{"id":8381,"date":"2021-11-01T19:34:42","date_gmt":"2021-11-01T18:34:42","guid":{"rendered":"https:\/\/ericfischer.eu\/?p=8381"},"modified":"2024-12-21T20:33:20","modified_gmt":"2024-12-21T19:33:20","slug":"eid-ein-verbesserungs-vorschlag","status":"publish","type":"post","link":"https:\/\/ericfischer.eu\/en\/2021\/11\/01\/eid-ein-verbesserungs-vorschlag\/","title":{"rendered":"eID: A suggestion for improvement"},"content":{"rendered":"\n

Schon seit Jahren bietet der Personalausweis in Deutschland die M\u00f6glichkeit, sich digital
auszuweisen und zu authentifizieren (vergleiche Bundesinnenministerium (2021)). Leider findet das Verfahren kaum Anwendung und ist in der Bev\u00f6lkerung auch kaum bekannt. Daher m\u00f6chte ich in diesem Blogeintrag darstellen, wie eine elektronische Authentifizierung mit dem Personalausweis nutzerfreundlich gestaltet werden k\u00f6nnte.<\/p>\n\n\n\n

Wie funktioniert der elektronische Ausweis?<\/h2>\n\n\n\n

Der elektronische Ausweis (eID) ist aus technischer Sicht ein Near Field Communication (NFC) Chip, der in den Personalausweis eingearbeitet ist. Dieser NFC Chip speichert die Daten, die auch auf dem Personalausweis stehen. \u00dcber bestimmte Authentifizierungsverfahren k\u00f6nnen diese Daten gelesen und an eine Beh\u00f6rde oder einen anderen Dienst weitergegeben werden.<\/p>\n\n\n\n

Notwendig f\u00fcr die Benutzung sind zum einen nat\u00fcrlich ein aktueller Personalausweis, eine Anwendung auf dem Desktop-PC oder Laptop sowie entweder die AusweisApp2 auf dem Smartphone oder Tablet oder ein Kartenleseger\u00e4t. Fordert ein Dienst nun eine Authentifizierung an, wie es zum Beispiel bei Onlineantr\u00e4gen notwendig sein kann, muss der Ausweis an das Kartenleseger\u00e4t oder das Smartphone gehalten werden. Dadurch werden die Daten vom Ausweis gelesen. Mit einer selbstgew\u00e4hlten PIN gibt man dann diese Daten zur Verwendung durch den Antrag frei. Dieser Ablauf ist in Abbildung 2.1 dargestellt.<\/p>\n\n\n\n

\"\"
Abb. 2.1: Ablauf der Authentifizierung mit dem elektronischen Personalausweis.<\/figcaption><\/figure>\n\n\n\n

Da die gesamte Kommunikation Ende-zu-Ende verschl\u00fcsselt passiert, k\u00f6nnen die Daten nicht abgefangen werden. Au\u00dferdem kann der Benutzer ausw\u00e4hlen, welche Daten er an welchen Dienst weitergeben m\u00f6chte. So ist es theoretisch m\u00f6glich, Dokumente nach den Ma\u00dfgaben einer qualifizierten elektronischen Unterschrift zu signieren.<\/p>\n\n\n\n

Wo liegen die Probleme im bisherigen Verfahren?<\/h2>\n\n\n\n

Es ist auff\u00e4llig, dass sich die Authentifizierung mit der eID deutlich von den \u00fcblichen Methoden, wie einem Login bei bekannten Onlinediensten, unterscheidet. Prim\u00e4r ist das Konzept auf die Datensicherheit ausgelegt, damit auch sichergestellt werden kann, dass der Eigent\u00fcmer des Ausweises die Authentifizierung durchf\u00fchrt. Das Problem, das daraus resultiert, ist, dass das Konzept nicht mehr benutzerfreundlich ist.<\/p>\n\n\n\n

Das gr\u00f6\u00dfte Hindernis an diesem Verfahren sind die hohen Zugangsbeschr\u00e4nkungen. Die Anwendung, die die Daten tats\u00e4chlich \u00fcbermittelt, muss auf einem Rechner installiert werden, der auf Microsoft Windows oder MacOS l\u00e4uft. Damit werden Personen ausgeschlossen, die diese Systeme nicht benutzen m\u00f6chten oder k\u00f6nnen. Noch viel schwerwiegender ist allerdings, dass man ein Kartenleseger\u00e4t ben\u00f6tigt oder sein Smartphone mit dem Rechner koppeln muss.<\/p>\n\n\n\n

