1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mobilfunk: Eine SIM-Karte - viele…

MobileID

  1. Thema

Neues Thema Ansicht wechseln


  1. MobileID

    Autor: SkyBeam 28.12.19 - 13:02

    Auch in der Schweiz findet eine SIM-Toolkit Applikation relativ weite verbreitung: MobileID.

    Alle aktuell von der Swisscom ausgegebenen SIM Karten in der Schweiz sind Crypto SIM mit MobileID vorinstalliert (kann natürlich wie erwähnt auch per Binary-SMS aktualisiert werden). Sinn der App ist es, dass ein private key auf der SIM (dem Mobilfunkunternehmer unbekannt) abgelegt wird. Damit lassen sich Tokens an die SIM Karte schicken die dann von der MobileID App signiert und retourniert werden. Trifft eine MobileID Anfrage auf dem Mobiltelefon ein öffnet sich ein Dialog der SIM-Toolkit App (ja, das Mobiltelefon muss dafür die STK App installiert haben, das war damals zu Android 4 Zeiten noch teilweise ein Problem, heute haben das eigentlich alle Android-Geräte) zur PIN Eingabe um die Signierung zu Authorisieren. Die Signierung selber passiert durch die SIM. Der Private-Key verlässt die SIM nie.

    Aktuell wird das System vorwiegend als zweiter Faktor für e-Banking oder VPN Zugänge und ähnliches verwendet. Es ist aber auch darauf ausgelegt, dass man damit Dokumente signieren kann und somit rechtsgültige Signaturen erstellen kann.

    Da der Private-Key nicht aus der Krypto-SIM ausgelesen werden kann (klar, mit genügend Aufwand würde das wohl trotzdem gehen) ist dies deutlich sicherer als die Ablage der Keys im User-Space irgend einer App auf dem Betriebssystem. Auch Seitenkanalangriffe, Laufzeitangriffe oder ähnliches um den Schlüssel zu extrahieren sind damit deutlich erschwert. Auch eine geklonte SIM oder das abgreifen der SMS im Netzwerk nützt hier nichts um an den Schlüssel zu kommen. Nicht einmal der Mobilfunkprovider kennt den privaten Schlüssel auf der SIM.

    Natürlich muss bei einem wechsel der SIM Karte der Schlüssel neu generiert werden und der Public Key wieder hochgeladen werden. Also eine neue Initialisierung.

  2. Re: MobileID

    Autor: DerTester88 29.12.19 - 11:29

    Interessant. Ich lebe seit 3 Jahren in der Schweiz und bin bei Salt und mir ist sowas nicht bekannt. Vielleicht bietet das bisher nur swisscom an.

    Finde es aber allgemein erstaunlich wie weit technische Neuheiten in der Schweiz verbreitet sind.. Z. B. Mit nfc bezahlen gibt es hier flächendeckend seit Jahren, ist man dann mal in Deutschland und will mit dem Handy/Watch zahlen muss man Glück haben. Auch Mobilfunk ist fast überall 4g verfügbar und für 39 Franken gibt es schon unbegrenzte 4g Flatrate Verträge, ohne Drosselung nach paar GB.

  3. Re: MobileID

    Autor: extec 29.12.19 - 16:02

    Ja ich nutze zuhause nur noch den 4G+ Zugang um die ganzen Haushalt online zu bringen. Mit MultiDevice (bis 5 Geräte) ist das auch ohne hohe Kosten verbunden, 7.- zusätzlich. Habe gerade nachgesehen in den letzten 12 Monaten habe ich über 10167 GB Traffic genutzt ohne Drosselung. Der Speed ist auch meistens über 100Mbit (VDSL war nur 20Mbit möglich) ausser zur Rush Hour weil sich wahrscheinlich viele Teilnehmer beim Vorbeifahren an der gleichen Antenne an/abmelden. Sogar online Gaming geht damit erträglich (30ms) ich hoffe das Swisscom da bald das bezahlbare 5G Angebot lanciert, die Antenne wäre in Reichweite. Auch Mobile ID und NFC ist irgendwie völlig normal geworden und möchte ich zB. fürs Banking nicht mehr missen.
    Fehlt eigentlich nur noch die eSIM in allen Geräten...

  4. Re: MobileID

    Autor: SkyBeam 29.12.19 - 18:17

    extec schrieb:
    --------------------------------------------------------------------------------
    > Fehlt eigentlich nur noch die eSIM in allen Geräten...

    Wobei MobileID ja mit eSIM nur begrenzt Sinn macht. Der Sinn von MobileID ist ja eben, dass der Private Key auf einer sicheren Domäne (eben der SIM) mit Krypto-Funktionen gelagert wird und keine Software-Funktion auf dem (potentiell unsicheren) Gerät ist. Denn da ist die Sicherheit dann ja auch nicht höher als mit beliebigen Authentication-Apps.
    Daher macht MobileID aus Sicherheitsgründen nur auf einer echten SIM Karte wirklich Sinn.

  5. Re: MobileID

    Autor: ibsi 29.12.19 - 22:06

    Nfc sollte mittlerweile überall angekommen sein. Beim Kiosk um die Ecke und bei den meisten Bäckern ist weiterhin Bar zahlen angesagt

  6. Re: MobileID

    Autor: 1e3ste4 30.12.19 - 14:40

    SkyBeam schrieb:
    --------------------------------------------------------------------------------
    > Der Sinn von MobileID ist ja eben, dass der Private Key auf einer sicheren
    > Domäne (eben der SIM) mit Krypto-Funktionen gelagert wird und keine
    > Software-Funktion auf dem (potentiell unsicheren) Gerät ist.

    eSIM ist KEINE Softwarefunktion: https://de.wikipedia.org/wiki/ESIM

    > Die eSIM ist elektrisch kompatibel mit 2FF- und 3FF-Karten

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Berliner Verkehrsbetriebe (BVG), Berlin
  2. Hessisches Ministerium des Innern und für Sport, Wiesbaden (Home-Office möglich)
  3. Bechtle Onsite Services, Neckarsulm
  4. IT-Systemhaus der Bundesagentur für Arbeit, Fürth

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de