From lugbe at vimja.email Mon Jun 2 13:18:23 2025 From: lugbe at vimja.email (Niklaus vimja Hofer) Date: Mon, 2 Jun 2025 13:18:23 +0200 Subject: [linux-misc] AGOV In-Reply-To: References: <9843096.eNJFYEL58v@linux.fritz.box> <12f4f45b-fd5d-488d-8526-d4535a8b544d@wuergler-it.ch> <2738248.vuYhMxLoTh@linux.fritz.box> <6b476912-532d-48d2-89b4-97864b425afc@lugbe.ch> Message-ID: Hallo zusammen Ich muss meine Aussage aus der letzten E-Mail leider teilweise zur?ck ziehen. On Thu, 2025-05-22 21:19, Niklaus vimja Hofer wrote: > Das Login mit der App funktioniert auch auf dem Google freien Telefon, > auch ohne microG. Wie bei Markus auch, kommt am Anfang eine Meldung, > dass Push nicht funktionieren w?rde. Die l?sst sich aber weg klicken und > danach klappt alles. Das Wegklicken der Meldung, ohne sie gelesen zu haben, war dann wohl doch nicht so eine gute Idee. Zwar l?sst sich die App tats?chlich nutzen f?r Logins. Nur leider bietet sie nicht den vollen Funktionsumfang. Gemerkt habe ich das, als ich ein FIDO2 Token zum Account hinzuf?gen wollte. Zu diesem Zweck habe ich mich auf der Website eingeloggt und dazu die App verwendet. Das Hinzuf?gen des Token hat dann nicht geklappt, weil meine App noch nicht vollst?ndig authorisiert sei, dazu m?sse ich zuerst push notifications aktivieren. Das erkl?rt auch, weshalb ich die App auf meinem alten Telefon nicht aus der Liste der Faktoren l?schen kann - weil es n?mlich nach wie vor der einzige vollst?ndig eingerichtete Faktor ist. Doof nur, dass ich das alte Telefon bereits wiped habe :D Dann hoffen wir doch mal, dass die Anforderung f?r push in absehbarer Zukunft gestrichen wird, oder die App Unterst?tzung f?r universal Push erh?lt oder sonst was... Beste Gr?sse vimja > > Beste Gr?sse > > vimja > > On Thu, 2025-05-22 14:28, Markus Wernig wrote: > > Hallo allerseits > > > > Ich habe jetzt auch meinen AGOV-Zugang registriert. Bei mir (e-OS 2.8 > > und 2.9) funktioniert die Agov access app allerdings problemlos, jedoch > > um einen Preis: > > > > Ich musste w?hrend der Initialisierung der App in den > > microG-Einstellungen die "Device registration" und in Folge die Push > > notifications aktivieren. > > > > Nachdem das Device aktiviert war, konnte ich die "Device registration" > > wieder deaktivieren, bei den Push notifications blieb die Agov access > > app aber weiterhin registriert und funktioniert. > > > > lg /m > > > > On 4/16/25 10:43 AM, Klaus Fietze wrote: > > > Guten Abend allerseits > > > > > > Um anderen Steuerzahlern dieselbe Odyssee zu ersparen, will ich hier kurz > > > meine Erfahrungen schildern. > > > Die Ausgangslage war, dass ich auf meinem Google-freien Handy zwar die > > > "AGOV-Access-App" installieren konnte (?ber den Aurora Store), ich wurde > > > sogar registriert, mich jedoch nie auf dem BE-Login einloggen konnte, weil > > > dazu offensichtlich im Hintergrund Daten zwischen dem Google-Servern und der > > > kantonalen Seite ausgetauscht werden m?ssen. Physische > > > Sicherheitsschl?ssel, wie die hierunter genannten, kann man jedoch nur nach > > > einem erfolgreichen Login hinzuf?gen. Ich war also ausgesperrt. > > > Was nun ? > > > Es blieb nur, eine "Kontowiederherstellung" zu starten. Dazu braucht es den > > > "Wiederherstellungscode", den man nach einer erfolgreichen Registrierung > > > bekommt. Die ganze Prozedur war wegen der berechtigten > > > Sicherheitsvorkehrungen recht umst?ndlich, f?hrte aber zum Erfolg. > > > Um OpenSK zu testen, hatte ich mir einen "nRF52840 MDK USB Dongle" von > > > "Makerdiary" gekauft. Nach etlichen Fehlversuchen gelang es mir die > > > richtige Firmware zu finden und auf den Schl?ssel zu laden. Damit konnte ich > > > meinen selber programmierten Schl?ssel zum Test auf WebAuthn.io > > > registrieren und mich dort anmelden. Gleichzeitig musste ich lernen, dass > > > ich mich damit nie beim BE-Login anmelden k?nnen w?rde, weil der "OpenSK > > > authenticator" nicht FIDO_CERTIFIED_L2 zertifiziert ist. Ich hab's getestet, > > > er wird mit der Bemerkung, dass er nicht ?ber die erforderliche > > > Sicherheitsstufe verf?gt abgelehnt. > > > Um sicher zu gehen, dass der n?chste Versuch