[linux-misc] AGOV

Niklaus vimja Hofer lugbe at vimja.email
Mon Jun 2 13:18:23 CEST 2025 

Hallo zusammen

Ich muss meine Aussage aus der letzten E-Mail leider teilweise zurück
ziehen.

On Thu, 2025-05-22 21:19, Niklaus vimja Hofer wrote:
> Das Login mit der App funktioniert auch auf dem Google freien Telefon,
> auch ohne microG.  Wie bei Markus auch, kommt am Anfang eine Meldung,
> dass Push nicht funktionieren würde. Die lässt sich aber weg klicken und
> danach klappt alles.

Das Wegklicken der Meldung, ohne sie gelesen zu haben, war dann wohl
doch nicht so eine gute Idee.

Zwar lässt sich die App tatsächlich nutzen für Logins. Nur leider bietet
sie nicht den vollen Funktionsumfang.

Gemerkt habe ich das, als ich ein FIDO2 Token zum Account hinzufügen
wollte. Zu diesem Zweck habe ich mich auf der Website eingeloggt und
dazu die App verwendet. Das Hinzufügen des Token hat dann nicht
geklappt, weil meine App noch nicht vollständig authorisiert sei, dazu
müsse ich zuerst push notifications aktivieren.

Das erklärt auch, weshalb ich die App auf meinem alten Telefon nicht aus
der Liste der Faktoren löschen kann - weil es nämlich nach wie vor der
einzige vollständig eingerichtete Faktor ist. Doof nur, dass ich das
alte Telefon bereits wiped habe :D

Dann hoffen wir doch mal, dass die Anforderung für push in absehbarer
Zukunft gestrichen wird, oder die App Unterstützung für universal Push
erhält oder sonst was...