Ein Kartenleseger\u00e4t werden sich f\u00fcr diesen Zweck wohl die wenigsten Personen anschaffen, da es nicht nur Geld, sondern auch Zeit kostet, dieses zu bestellen und einzurichten. Das Koppeln des Smartphones mit dem PC ist f\u00fcr viele Menschen eine hohe technische H\u00fcrde. Auch hier ist davon auszugehen, dass die meisten Menschen sich nicht die Zeit nehmen m\u00f6chten, die Software entsprechend einzurichten.<\/p>\n\n\n\n

Wie k\u00f6nnte man diese H\u00fcrden abbauen?<\/h2>\n\n\n\n

Damit das Verfahren benutzerfreundlicher wird, kann man sich Methoden bedienen, die in anderen Webanwendungen schon weit verbreitet sind. Die meisten gro\u00dfen Dienste, die einen sogenannten Single-Sign-On (SSO) bieten, setzen dabei auf Open Authorization 2.0 (OAuth 2.0) (vergleiche Siriwardena (2020, S. 81)). OAuth 2.0 ist damit ein de-facto Standard f\u00fcr die Authentifizierung und Authorisierung von Personen.<\/p>\n\n\n\n

\"\"
Abb. 4.1: Der Authorization Code Flow von OAuth2. Nach Boyd (2012, Abb. 2-1, S. 14)<\/figcaption><\/figure>\n\n\n\n

Kurz erkl\u00e4rt funktioniert die Methode folgenderma\u00dfen: Der Benutzer m\u00f6chte sich authentifizieren und sich bei einer Anwendung einloggen. Zum Login wird er auf den Authentifizierungsserver weitergeleitet, sodass der Client die Anmeldedaten nicht lesen kann. Hat der Authorization Server den Login validiert, bekommt der Client einen Authorization Code, mit dem dann der Token geholt werden kann. Mit dem Token wiederum kann der Client die Ressource vom Resource Server beziehen, der den Token mithilfe des Authorization Servers validiert (vergleiche Boyd (2012, S. 14)). So funktionieren zum Beispiel die Logins mit Google oder Facebook bei Drittanbietern.<\/p>\n\n\n\n

Dieses Vorgehen kann man adaptieren: Verwendet man die AusweisApp2, so k\u00f6nnte der Authentifizierungsserver einen QR-Code bereitstellen, der den Authentifizierungsvorgang repr\u00e4sentiert. Mit der AusweisApp2 scannt man diesen QR-Code und bekommt dann die M\u00f6glichkeit, seinen Personalausweis zu scannen und die PIN einzugeben. Diese Daten werden an den Authentifizierungsserver \u00fcbermittelt, der dann den Authorization Code ausstellt. Alternativ kann der Vorgang auch mit der PC-Anwendung und einem Kartenleseger\u00e4t abgeschlossen werden. Die Kommunikation zwischen Authorization Server und App beziehungsweise Kartenleseger\u00e4t bleibt selbstverst\u00e4ndlich Ende-zu-Ende verschl\u00fcsselt.<\/p>\n\n\n\n

Das hei\u00dft, der Benutzer ben\u00f6tigt nur entweder die AusweisApp2 oder ein Kartenleseger\u00e4t am PC, nicht mehr beides. Es entfallen dadurch die aufwendigen Einrichtungen, wie zum Beispiel das Koppeln des Smartphones mit dem PC. Dar\u00fcber hinaus erm\u00f6glicht man dem Benutzer, sich auch mobil mit dem Personalausweis zu authentifizieren und gibt Personen, die weder Windows noch MacOS nutzen, die M\u00f6glichkeit, am Verfahren teilzunehmen. Es sei dazu gesagt, dass Android quelloffen ist und diese App daher nicht an Googles Version des Betriebssystems gebunden ist. Der Ablauf ist in Grafik 4.2 dargestellt.<\/p>\n\n\n\n

\"\"
Abb. 4.2: Das eID Verfahren gekoppelt mit OAuth2.<\/figcaption><\/figure>\n\n\n\n