gelingt, habe ich den auf der > > > Seite > > > https://www.agov.admin.ch/de/sicherheitsschluessel > > > als mit AGOV erfolgreich getesteten Schl?ssel "Token2 T2F2-NFC-Slim" > > > bestellt. Den konnte ich ohne Probleme auf meinem wiederhergestellten AGOV- > > > Konto registrieren und mich erfolgreich anmelden. > > > Ich weiss nicht, ob inzwischen jemand den auf der Github-Seite > > > https://opotonniee.github.io/fido-mds-explorer/#view > > > angegebenen "Nitrokey 3 AM" ausprobiert hat. Auch bei dem fehlt > > > "FIDO_CERTIFIED_L2". Andere Schl?ssel von Nitrokey sind gar nicht gelistet. > > > Ich nehme an, dass ist etwas wof?r die Unternehmen bezahlen m?ssen; wer > > > nicht auf der Liste steht wird von AGOV nicht akzeptiert. > > > Soweit die Ergebnisse meiner Bem?hungen. > > > > > > Beste Gr?sse > > > > > > Klaus > > > > > > > > > ---------- Your Message ---------- > > > > > > Subject: Re: [linux-misc] AGOV > > > Date: Sunday, 16 February 2025, 19:33:00 Central European Summer Time > > > From: Robert Wuergler > > >> > > >> Hallo Klaus > > >> > > >> ich schliesse mich der Frage halbwegs an, bin aber schon voreingenommen: > > >> ich "kenne" Yubikey, Nitrokey, Token2 und favorisiere aber bisher den > > >> teuren Nitrokey (Berlin), weil IMHO am > > >> transparentesten/Open/FOSS/OSHardware. Evtl: Was spricht dagegen? > > >> > > >> Sekund?r Token2 (Genf). > > >> > > >> (OpenSK authenticator scheint ein inoffizielles Google-Ding zu sein.) > > >> > > >> Sollte es (wieder) eine kleine Sammelbestellung geben, sagen wir ab 2, > > >> k?nnten wir das ja noch abmachen. > > >> > > >> Gruess > > >> R?bu > > >> PS: > > >> https://reports.exodus-privacy.eu.org/en/reports/ch.agov.accessapp/latest > > >> / > > >> > > >> On 16/02/2025 16:38, Klaus Fietze wrote: > > >>> > > >>> Liebe Freunde der Quelloffenen Software > > >>> > > >>> Als guter Staatsb?rger wollte ich an diesem Wochenende unsere > > >>> Steuerkl?rung ausf?llen. Nachdem ich mich mehr oder weniger damit > > >>> abgefunden hatte, dass das Berner Finanzamt die Anmeldeprozedur an > > >>> SwissID ?bertragen hatte, musste ich diesmal feststellen, dass SwissID > > >>> nur noch bis Ende 2025 m?glich ist. Bis dahin wird auf AGOV > > >>> umgestellt. > > >>> Als Nutzer eines Google-freien Handys bleibt mit mir die M?glichkeit, > > >>> die "AGOV-Access-App'" zu nutzen, verwehrt. (Diese wird nicht von > > >>> einer offiziellen Schweizer Beh?rde angeboten sondern, wie > > >>> offensichtlich inzwischen ?blich, nur ?ber die beiden US-Firmen Apple > > >>> und Google.) > > >>> Also werde ich einen sogenannten "physischen Sicherheitsschl?ssel" > > >>> verwenden m?ssen. Davon gibt es jede Menge, die in der "Liste der > > >>> kompatiblen Sicherheitsschl?ssel" aufgef?hrt sind. Die sagen mir alle > > >>> nichts. Allerdings w?rde ich am ehesten zum "OpenSK authenticator" > > >>> greifen, einfach weil da "Open" drin steckt. > > >>> Hat jemand damit Erfahrung ? > > >>> Was sagen die Spezialisten dazu ? > > >>> > > >>> Sch?ne Gr?sse > > >>> > > >>> Klaus > > > > > > > > > > > > > > > _______________________________________________ > > > Linux-misc mailing list > > > Linux-misc at lugbe.ch > > > https://maillists.lugbe.ch/mailman/listinfo/linux-misc > > > > -- > > Markus Wernig ? > > Pr?sident Linux User Group Bern > > PGP: D9203D2A4AD9FC3333DEEF9DF7ACC6208E82E4DC > > --------------------------------------------- > > Linux User Group Bern - https://lugbe.ch > > --------------------------------------------- > > > > > > > > > > _______________________________________________ > > Linux-misc mailing list > > Linux-misc at lugbe.ch > > https://maillists.lugbe.ch/mailman/listinfo/linux-misc > > > -- > Niklaus 'vimja' Hofer > ig at vimja.email > xmpp: ig at vimja.chat > [matrix]: @ig:vimja.chat > Threema: HMF8J5ZM > _______________________________________________ > Linux-misc mailing list > Linux-misc at lugbe.ch > https://maillists.lugbe.ch/mailman/listinfo/linux-misc -- Niklaus 'vimja' Hofer ig at vimja.email xmpp: ig at vimja.chat [matrix]: @ig:vimja.chat Threema: HMF8J5ZM -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 228 bytes Desc: Digital signature URL: