Nachdem unser Ausweis „endlich“ ein wenig intelligenter geworden ist und selbst auch diverse Krypto-Funktionen bietet, habe ich mich natürlich gefragt, wie sich damit der PGP Schlüssel signieren lässt. Da der Ausweis selber kein PGP unterstützt, ist das nur über einen Umweg möglich. Genaugenommen erfolgt die Signatur durch die Governikus GmbH, welche mit der Entwicklung der Ausweis App beauftragt wurde.

Wie das funktioniert werde ich hier beschreiben. Voraussetzung ist natürlich ein grundlegendes Verständnis von PGP und eine vorhandene und lauffähige PGP Software (z.B. GnuPG).

Wie bereits in der Einleitung erwähnt, wird die Signatur von der Governikus GmbH &Co. KG durchgeführt. Governikus ist vom Bundesministerium des Inneren u.a. mit der Entwicklung der Ausweis App beauftragt worden und bietet auch einen Dienst an, um PGP Schlüssel beglaubigen zu lassen. Die Beglaubigung erfolgt ausschließlich online und innerhalb weniger Minuten.

Voraussetzung ist ein vorhandener PGP Schlüssel, ein neuer Personalausweis mit aktiver eID Funktion, die Ausweis App und natürlich ein Kartenlesegerät. Ich verwende den cyberJack RFID von Reiner SCT (Stichwort QES), aber es reichen auch die einfachen Lesegeräte ohne Pinpad (gab es damals kostenlos mit dem Perso, ansonsten z.B. den cyberJack RFID basis).

Um den Vorgang zu starten, wird die Seite https://pgp.governikus-eid.de aufgerufen, die Ausweis App sollte spätestens jetzt im Hintergrund laufen. Im unteren Bereich findet sich ein großer Start-Button mit dem der Vorgang gestartet wird.

Nun wird der Personalausweis auf das Lesegerät gelegt und die Pin eingegeben. Anschließend zeigt die Webseite zur Bestätigung die gelesenen Daten an.

Als nächstes wird der öffentliche Teil das eigenen PGP Schlüssels in das Textfenster kopiert.

Nach kurzer Zeit wird der Vorgang schon bestätigt.

Als nächstes wird der signierte Schlüssel an die e-Mail Adresse aus dem Key geschickt. Dieser kann nun manuell auf einen Keyserver geladen werden (z.B. https://sks-keyservers.net/i/) und in die eigene Schlüsseldatenbank importiert werden.

Ich verwende als graphische Oberfläche GPG4Win/Kleopatra, welches nach dem Import anzeigt, dass eine neue Signatur importiert wurde. Wird der Schlüssel nach dem Upload auf einem Keyserver gesucht, ist sofort die Governikus Beglaubigung/Signatur zu sehen:

Signiert wird von der Governikus KG mit dem Schlüssel 0x5E5CCCB4A4BF43D7.

Ich denke damit hat man eine sehr vertrauenswürdige Möglichkeit gefunden, das Vertrauen dritter in den eigenen Schlüssel zu erhöhen. Besser als die Beglaubigung 10 verschiedener Freunde (die ein Fake sein könnten). Alternativ lohnt sich auch ein Blick auf keybase.io, dort wird der Key mit anderen Accounts (Facebook, Twitter, …) verknüpft, um das Vertrauen in andere Keys zu stärken.

Entschuldigt bitte das extreme schwärzen der Bilder. Auch wenn der Key öffentlich ist, will ich nicht später meinen Namen in irgendwelchen geklauten Screenshots finden.

Das könnte Dich auch interessieren

Homematic IP – Alarmsirene Außen ab sofort bestellbar
Aufrufe 2696
Ende Mai habe ich euch informiert, das eQ-3 eine Alarmsirene  Außen plant und interessierte Kunden zu einer Design Abstimmung einlädt. Hier könnt ihr...
IFA 2018 – Homematic IP integriert Smartfrog WLAN Kamera
Aufrufe 4291
Die Smart-Home-Möglichkeiten für den Homematic IP Endverbraucher wachsen mit dem stetigen Ausbau der eQ-3 Partnerschaften. Durch die Kooperation mit ...
Haussicherheit: Erfahrungsbericht Netatmo Presence Outdoor Kamera
Aufrufe 3654
 Ich stelle hier eine sehr außergewöhnliche IP-Überwachungskamera für den Außenbereich vor. Es ist die erste Kamera, welche zwischen Mensch, Tier und ...
Details – Homematic IP Netzausfallüberwachung HmIP-PMFS
Aufrufe 1625
Es muss nicht immer der komplette Stromausfall sein. Schon ein lokaler unbemerkter Stromausfall kann enorme Schäden verursachen. Dies könnte beispiels...
Homematic IP Rauchwarnmelder HmIP-SWSD zusätzlich als Alarmsirene nutzen
Aufrufe 2674
In den meisten Bundesländern sind Rauchwarnmelder bereits gesetzlich vorgeschrieben. Unabhängig davon sind Rauchwarnmelder immer eine gute Entscheidun...
Raspberrymatic – EINFACHE automatische Sicherung auf USB-Medium – al...
Aufrufe 1367
In meinem letzten Artikel "Raspberrymatic - Einfache automatische Sicherung auf USB Medium" habe ich beschrieben, wie es möglich ist mit RaspberryMati...
2 Kommentare
  1. Stefan Claas sagte:

    Funktioniert im Prinzip schon. Jedoch zu dumm das man momentan noch beim runter laden des öffentlichen Schlüssel von Governikus (von öffentlichen Schlüssel Servern) und bei einem „gpg –check-sigs User“ eine bad signature erhält. Habe das mal Governikus gemeldet.

    Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere die Speicherung der Daten.