Schlagwort-Archive: nPA

Aus der eID-Filterblase

Wie der Heise-Newsticker von der CeBIT berichtet, können Eltern die  Kindergartenplätze für ihren Nachwuchs jetzt auch mit dem neuen Personalausweis beantragen. Statt umständlich mit einem Stift Formulare auszufüllen, muss man nur noch eine App auf seinem NFC-fähigen Smartphone installieren, den Antrag ins Händi wischen und seinen Personalausweis daneben legen. Die Bewilligung wird zurück aufs Händi geschickt, das dann im Kindergarten vorzulegen ist. Wenn man Pech hat, gibt es Kindergartenplätze allerdings frühestens wieder im September und das Smartphone wird bis dahin geklaut.

Goldig ist auch die Idee der BürgerDVD aus derselben Heise-Meldung. Um meinen sicheren Identitätsnachweis im Internet nutzen zu können, beende ich gerne alle laufenden Programme, starte mein System neu und verwende ein ungewohntes Betriebssystem, das nicht mal meine Browser-Bookmarks kennt. Das kostet mich höchstens eine Viertelstunde.

The German eID system explained and discussed

We just finished reviewing the final, ready-to-print version of our article Electronic Identity Cards for User Authentication—Promise and Practice, which will appear in the upcoming issue of IEEE Security & Privacy Magazine (vol. 10, no. 1, jan/feb 2012, DOI: 10.1109/MSP.2011.148). We outline how the German eID system works and discuss application issues. Here is our abstract:

Electronic identity (eID) cards promise to supply a universal, nation-wide mechanism for user authentication. Most European countries have started to deploy eID for government and private sector applications. Are government-issued electronic ID cards the proper way to authenticate users of online services? We use the German eID project as a showcase to discuss eID from an application perspective. The new German ID card has interesting design features: it is contactless, it aims to protect people’s privacy to the extent possible, and it supports cryptographically strong mutual authentication between users and services. Privacy features include support for pseudonymous authentication and per-service controlled access to individual data items. The article discusses key concepts, the eID infrastructure, observed and expected problems, and open questions. The core technology seems ready for prime time and government projects deploy it to the masses. But application issues may hamper eID adoption for online applications.

We think that eID functions of government-issued ID cards will not replace means of everyday online authentication. With eID, there will be few new use cases for ID cards, eID just supports online versions of the traditional use cases. Most of the traditional use cases in Germany involve bureaucracy or legal requirements: legal protection for children and young persons, required identification of mobile phone users or bank account holders, or procedures of administrative bodies involving »Ausweis bitte!« at some point. For those who followed the debate and rollout in Germany, there should be nothing new in our article, but the article may come in handy as a reference for international audiences.

Our article will be in good company as it will appear in a theme issue on authentication. If I read the preprints collection correctly, there will be a user study by Amir Herzberg and Ronen Margulies,  Training Johnny to Authenticate (Safely), and an article by Cormac Herley and Paul van Oorschot, A Research Agenda Acknowledging the Persistence of Passwords (authors‘ version). It seems sexy to many to call the days of the password counted—IBM just predicted password authentication would die out soon—but if I had to make a bet I would follow Cormac and Paul.

The final version of our article will be paywalled by IEEE, but you can find our preprint with essentially the same contents on our website.

Meine teuerste Karte

X3 bringt auf den Punkt, was am neuen Personalausweis blöd ist:

(Direkt-nPA)

So etwas kommt heraus, wenn man Sicherheit als Funktion und Teilsystem missversteht und diese Funktion unabhängig vom Anwendungskontext realisiert. Wer’s besser machen möchte, muss von den Anwendungen und ihrem Sicherheitsbedarf ausgehen. Dabei können am Ende auch generische Mechanismen herauskommen. Dann aber solche, die ihr Geld wert sind und zu den jeweiligen Problemen passen. Bis das alle begriffen haben, wird meine wichtigste Karte weiterhin eine lange Nummer und das Logo einer Kreditkartenorganisation tragen. Damit kann ich online wie offline was anfangen, und Kosten wie Risiken bleiben bescheiden.

Überzeugendes Argument

Spanien hat ihn schon, seinen elektronischenneuen Personalausweis (nPA), und die Werbung dazu auch. DNI electrónico (DNI: Documento Nacional de Identidad) heißt das Stück dort und im Gegensatz zum nPA trägt er einen klassischen Chipkartenchip mit Kontakten. Aber selbst in Spanien, wo der Personalausweis im Alltag viel präsenter ist als bei uns und zum Beispiel beim Zahlen mit Kreditkarte gewohnheitsmäßig vorgezeigt wird, braucht die elektronische Version etwas Nachhilfe. Diese Nachhilfe fällt aber nur in den Augen eines Bürokraten überzeugend aus. »Deine Steuererklärung wo und wann du willst«, das ist nicht gerade die sexy Informationsgesellschaft, auf die sich alle stürzen. Web 2.0 ist hip, Youtube, Twitter, Facebook und so weiter, aber Steuererklärungen?

Werbung der Spanischen Regierung für den elektronischen Ausweis "DNI electrónico" aus der Zeitung "El País"