1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mobilfunk: Eine SIM-Karte - viele…

MobileID

  1. Beitrag
  1. Thema

MobileID

Autor: SkyBeam 28.12.19 - 13:02

Auch in der Schweiz findet eine SIM-Toolkit Applikation relativ weite verbreitung: MobileID.

Alle aktuell von der Swisscom ausgegebenen SIM Karten in der Schweiz sind Crypto SIM mit MobileID vorinstalliert (kann natürlich wie erwähnt auch per Binary-SMS aktualisiert werden). Sinn der App ist es, dass ein private key auf der SIM (dem Mobilfunkunternehmer unbekannt) abgelegt wird. Damit lassen sich Tokens an die SIM Karte schicken die dann von der MobileID App signiert und retourniert werden. Trifft eine MobileID Anfrage auf dem Mobiltelefon ein öffnet sich ein Dialog der SIM-Toolkit App (ja, das Mobiltelefon muss dafür die STK App installiert haben, das war damals zu Android 4 Zeiten noch teilweise ein Problem, heute haben das eigentlich alle Android-Geräte) zur PIN Eingabe um die Signierung zu Authorisieren. Die Signierung selber passiert durch die SIM. Der Private-Key verlässt die SIM nie.

Aktuell wird das System vorwiegend als zweiter Faktor für e-Banking oder VPN Zugänge und ähnliches verwendet. Es ist aber auch darauf ausgelegt, dass man damit Dokumente signieren kann und somit rechtsgültige Signaturen erstellen kann.

Da der Private-Key nicht aus der Krypto-SIM ausgelesen werden kann (klar, mit genügend Aufwand würde das wohl trotzdem gehen) ist dies deutlich sicherer als die Ablage der Keys im User-Space irgend einer App auf dem Betriebssystem. Auch Seitenkanalangriffe, Laufzeitangriffe oder ähnliches um den Schlüssel zu extrahieren sind damit deutlich erschwert. Auch eine geklonte SIM oder das abgreifen der SMS im Netzwerk nützt hier nichts um an den Schlüssel zu kommen. Nicht einmal der Mobilfunkprovider kennt den privaten Schlüssel auf der SIM.

Natürlich muss bei einem wechsel der SIM Karte der Schlüssel neu generiert werden und der Public Key wieder hochgeladen werden. Also eine neue Initialisierung.


Neues Thema Ansicht wechseln


Thema
 

MobileID

SkyBeam | 28.12.19 - 13:02
 

Re: MobileID

DerTester88 | 29.12.19 - 11:29
 

Re: MobileID

extec | 29.12.19 - 16:02
 

Re: MobileID

SkyBeam | 29.12.19 - 18:17
 

Re: MobileID

1e3ste4 | 30.12.19 - 14:40
 

Re: MobileID

ibsi | 29.12.19 - 22:06

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Windows-Systemadministrator (m/w/d)
    Hays AG, Wiesbaden
  2. Leiter Anwendungsentwicklung (m/w/d)*
    über Dr. Richter Heidelberger GmbH & Co. KG, Rhein-Neckar-Kreis
  3. Leitung des Referats IT-Basisdienste am Zentrum für Informationstechnologie und Medienmanagement (ZIM)
    Universität Passau, Passau
  4. Fachinformatiker/in für Systemintegration, IT-Systemelektroniker/in, Diplom-Informatiker/in oder eine vergleichbare Qualifikation (w/m/d)
    Xnet Solutions KG, Herrenberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Probleme mit Agilität in Konzernen: Agil sein muss man auch wollen
Probleme mit Agilität in Konzernen
Agil sein muss man auch wollen

Ansätze wie das Spotify-Modell sollen großen Firmen helfen, agil zu werden. Wer aber erwartet, dass man es überstülpen kann und dann ist alles gut, der irrt sich.
Ein Erfahrungsbericht von Marvin Engel


    Software-Projekte: Meine Erfahrungen mit einer externen Entwicklerfirma
    Software-Projekte
    Meine Erfahrungen mit einer externen Entwicklerfirma

    Ich versprach mir Hilfe für meine App-Entwicklung. Die externe Entwicklerfirma lieferte aber vor allem Fehler und Ausreden. Was ich daraus gelernt habe.
    Von Rajiv Prabhakar

    1. Feature-Branches Apple versteckt neue iOS-Funktionen vor seinen eigenen Leuten
    2. Entwicklungscommunity Finanzinvestor kauft Stack Overflow für 1,8 Milliarden
    3. Demoszene Von gecrackten Spielen zum Welterbe-Brauchtum

    Kryptominer in Anti-Virensoftware: Norton 360 jetzt noch sinnloser
    Kryptominer in Anti-Virensoftware
    Norton 360 jetzt noch sinnloser

    Als wäre Antiviren-Software wie Norton 360 nicht schon sinnlos genug, preist diese nun auch Kryptomining an. Sicherheit bringt das nicht.
    Ein IMHO von Moritz Tremmel und Sebastian Grüner

    1. Kryptowährungen 69 Millionen US-Dollar für NFT eines digitalen Kunstwerks
    2. Kryptokunst Schlechte Idee, NFT