- News
Mehr Sicherheit für mobile Transaktionen: App macht «Protected Confirmation» möglich
29.06.2023 Die BFH hat die «APC Demo App» veröffentlicht, mit der Nutzer*innen die Verwendung der «Android Protected Confirmation» auf ihrem Pixel-Gerät testen können. So können sie aus erster Hand Erfahrungen sammeln und sogar durch die Teilnahme an einer interaktiven Umfrage Veränderungen anstossen.
Gewisse Rechenprozesse erfordern ein zusätzliches Sicherheitsniveau, das standardmässige Software-Ausführungsumgebungen möglicherweise nicht bieten können. In solchen Fällen kann die EUDI-Wallet je nach Gerät auf eine vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE) und sichere Elemente (Secure Elements, SE) vor Ort oder eine gleichwertige oder ähnliche Technologie aus der Distanz zurückgreifen, um diese Rechenprozesse auszuführen. Es werden Möglichkeiten zur Durchsetzung eines gemeinsamen Standards für den Zugriff auf eine TEE oder SE in der EUDI-Wallet definiert, da dies der gesamten Implementierung ein höheres Sicherheitsniveau verleihen wird.
Dies schreiben die europäischen eIDAS (Electronic Identification, Authentication and Trust Services) sinngemäss in Kapitel 4.3.2 «Trusted Environments» («Sichere Umgebungen») ihres Referenzrahmens European Digital Identity Architecture and Reference Framework.
Hier kommt «Android Protected Confirmation» (APC) ins Spiel. APC ermöglicht eine vertrauenswürdige Bestätigung (Transaktionsbestätigung) mit Hardware-basierten Schlüsselspeichern auf einer sogenannten vertrauenswürdigen Benutzerschnittstelle (Trusted User Interface, TUI) – einer Hardware-geschützten Benutzeroberfläche, die in einer bestätigten TEE betrieben wird. Eine «Protected Confirmation» (sichere Bestätigung) gewährleistet die Zustimmung der Endnutzerinnen und -nutzer auf einem hohen Sicherheitsniveau, selbst wenn das Betriebssystem oder sein Systemkern kompromittiert wurde.
Transaktionsbestätigung auf einer vertrauenswürdigen Benutzerschnittstelle
Eine Demo-App, die von Forschenden des Institute for Cybersecurity and Engineering ICE an der Berner Fachhochschule BFH entwickelt wurde, ermöglicht es Nutzerinnen und Nutzern, die «Protected Confirmation» auf einem Android-Gerät (derzeit nur von Pixel 3+ unterstützt) zu erleben.
Mit der Demo-App können Interessierte auf einfache Weise einen Einblick gewinnen, wie sich die neue Sicherheitsfunktion verhält, und in einer Umfrage ihre Meinung darüber abgeben, wo sie ihr grösstes Anwendungspotenzial sehen. In einem nächsten Schritt plant das Projektteam die «Protected Confirmation» als Pilot in der UBS Access App einzusetzen.
Dieses Projekt ist ein von Innosuisse und UBS Next unterstütztes Innovationsprojekt.
