ist es auch beim Mobilfunk nur \u00fcber die Installation von Software (Java-MIDlets) m\u00f6glich, auf die NFC-Funktionen zugreifen zu k\u00f6nnen. Unabh\u00e4ngig davon w\u00fcrde ich jedenfalls auch folgende Kombination f\u00fcr einigerma\u00dfen realistisch halten: ein per USB-Kabel am Rechner angeschlossenes Mobiltelefon, das – dank eigenem Display und Tastatur – als Klasse-2 oder -3-Leser zertifiziert sein k\u00f6nnte. Da hier in letzter Zeit doch ein gewisses Interesse in Zusammenhang mit dem ComputerBild-Leseger\u00e4t und v.a. der beigelegten Karte aufkam, wollte ich nun nochmal etwas allgemeiner auf die Problematik (und bisher verbreiteten L\u00f6sungen) der Schnittstelle zwischen Web-Anwendung und Kartenleseger\u00e4t eingehen. Eine Web-Anwendung kann nicht einfach nach Belieben auf die Hardware des Computers zugreifen, was ja … Continue reading Chipkartenanwendungen und Browser-Integration: Standard gesucht<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,2,5],"tags":[],"class_list":["post-26","post","type-post","status-publish","format-standard","hentry","category-crypto","category-mobile","category-software"],"_links":{"self":[{"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/posts\/26","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/comments?post=26"}],"version-history":[{"count":11,"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/posts\/26\/revisions"}],"predecessor-version":[{"id":101,"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/posts\/26\/revisions\/101"}],"wp:attachment":[{"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/media?parent=26"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/categories?post=26"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sebastianschaper.net\/index.php\/wp-json\/wp\/v2\/tags?post=26"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nAllerdings speichert die eigene GeldKarte immer auch die ID der jeweiligen H\u00e4ndlerkarte, mit der der Empf\u00e4nger schlie\u00dflich seine Ums\u00e4tze bei seiner Bank einfordert, d.h. es w\u00e4re im Zweifelsfall relativ gut nachvollziehbar, wo das Geld gelandet ist.<\/p>\n
\nDie Serverkomponente bzw. Spezifikation zur Einbindung in eigene Web-Anwendungen soll in K\u00fcrze bereitgestellt werden; vermutlich wird es zuk\u00fcnftig auch m\u00f6glich sein, eigene Karten nach PKCS#11<\/a> f\u00fcr OWOK zu verwenden(?); au\u00dferdem soll z.B. auch der neue Personalausweis unterst\u00fctzt werden.<\/p>\n
\nWindows CardSpace<\/a> erm\u00f6glicht dem Benutzer das Erstellen und Verwalten von virtuellen ‘Karten’, mit denen man sich bei Webseiten anmelden kann, die dies unterst\u00fctzen. Zusammen mit einigen anderen bekannten Unternehmen wurde die Information Card Foundation<\/a> gegr\u00fcndet – es handelt sich hier also um einen offenen Standard.<\/p>\n
\nMan kann sich damit auf einer beliebigen OpenID-Website anmelden, indem man einfach openidbycard.com eingibt und anschlie\u00dfend eine (selbst erstellte!) virtuelle Karte zur Identifikation sendet; man ist hier also mehr oder weniger sein eigener OpenID-Provider.<\/p>\n
\nNat\u00fcrlich k\u00f6nnte sich auch jeder selbst eine JCOP- oder andere RSA-Karte kaufen, aber die breite Masse der Internetnutzer erreichen am Ende doch immer propriet\u00e4re Komplettl\u00f6sungen (v.a. wenn f\u00fcr den Nutzer selbst kostenlos).
\nVielleicht wird OWOK weitere Verbreitung finden, wenn sich mehr Anbieter f\u00fcr die Ausgabe einer solchen (nicht ‘light’) Karte entscheiden, die sich dann neben der Login-Funktion auch f\u00fcr eigene Anwendungen nutzen l\u00e4sst.<\/p>\n
\nDie Browser-Integration wird in Teil 7 der TR-03112<\/a> (Kapitel 2.3.1, ab Seite 12) beschrieben – man ist also grunds\u00e4tzlich nicht auf die Benutzung einer bestimmten Software angewiesen.
\nSomit ist also zu erwarten, dass bis zum Aufkommen einer nennenswerten Anzahl von Nutzungsm\u00f6glichkeiten der eID-Funktion (sowie der Verbreitung des neuen Ausweises in der Bev\u00f6lkerung) l\u00e4ngst eine Open-Source-Alternative zu dem 800.000 Euro teuren 68-MB-Datenhaufen namens “AusweisApp” zur Verf\u00fcgung stehen wird.<\/p>\n
\nUnd \u00fcberhaupt ist im Moment noch offen, ob zuk\u00fcnftig wirklich jeder auch zur Investition in einen Standard- oder Komfortleser zur Online-Nutzung bereit w\u00e4re.
\nVermutlich nicht, aber wahrscheinlich wird das auch gar nicht mehr n\u00f6tig sein.<\/p>\n
\nUneinigkeit herrschte hier in der Vergangenheit haupts\u00e4chlich \u00fcber die Verwendung von Sicherheitsmodulen – nun scheint aber mit dem ‘Single Wire Protocol’ der Standard f\u00fcr die Integration sicherheitskritischer Anwendungen auf der SIM-Karte gefunden zu sein (die Mobilfunkbetreiber bekommen hier also wieder die Kontrolle dar\u00fcber, was auf ihre Karten darf und was nicht…). <\/p>\n
\nEs wird sich zeigen, ob sich daran noch etwas \u00e4ndert, und diese schnelllebige Branche eventuell auch einen offenen Standard hervorbringt, der am Ende sogar in die Desktop-Welt Einzug halten k\u00f6nnte.<\/p>\n
\nZumindest erreicht man so sicher eine schnellere Marktdurchdringung als mit dedizierten Kartenterminals, die sonst keinen zus\u00e4tzlichen Zweck erf\u00fcllen, der ihre Anschaffungskosten rechtfertigen w\u00fcrde.<\/p>\n","protected":false},"excerpt":{"rendered":"