Beste Grüsse

vimja
> 
> Beste Grüsse
> 
> vimja
> 
> On Thu, 2025-05-22 14:28, Markus Wernig wrote:
> > Hallo allerseits
> > 
> > Ich habe jetzt auch meinen AGOV-Zugang registriert. Bei mir (e-OS 2.8 
> > und 2.9) funktioniert die Agov access app allerdings problemlos, jedoch 
> > um einen Preis:
> > 
> > Ich musste während der Initialisierung der App in den 
> > microG-Einstellungen die "Device registration" und in Folge die Push 
> > notifications aktivieren.
> > 
> > Nachdem das Device aktiviert war, konnte ich die "Device registration" 
> > wieder deaktivieren, bei den Push notifications blieb die Agov access 
> > app aber weiterhin registriert und funktioniert.
> > 
> > lg /m
> > 
> > On 4/16/25 10:43 AM, Klaus Fietze wrote:
> > > Guten Abend allerseits
> > > 
> > > Um anderen Steuerzahlern dieselbe Odyssee zu ersparen, will ich hier kurz
> > > meine Erfahrungen schildern.
> > > Die Ausgangslage war, dass ich auf meinem Google-freien Handy zwar die
> > > "AGOV-Access-App" installieren konnte (über den Aurora Store), ich  wurde
> > > sogar registriert, mich jedoch nie auf dem BE-Login einloggen konnte, weil
> > > dazu offensichtlich im Hintergrund Daten zwischen dem Google-Servern und der
> > > kantonalen Seite ausgetauscht werden müssen. Physische
> > > Sicherheitsschlüssel, wie die hierunter genannten, kann man jedoch nur nach
> > > einem erfolgreichen Login hinzufügen. Ich war also ausgesperrt.
> > > Was nun ?
> > > Es blieb nur, eine "Kontowiederherstellung" zu starten. Dazu braucht es den
> > > "Wiederherstellungscode", den man nach einer erfolgreichen Registrierung
> > > bekommt. Die ganze Prozedur war wegen der berechtigten
> > > Sicherheitsvorkehrungen recht umständlich, führte aber zum Erfolg.
> > > Um OpenSK zu testen, hatte ich mir einen "nRF52840 MDK USB Dongle" von
> > > "Makerdiary" gekauft. Nach etlichen Fehlversuchen gelang es mir die
> > > richtige Firmware zu finden und auf den Schlüssel zu laden. Damit konnte ich
> > > meinen selber programmierten Schlüssel zum Test auf WebAuthn.io
> > > registrieren und mich dort anmelden. Gleichzeitig musste ich lernen, dass
> > > ich mich damit nie beim BE-Login anmelden können würde, weil der "OpenSK
> > > authenticator" nicht FIDO_CERTIFIED_L2 zertifiziert ist. Ich hab's getestet,
> > > er wird mit der Bemerkung, dass er nicht über die erforderliche
> > > Sicherheitsstufe verfügt abgelehnt.
> > > Um sicher zu gehen, dass der nächste Versuch gelingt, habe ich den auf der
> > > Seite
> > > https://www.agov.admin.ch/de/sicherheitsschluessel
> > > als mit AGOV erfolgreich getesteten Schlüssel "Token2 T2F2-NFC-Slim"
> > > bestellt. Den konnte ich ohne Probleme auf meinem wiederhergestellten AGOV-
> > > Konto registrieren und mich erfolgreich anmelden.
> > > Ich weiss nicht, ob inzwischen jemand den auf der Github-Seite
> > > https://opotonniee.github.io/fido-mds-explorer/#view
> > > angegebenen "Nitrokey 3 AM" ausprobiert hat. Auch bei dem fehlt
> > > "FIDO_CERTIFIED_L2". Andere Schlüssel von Nitrokey sind gar nicht gelistet.
> > > Ich nehme an, dass ist etwas wofür die Unternehmen bezahlen müssen; wer
> > > nicht auf der Liste steht wird von AGOV nicht akzeptiert.
> > > Soweit die Ergebnisse meiner Bemühungen.
> > > 
> > > Beste Grüsse
> > > 
> > > Klaus
> > > 
> > > 
> > > ----------  Your Message  ----------
> > > 
> > > Subject: Re: [linux-misc] AGOV
> > > Date: Sunday, 16 February 2025, 19:33:00 Central European Summer Time
> > > From: Robert Wuergler <rw.lugbe at wuergler-it.ch>
> > >>
> > >> Hallo Klaus
> > >>
> > >> ich schliesse mich der Frage halbwegs an, bin aber schon voreingenommen:
> > >> ich "kenne" Yubikey, Nitrokey, Token2 und favorisiere aber bisher den
> > >> teuren Nitrokey (Berlin), weil IMHO am
> > >> transparentesten/Open/FOSS/OSHardware. Evtl: Was spricht dagegen?
> > >>
> > >> Sekundär Token2 (Genf).
> > >>
> > >> (OpenSK authenticator scheint ein inoffizielles Google-Ding zu sein.)
> > >>
> > >> Sollte es (wieder) eine kleine Sammelbestellung geben, sagen wir ab 2,
> > >> könnten wir das ja noch abmachen.
> > >>
> > >> Gruess
> > >> Röbu
> > >> PS:
> > >> https://reports.exodus-privacy.eu.org/en/reports/ch.agov.accessapp/latest
> > >> /
> > >>
> > >> On 16/02/2025 16:38, Klaus Fietze wrote:
> > >>>
> > >>> Liebe Freunde der Quelloffenen Software
> > >>>
> > >>> Als guter Staatsbürger wollte ich an diesem Wochenende unsere
> > >>> Steuerklärung ausfüllen. Nachdem ich mich mehr oder weniger damit
> > >>> abgefunden hatte, dass das Berner Finanzamt die Anmeldeprozedur an
> > >>> SwissID übertragen hatte, musste ich diesmal feststellen, dass SwissID
> > >>> nur noch bis Ende 2025 möglich ist. Bis dahin wird auf AGOV
> > >>> umgestellt.
> > >>> Als Nutzer eines Google-freien Handys bleibt mit mir die Möglichkeit,
> > >>> die "AGOV-Access-App'" zu nutzen, verwehrt. (Diese wird nicht von
> > >>> einer offiziellen Schweizer Behörde angeboten sondern, wie
> > >>> offensichtlich inzwischen üblich, nur über die beiden US-Firmen Apple
> > >>> und Google.)
> > >>> Also werde ich einen sogenannten "physischen Sicherheitsschlüssel"
> > >>> verwenden müssen. Davon gibt es jede Menge, die in der "Liste der
> > >>> kompatiblen Sicherheitsschlüssel" aufgeführt sind. Die sagen mir alle
> > >>> nichts. Allerdings würde ich am ehesten zum "OpenSK authenticator"
> > >>> greifen, einfach weil da "Open" drin steckt.
> > >>> Hat jemand damit Erfahrung ?
> > >>> Was sagen die Spezialisten dazu ?
> > >>>
> > >>> Schöne Grüsse
> > >>>
> > >>> Klaus
> > > 
> > > 
> > > 
> > > 
> > > _______________________________________________
> > > Linux-misc mailing list
> > > Linux-misc at lugbe.ch
> > > https://maillists.lugbe.ch/mailman/listinfo/linux-misc
> > 
> > -- 
> > Markus Wernig                              🐧
> > Präsident Linux User Group Bern
> > PGP: D9203D2A4AD9FC3333DEEF9DF7ACC6208E82E4DC
> > ---------------------------------------------
> > Linux User Group Bern    -   https://lugbe.ch
> > ---------------------------------------------
> > 
> > 
> 
> 
> 
> 
> > _______________________________________________
> > Linux-misc mailing list
> > Linux-misc at lugbe.ch
> > https://maillists.lugbe.ch/mailman/listinfo/linux-misc
> 
> 
> -- 
> Niklaus 'vimja' Hofer
> ig at vimja.email
> xmpp: ig at vimja.chat
> [matrix]: @ig:vimja.chat
> Threema: HMF8J5ZM



> _______________________________________________
> Linux-misc mailing list
> Linux-misc at lugbe.ch
> https://maillists.lugbe.ch/mailman/listinfo/linux-misc


-- 
Niklaus 'vimja' Hofer
ig at vimja.email
xmpp: ig at vimja.chat
[matrix]: @ig:vimja.chat
Threema: HMF8J5ZM
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 228 bytes
Desc: Digital signature
URL: <http://maillists.lugbe.ch/pipermail/linux-misc/attachments/20250602/bb0d19df/attachment.asc>

More information about the Linux-misc mailing list