[linux-misc] AGOV

Klaus Fietze klaus at fietze.me
Wed Apr 16 10:43:14 CEST 2025 

Guten Abend allerseits

Um anderen Steuerzahlern dieselbe Odyssee zu ersparen, will ich hier kurz 
meine Erfahrungen schildern.
Die Ausgangslage war, dass ich auf meinem Google-freien Handy zwar die  
"AGOV-Access-App" installieren konnte (über den Aurora Store), ich  wurde 
sogar registriert, mich jedoch nie auf dem BE-Login einloggen konnte, weil 
dazu offensichtlich im Hintergrund Daten zwischen dem Google-Servern und der 
kantonalen Seite ausgetauscht werden müssen. Physische 
Sicherheitsschlüssel, wie die hierunter genannten, kann man jedoch nur nach 
einem erfolgreichen Login hinzufügen. Ich war also ausgesperrt.
Was nun ?
Es blieb nur, eine "Kontowiederherstellung" zu starten. Dazu braucht es den 
"Wiederherstellungscode", den man nach einer erfolgreichen Registrierung 
bekommt. Die ganze Prozedur war wegen der berechtigten 
Sicherheitsvorkehrungen recht umständlich, führte aber zum Erfolg.
Um OpenSK zu testen, hatte ich mir einen "nRF52840 MDK USB Dongle" von 
"Makerdiary" gekauft. Nach etlichen Fehlversuchen gelang es mir die 
richtige Firmware zu finden und auf den Schlüssel zu laden. Damit konnte ich 
meinen selber programmierten Schlüssel zum Test auf WebAuthn.io 
registrieren und mich dort anmelden. Gleichzeitig musste ich lernen, dass 
ich mich damit nie beim BE-Login anmelden können würde, weil der "OpenSK 
authenticator" nicht FIDO_CERTIFIED_L2 zertifiziert ist. Ich hab's getestet, 
er wird mit der Bemerkung, dass er nicht über die erforderliche 
Sicherheitsstufe verfügt abgelehnt.
Um sicher zu gehen, dass der nächste Versuch gelingt, habe ich den auf der 
Seite
https://www.agov.admin.ch/de/sicherheitsschluessel
als mit AGOV erfolgreich getesteten Schlüssel "Token2 T2F2-NFC-Slim" 
bestellt. Den konnte ich ohne Probleme auf meinem wiederhergestellten AGOV-
Konto registrieren und mich erfolgreich anmelden.
Ich weiss nicht, ob inzwischen jemand den auf der Github-Seite 
https://opotonniee.github.io/fido-mds-explorer/#view
angegebenen "Nitrokey 3 AM" ausprobiert hat. Auch bei dem fehlt 
"FIDO_CERTIFIED_L2". Andere Schlüssel von Nitrokey sind gar nicht gelistet. 
Ich nehme an, dass ist etwas wofür die Unternehmen bezahlen müssen; wer 
nicht auf der Liste steht wird von AGOV nicht akzeptiert.
Soweit die Ergebnisse meiner Bemühungen.

Beste Grüsse

Klaus


----------  Your Message  ----------

Subject: Re: [linux-misc] AGOV
Date: Sunday, 16 February 2025, 19:33:00 Central European Summer Time
From: Robert Wuergler <rw.lugbe at wuergler-it.ch>
>
> Hallo Klaus
> 
> ich schliesse mich der Frage halbwegs an, bin aber schon voreingenommen:
> ich "kenne" Yubikey, Nitrokey, Token2 und favorisiere aber bisher den
> teuren Nitrokey (Berlin), weil IMHO am
> transparentesten/Open/FOSS/OSHardware. Evtl: Was spricht dagegen?
> 
> Sekundär Token2 (Genf).
> 
> (OpenSK authenticator scheint ein inoffizielles Google-Ding zu sein.)
> 
> Sollte es (wieder) eine kleine Sammelbestellung geben, sagen wir ab 2,
> könnten wir das ja noch abmachen.
> 
> Gruess
> Röbu
> PS:
> https://reports.exodus-privacy.eu.org/en/reports/ch.agov.accessapp/latest
> /
> 
> On 16/02/2025 16:38, Klaus Fietze wrote:
> > 
> > Liebe Freunde der Quelloffenen Software
> > 
> > Als guter Staatsbürger wollte ich an diesem Wochenende unsere
> > Steuerklärung ausfüllen. Nachdem ich mich mehr oder weniger damit
> > abgefunden hatte, dass das Berner Finanzamt die Anmeldeprozedur an
> > SwissID übertragen hatte, musste ich diesmal feststellen, dass SwissID
> > nur noch bis Ende 2025 möglich ist. Bis dahin wird auf AGOV
> > umgestellt.
> > Als Nutzer eines Google-freien Handys bleibt mit mir die Möglichkeit,
> > die "AGOV-Access-App'" zu nutzen, verwehrt. (Diese wird nicht von
> > einer offiziellen Schweizer Behörde angeboten sondern, wie
> > offensichtlich inzwischen üblich, nur über die beiden US-Firmen Apple
> > und Google.)
> > Also werde ich einen sogenannten "physischen Sicherheitsschlüssel"
> > verwenden müssen. Davon gibt es jede Menge, die in der "Liste der
> > kompatiblen Sicherheitsschlüssel" aufgeführt sind. Die sagen mir alle
> > nichts. Allerdings würde ich am ehesten zum "OpenSK authenticator"
> > greifen, einfach weil da "Open" drin steckt.
> > Hat jemand damit Erfahrung ?
> > Was sagen die Spezialisten dazu ?
> > 
> > Schöne Grüsse
> > 
> > Klaus

More information about the Linux-misc mailing list