[linux-misc] AGOV
Markus Wernig
wernigm at lugbe.ch
Thu May 22 14:28:48 CEST 2025
Hallo allerseits
Ich habe jetzt auch meinen AGOV-Zugang registriert. Bei mir (e-OS 2.8
und 2.9) funktioniert die Agov access app allerdings problemlos, jedoch
um einen Preis:
Ich musste während der Initialisierung der App in den
microG-Einstellungen die "Device registration" und in Folge die Push
notifications aktivieren.
Nachdem das Device aktiviert war, konnte ich die "Device registration"
wieder deaktivieren, bei den Push notifications blieb die Agov access
app aber weiterhin registriert und funktioniert.
lg /m
On 4/16/25 10:43 AM, Klaus Fietze wrote:
> Guten Abend allerseits
>
> Um anderen Steuerzahlern dieselbe Odyssee zu ersparen, will ich hier kurz
> meine Erfahrungen schildern.
> Die Ausgangslage war, dass ich auf meinem Google-freien Handy zwar die
> "AGOV-Access-App" installieren konnte (über den Aurora Store), ich wurde
> sogar registriert, mich jedoch nie auf dem BE-Login einloggen konnte, weil
> dazu offensichtlich im Hintergrund Daten zwischen dem Google-Servern und der
> kantonalen Seite ausgetauscht werden müssen. Physische
> Sicherheitsschlüssel, wie die hierunter genannten, kann man jedoch nur nach
> einem erfolgreichen Login hinzufügen. Ich war also ausgesperrt.
> Was nun ?
> Es blieb nur, eine "Kontowiederherstellung" zu starten. Dazu braucht es den
> "Wiederherstellungscode", den man nach einer erfolgreichen Registrierung
> bekommt. Die ganze Prozedur war wegen der berechtigten
> Sicherheitsvorkehrungen recht umständlich, führte aber zum Erfolg.
> Um OpenSK zu testen, hatte ich mir einen "nRF52840 MDK USB Dongle" von
> "Makerdiary" gekauft. Nach etlichen Fehlversuchen gelang es mir die
> richtige Firmware zu finden und auf den Schlüssel zu laden. Damit konnte ich
> meinen selber programmierten Schlüssel zum Test auf WebAuthn.io
> registrieren und mich dort anmelden. Gleichzeitig musste ich lernen, dass
> ich mich damit nie beim BE-Login anmelden können würde, weil der "OpenSK
> authenticator" nicht FIDO_CERTIFIED_L2 zertifiziert ist. Ich hab's getestet,
> er wird mit der Bemerkung, dass er nicht über die erforderliche
> Sicherheitsstufe verfügt abgelehnt.
> Um sicher zu gehen, dass der nächste Versuch gelingt, habe ich den auf der
> Seite
> https://www.agov.admin.ch/de/sicherheitsschluessel
> als mit AGOV erfolgreich getesteten Schlüssel "Token2 T2F2-NFC-Slim"
> bestellt. Den konnte ich ohne Probleme auf meinem wiederhergestellten AGOV-
> Konto registrieren und mich erfolgreich anmelden.
> Ich weiss nicht, ob inzwischen jemand den auf der Github-Seite
> https://opotonniee.github.io/fido-mds-explorer/#view
> angegebenen "Nitrokey 3 AM" ausprobiert hat. Auch bei dem fehlt
> "FIDO_CERTIFIED_L2". Andere Schlüssel von Nitrokey sind gar nicht gelistet.
> Ich nehme an, dass ist etwas wofür die Unternehmen bezahlen müssen; wer
> nicht auf der Liste steht wird von AGOV nicht akzeptiert.
> Soweit die Ergebnisse meiner Bemühungen.
>
> Beste Grüsse
>
> Klaus
>
>
> ---------- Your Message ----------
>
> Subject: Re: [linux-misc] AGOV
> Date: Sunday, 16 February 2025, 19:33:00 Central European Summer Time
> From: Robert Wuergler <rw.lugbe at wuergler-it.ch>
>>
>> Hallo Klaus
>>
>> ich schliesse mich der Frage halbwegs an, bin aber schon voreingenommen:
>> ich "kenne" Yubikey, Nitrokey, Token2 und favorisiere aber bisher den
>> teuren Nitrokey (Berlin), weil IMHO am
>> transparentesten/Open/FOSS/OSHardware. Evtl: Was spricht dagegen?
>>
>> Sekundär Token2 (Genf).
>>
>> (OpenSK authenticator scheint ein inoffizielles Google-Ding zu sein.)
>>
>> Sollte es (wieder) eine kleine Sammelbestellung geben, sagen wir ab 2,
>> könnten wir das ja noch abmachen.
>>
>> Gruess
>> Röbu
>> PS:
>> https://reports.exodus-privacy.eu.org/en/reports/ch.agov.accessapp/latest
>> /
>>
>> On 16/02/2025 16:38, Klaus Fietze wrote:
>>>
>>> Liebe Freunde der Quelloffenen Software
>>>
>>> Als guter Staatsbürger wollte ich an diesem Wochenende unsere
>>> Steuerklärung ausfüllen. Nachdem ich mich mehr oder weniger damit
>>> abgefunden hatte, dass das Berner Finanzamt die Anmeldeprozedur an
>>> SwissID übertragen hatte, musste ich diesmal feststellen, dass SwissID
>>> nur noch bis Ende 2025 möglich ist. Bis dahin wird auf AGOV
>>> umgestellt.
>>> Als Nutzer eines Google-freien Handys bleibt mit mir die Möglichkeit,
>>> die "AGOV-Access-App'" zu nutzen, verwehrt. (Diese wird nicht von
>>> einer offiziellen Schweizer Behörde angeboten sondern, wie
>>> offensichtlich inzwischen üblich, nur über die beiden US-Firmen Apple
>>> und Google.)
>>> Also werde ich einen sogenannten "physischen Sicherheitsschlüssel"
>>> verwenden müssen. Davon gibt es jede Menge, die in der "Liste der
>>> kompatiblen Sicherheitsschlüssel" aufgeführt sind. Die sagen mir alle
>>> nichts. Allerdings würde ich am ehesten zum "OpenSK authenticator"
>>> greifen, einfach weil da "Open" drin steckt.
>>> Hat jemand damit Erfahrung ?
>>> Was sagen die Spezialisten dazu ?
>>>
>>> Schöne Grüsse
>>>
>>> Klaus
>
>
>
>
> _______________________________________________
> Linux-misc mailing list
> Linux-misc at lugbe.ch
> https://maillists.lugbe.ch/mailman/listinfo/linux-misc
--
Markus Wernig 🐧
Präsident Linux User Group Bern
PGP: D9203D2A4AD9FC3333DEEF9DF7ACC6208E82E4DC
---------------------------------------------
Linux User Group Bern - https://lugbe.ch
---------------------------------------------
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://maillists.lugbe.ch/pipermail/linux-misc/attachments/20250522/4e4589f0/attachment.asc>
More information about the Linux-misc
mailing list