Der Ablauf w\u00e4re demnach folgenderma\u00dfen:<\/p>\n\n\n\n

    \n
  1. Der Benutzer ruft den Onlineantrag auf.<\/li>\n\n\n\n
  2. Der Benutzer m\u00f6chte eine qualifizierte elektronische Signatur abgeben.<\/li>\n\n\n\n
  3. Der Onlineantrag leitet den Benutzer auf den Authorization Server weiter.<\/li>\n\n\n\n
  4. Der Authorization Server stellt eine verschl\u00fcsselte Verbindung zur AusweisApp2 oder dem Kartenleseger\u00e4t her.<\/li>\n\n\n\n
  5. Der Benutzer scannt seinen Ausweis.<\/li>\n\n\n\n
  6. Der Benutzer gibt seine PIN ein.<\/li>\n\n\n\n
  7. Der Authorization Server stehllt den Authorization Code aus.<\/li>\n\n\n\n
  8. Der Onlineantrag verwendet den Authorization Code, um den Token vom Authorization Server zu holen.<\/li>\n\n\n\n
  9. Der Onlineantrag greift mit dem Token auf den Resource Server, also den Dienst f\u00fcr die Ausstellung der Singaturschl\u00fcssel, zu.<\/li>\n\n\n\n
  10. Der Onlineantrag signiert sich mithilfe der Schl\u00fcssel.<\/li>\n<\/ol>\n\n\n\n

    Ob der Onlineantrag Signaturschl\u00fcssel abrufen darf, wird \u00fcber die Client Scopes geregelt. Das hei\u00dft, dass bei OAuth 2.0 im Vorfeld geregelt wird, welche Daten ein Client theoretisch anfragen darf. Technisch ist es auch m\u00f6glich, diese Scopes je Anfrage festzulegen, sodass der Benutzer bei jedem Vorgang w\u00e4hlen kann, welche Zugriffe der Client erhalten soll. Allerdings ist hier wieder zu beachten, dass es der Benutzer einfach haben m\u00f6chte und tendentiell mehr Daten freigeben wird, weil eine Auswahl Zeit kostet.<\/p>\n\n\n\n

    Fazit<\/h2>\n\n\n\n

    Das aktuelle Verfahren rund um die eID ist zu aufwendig, um sich einer breiten Benutzerbasis zu erfreuen. Jedoch ist es verh\u00e4ltnism\u00e4\u00dfig einfach m\u00f6glich, auf eine sichere Methode wie OAuth 2.0 zu wechseln. Technisch m\u00fcsste daf\u00fcr nicht viel ver\u00e4ndert werden, da die Kommunikation zwischen Kartenleseger\u00e4t oder Smartphone und Authorization Server weiterhin direkt erfolgt. Jedoch fallen diverse technische H\u00fcrden weg, die aktuell sicherlich die Akzeptanz verringern.<\/p>\n\n\n\n

    Leider ist aktuell nicht abzusehen, ob sich in diesem Bereich in der nahen Zukunft etwas \u00e4ndern wird. Es bleibt zu hoffen, dass das Bundesinnenminsiterium nachjustiert, da die elektronische Ausweiskontrolle viel Potential birgt, das aktuell einfach verschenkt wird.<\/p>\n\n\n\n

    Literatur<\/h2>\n\n\n\n

    [Boyd 2012]
    Boyd, Ryan: Getting Started with OAuth 2.0. O\u2019Reilly, 2012<\/p>\n\n\n\n

    [Bundesinnenministerium 2021]
    Bundesinnenministerium: Der Online-Ausweis.
    Website. 2021. \u2013 URL https:\/\/www.personalausweisportal.de\/Webs\/PA\/DE\/
    buergerinnen-und-buerger\/online-ausweisen\/online-ausweisen-node.html<\/a><\/p>\n\n\n\n

    [Siriwardena 2020] Siriwardena, Prabath: Advanced API Security: OAuth 2.0 and
    Beyond. 2. Apress, 2020<\/p>\n\n\n\n

    Abk\u00fcrzungen<\/h2>\n\n\n\n

    eID<\/strong> Elektronischer Personalausweis
    NFC<\/strong> Near Field Communication
    OAuth 2.0<\/strong> Open Authorization 2.0
    SSO<\/strong> Single-Sign-On<\/p>\n","protected":false},"excerpt":{"rendered":"

    The electronic identity card has been available in Germany for over 10 years, yet it is hardly used. I would like to demonstrate how the concept could be improved and attract users.<\/p>","protected":false},"author":1,"featured_media":8398,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-8381","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/posts\/8381","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/comments?post=8381"}],"version-history":[{"count":6,"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/posts\/8381\/revisions"}],"predecessor-version":[{"id":19730,"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/posts\/8381\/revisions\/19730"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/media\/8398"}],"wp:attachment":[{"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/media?parent=8381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/categories?post=8381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ericfischer.eu\/en\/wp-json\/wp\/v2\/tags?post=8381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}