1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Corona: IATA-App soll…

Fake-App möglich?

  1. Thema

Neues Thema Ansicht wechseln


  1. Fake-App möglich?

    Autor: ThiefMaster 19.04.21 - 13:38

    > Die Informationen werden nach Angaben der IATA verschlüsselt auf dem Smartphone des Nutzers gespeichert, eine zentrale Datenbank gibt es nicht. Entsprechend schließt die Vereinigung Hacks aus, zudem sollen Regierungsbehörden nicht auf die Daten zugreifen können. Die Software ist allerdings nicht Open Source.

    Wenns richtig gemacht ist dann ist das eine feine Sache: Man gibt die Daten in der App ein, sie verifiziert idealerweise online ob alles OK ist (sofern nötig/möglich), und generiert dann remote die entsprechend digital signierten Daten, die beim Checkin/Boarding eingescannt werden können (die Bordkarte in derselben App wäre dann übrigens super!); dank QR-Code + Signatur bringt es einem auch nichts, eine Fake-App zu verwenden, die anzeigt dass alles OK sei.


    Wenn das ganze aber nur lokal geprüft wird und es nur eine "Alles OK"-Anzeige gibt... nun ja, dann wird es nicht lange dauern bis jemand das ganze nachgebaut hat um einfach immer anzuzeigen, dass man reisen darf...

  2. Re: Fake-App möglich?

    Autor: flow77 19.04.21 - 21:03

    ThiefMaster schrieb:
    --------------------------------------------------------------------------------
    > > Die Informationen werden nach Angaben der IATA verschlüsselt auf dem
    > Smartphone des Nutzers gespeichert, eine zentrale Datenbank gibt es nicht.
    > Entsprechend schließt die Vereinigung Hacks aus, zudem sollen
    > Regierungsbehörden nicht auf die Daten zugreifen können. Die Software ist
    > allerdings nicht Open Source.
    >
    > Wenns richtig gemacht ist dann ist das eine feine Sache: Man gibt die Daten
    > in der App ein, sie verifiziert idealerweise online ob alles OK ist (sofern
    > nötig/möglich), und generiert dann remote die entsprechend digital
    > signierten Daten, die beim Checkin/Boarding eingescannt werden können (die
    > Bordkarte in derselben App wäre dann übrigens super!); dank QR-Code +
    > Signatur bringt es einem auch nichts, eine Fake-App zu verwenden, die
    > anzeigt dass alles OK sei.
    >
    > Wenn das ganze aber nur lokal geprüft wird und es nur eine "Alles
    > OK"-Anzeige gibt... nun ja, dann wird es nicht lange dauern bis jemand das
    > ganze nachgebaut hat um einfach immer anzuzeigen, dass man reisen darf...

    Selbst lokal kann man das schon so machen dass es nicht möglich ist einfach ein "Alles ok" nachzubauen.
    Ich gehe jetzt einmal (naiv) davon aus dass hier etwas gescannt werden muss, allein schon wg. den ganzen automatisierten Prozessen im Flugverkehr, da läuft alles mit Scannern. Und wie gesagt benötigt man keine online-Verbindung um so etwas sicher zu machen.

  3. Re: Fake-App möglich?

    Autor: ThiefMaster 19.04.21 - 21:06

    Wie willst du das komplett lokal absichern? Irgendwo muss eine entsprechende kryptografische Signatur erstellt werden - wenn das lokal passiert kannst du das auch faken weil die Keys dann ebenfalls verfügbar sein müssen.

    Machbar wäre das nur dann, wenn jeglicher Input (Testergebnis, Impfnachweis, etc.) bereits selbst schon entsprechende Signaturen hat, und die App dann einfach alles in einen einzelnen Barcode wirft, aber die ursprünglichen Daten und Signaturen intakt lässt...

  4. Re: Fake-App möglich?

    Autor: johnripper 20.04.21 - 22:55

    Den öffentlichen Schlüssel in die App die Inputs damit verschlüsselen und einen Barcode erzeugen.

    Mit dem privaten Schlüssel am Flughafen überprüfen.

  5. Re: Fake-App möglich?

    Autor: johnripper 20.04.21 - 22:56

    Wobei ich das lokal eh quatsch Finde. Die Daten sind bei der Airline sowieso vorhanden.
    Und noch viele mehr!
    (Die Airlines erfassen und übermitteln das bestellte Essen...)

  6. Re: Fake-App möglich?

    Autor: ThiefMaster 20.04.21 - 22:58

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > Den öffentlichen Schlüssel in die App die Inputs damit verschlüsselen und
    > einen Barcode erzeugen.
    >
    > Mit dem privaten Schlüssel am Flughafen überprüfen.


    Was soll das bringen? Daten signiert man mit einem privaten Schlüssel; aber der darf nicht in der App sein da er dann nicht mehr privat wäre (nein, ihn in der App irgendwo obfuscated zu verstecken ist NICHT sicher). Den öffentlichen Schlüssel nimmt man danach dann um zu überprüfen ob die Signatur gültig ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Trainer (m/w/d) - Android App Entwickler / Developer
    WBS GRUPPE, deutschlandweit (Home-Office)
  2. Cloud Security Consult / Cloud Sicherheitsarchitekt (m/w/d)
    Deutsche Bundesbank, Frankfurt am Main
  3. Consultant IT-Security (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg, Hannover
  4. IT-Techniker Jobautomatisierung (w/m/d)
    IT-Systemhaus der Bundesagentur für Arbeit, Fürth

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Tales of Vesperia: Definitive Edition für 6,99€, Lost Planet 3 für 3,99€, Rocksmith...
  2. (u. a. Unhinged: Außer Kontrolle, Knives Out, Forrest Gump - Remastered, Blade Runner (Final Cut...
  3. (u. a. Nintendo Switch für 291,55€, AMD Ryzen 7 5800X für 350,91€)
  4. (u. a. Day One Edition PC für 39,99€, PS4/PS5/Xbox Series X für 49,99€, Collector's Edition...


Haben wir etwas übersehen?

E-Mail an news@golem.de


DJI FPV im Test: Adrenalin und Adlerauge
DJI FPV im Test
Adrenalin und Adlerauge

Die DJI FPV verpackt ein spektakuläres Drohnen-Flugerlebnis sehr einsteigerfreundlich. Wir haben ein paar Runden mit 100 km/h gedreht.
Ein Test von Martin Wolf

  1. Quadcopter DJI Air 2S mit großem Sensor für 5,4K-Videos erschienen
  2. DJI Drohnenhersteller plant offenbar Einstieg ins Autogeschäft
  3. Drohne DJI Air 2s soll mit 20 Megapixeln fliegend fotografieren

Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
Razer Blade 14 im Test
Der dreifach einzigartige Ryzen-Laptop

Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
Ein Test von Marc Sauter

  1. Razer Der erste Blade-Laptop mit Ryzen ist da

Akkutechnologie: Solid Power ist näher an brauchbaren Akkus als Quantumscape
Akkutechnologie
Solid Power ist näher an brauchbaren Akkus als Quantumscape

Lückenhafte technische Daten, schräge Kostenvergleiche, verschwiegene Nachteile - aber Solid Power ist immer noch ehrlicher als Quantumscape.
Eine Analyse von Frank Wunderlich-Pfeiffer

  1. Scorpion Capital Quantumscape zeigt unter Druck noch mehr Schwächen
  2. 2030 BMW will Festkörperakku in Autos verbauen
  3. Festkörperakku VW investiert weitere 100 Millionen Dollar in Quantumscape