PGP-Schlüssel Signieren mit der AusweisApp2

05 October 2019 Sebastian Tobie

Mit dem neuen Personalausweis kann man verschiedene Behördengänge online erledigen, seine Steuer machen und seit langem aus seinen PGP-Schlüssel signieren lassen.

Allgemeine Beschreibung

Um die Nutzung des neuen Personalausweises zu demonstrieren hat die Governikus KG eine Webanwendung zur Signatur von GPG Zertifikaten online verfügbar. Die Funktionsweise ist recht simpel: die Anwendung liest den Personalausweis aus, bekommt den öffentlichen Schlüssel, prüft ein paar Dinge, signiert den Schlüssel und sendet diesen als E-Mail an die E-Mail-Adresse des Schlüssels. Hierfür gehe ich davon aus das der aktivierte NPA, die sechstellige PIN und ein Lesegerät verfügbar sind. Sollte die PIN noch nicht geändert worden sein, muss diese vor der Benutzung in der AusweisApp geändert werden. Bei deaktivierten Ausweisen können diese nachträglich in den Bürgerämtern/Rathäusern aktiviert werden.

Lesegeräte und die Ausweisapp

Ich nutze hier den ReinerSCT RFID Basic Kartenleser. Es handelt sich um ein einfaches Lesegerät das kaum größer als der Personalausweis ist, die Pin wird dort auf der Tastatur eingegeben. Des weiteren besitze ich einen Cyber Jack® RFID standard. Dieser besitzt eine eigene Tastatur und ist ebensfalls mit einem Lesegerät für Chipkarten ausgestattet. Die Ausweisapp gibt es für Windows und MacOS. Wenn man die App auf Linux nutzen will müssen die Bibliotheken installiert und das Programm selber gebaut werden. Für diese Fälle kann ich die PKGBUILD für den Bau des Archlinux-Pakets als Orientierung für den eigenen Bau empfehlen(https://aur.archlinux.org/cgit/aur.git/plain/PKGBUILD?h=ausweisapp2).

Das Signieren

Als erstes sollte man die AusweisApp starten, den bevorzugten Browser öffnen und auf die Webseite https://pgp.governikus.de/pgp navigieren. Alternativ kann man in der AusweisApp unter Anbieter, rechts neben "Schlüsselbeglaubigung", den Link anklicken. Jeder aktuelle Browser sollte funktionieren. Ein Plugin oder Addon ist nicht nötig.

webseite.1
webseite.2
webseite.3

Zuerst informiert die Seite über den Vorgang und was man braucht. Der Klick auf das letzte "WEITER" sorgt dafür das die AusweisApp in den Vordergrund kommt.

ausweisapp2.1

Hier wird gezeigt welche Informationen ausgelesen werden. In diesem Fall sind es Vor- und Nachname sowie ein eventueller Doktorgrad.

ausweisapp2.2

Hiernach muss die PIN eingegeben werden. Bei Lesegeräten mit eigener Tastatur oder bei Fällen in denen das eigene Handy benutzt werden kann, wird die PIN dort eingegeben. Zu beachten ist das in letzteren Fall nicht jedes Handy funktioniert und das Handy und die AusweisApp gekoppelt werden müssen. Es ist ratsam erst einmal mit der Selbstauskunft zu testen ob alles funktioniert. Unter https://www.ausweisapp.bund.de/mobile-geraete/ gibt es eine Liste an kompatiblen Handys und unter https://www.ausweisapp.bund.de/kompatible-geraete/kartenlesegeraete/ Lesegeräte.

ausweisapp2.3
webseite.4

Jetzt werden die ausgelesenen Informationen angezeigt und man muss den öffentlichen Schlüssel hochladen.

webseite.5
webseite.6

Hier kann man die Userid, die signiert werden soll, auswählen. Es werden nur Userids angezeigt die mit dem ausgelesenen Namen übereinstimmen. Es kann auch nur eine Userid auf einmal signiert werden.

webseite.7

Wenn dieser Bildschirm angezeigt wird, ist alles gut gelaufen und der signierte Schlüssel kommt in den Posteingang der E-Mail-Adresse der betreffenden Userid.