Wichtiger Hinweis zur Nutzung von Yubikeys mit der ID Austria / xIDENTITY
Aus Sicherheitsgründen können FIDO Tokens des Herstellers Yubico nicht mehr mit der QES von A-Trust (z.B. ID Austria oder xIDENTITY) neu verknüpft werden. Grund dafür ist eine kürzlich bekannt gewordene Möglichkeit, die Identifikation eines FIDO Tokens bei einer Neubindung mit der ID Austria oder xIDENTITY so zu manipulieren, dass diese sich als zulässiges Gerät ausgeben, wodurch Token mit dem Zertifikat gekoppelt werden könnten, die dafür nicht zulässig sind. Detaillierte Informationen hierzu enthält folgendes Papier und das Statement des Herstellers finden Sie hier.
A-Trust reagiert darauf als Vorsichtsmaßnahme mit einer Anpassung der Koppelungsmöglichkeit, wodurch keine Yubikeys mehr mit den Zertifikaten von A-Trust verknüpft werden können. Geeignete FIDO Tokens anderer Hersteller können weiterhin wie gewohnt mit der ID Austria oder xIDENTITY gekoppelt werden. Der Hersteller Yubico hat bereits eine neue Firmware in Aussicht gestellt – weitere Informationen diesbezüglich sind noch nicht bekannt.
FIDO-Sicherheitsschlüssel können als zweiter Authentifizierungsfaktor zur Anmeldung mit ID Austria im Webbrowser verwendet werden und stellen dort eine Alternative zu Smartphone-Apps wie „Digitales Amt“ dar.
Es handelt sich dabei um einen FIDO2 Token (Fast IDentity Online Token).
FIDO (Fast Identity Online) ist ein offener Authentifizierungsstandard, der von Yubico auf Grundlage von Public-Key-Kryptographie mitentwickelt wurde und darauf abzielt, die Nutzung von Passwörtern abzuschaffen und das Sicherheitsniveau durch herkömmliche Methoden zu erhöhen.
Dies ist ein Gerät, das mit einem Computer verbunden werden kann, ähnlich wie ein USB-Stick. Wenn Sie den FIDO-Sicherheitsschlüssel zur ID Austria hinzufügen, generiert der FIDO-Sicherheitsschlüssel ein Schlüsselpaar, mit dem Sie sicher authentisiert werden: Der private Schlüssel verbleibt im Token, der öffentliche Schlüssel wird mit Ihrer ID Austria verknüpft. Die Authentifizierung findet durch die Signatur einer Challenge mit dem privaten Schlüssel statt.
Dadurch fungiert der FIDO-Sicherheitsschlüssel – ähnlich wie ein am Smartphone gespeicherter Fingerabdruck – als zweiter Authentifizierungsfaktor, um Ihre Identität bei Anmeldungen im Web zu bestätigen.
FIDO-Sicherheitsschlüssel können im Handel erworben werden. Achten Sie dabei bitte darauf, dass sie mit der ID Austria kompatibel sind. Liste an kompatiblen FIDO-Sicherheitsschlüsseln
Wenn Sie bereits eine ID Austria besitzen, können Sie unter „Meine ID Austria verwalten“ einen FIDO-Sicherheitsschlüssel als Authentifizierungsfaktor hinzufügen. Beachten Sie, dass FIDO-Sicherheitsschlüssel nicht zwischen mehreren Personen geteilt werden können.
Wenn Sie noch keine ID Austria besitzen, können Sie die Registrierung mittels SMS-TAN und FIDO-Sicherheitsschlüssel durchführen. In diesem Fall benötigen Sie kein Smartphone.
Der FIDO-Sicherheitsschlüssel muss bei der Verknüpfung und bei jeder Verwendung mit dem Gerät verbunden sein. Dafür wird im Browser ein zusätzliches Fenster des qualifizierten Vertrauensdiensteanbieters geöffnet. Anschließend werden Sie durch die Authentifizierung geführt: Sie bestätigen Ihre Anmeldung durch Eingabe der PIN Ihres FIDO-Sicherheitsschlüssels und durch Tippen auf diesen.
Hinweis: Je nach Gerätekonfiguration kann es vorkommen, dass Ihr Gerät beim Verbinden des FIDO-Sicherheitsschlüssels vorschlägt, einen Passkey zu erstellen und dafür einen QR-Code zu scannen. In diesem Fall klicken Sie bitte auf „Anderes Gerät verwenden“ und setzen den Prozess wie oben beschrieben fort.
Token, die FIDO2 Level 2 zertifiziert mit WebAuthn unterstützen, können mit ID Austria verwendet werden. Dies erfüllen derzeit:
- GoTrust Idem Key FIDO2 (getestet und im Einsatz, funktioniert)
- Trustkey G310H
- Trustkey B210H
- Trustkey B210
Modelle von Yubico (nur ab Firmware Version 5.7):
- YubiKey 5 NFC
- YubiKey 5C NFC
- YubiKey 5Ci
- YubiKey 5C
- YubiKey 5 Nano
- YubiKey 5C Nano
- Security Key NFC in schwarz (USB-A, USB-C)
Über welche Firmware Ihr YubiKey verfügt, können Sie auf der Yubico-Website mit einem Prüftool einsehen. Leider kann ich keine Kaufempfehlung mehr für YubiKey abgeben. die Fa. Yubikey hat keinen der gekauften Keys mehr ausgetauscht und so sitze ich jetzt auf mehreren Yubikeys, die entsorgt werden müssen.
Gängige Modelle bieten meist Verbindung via USB oder NFC zu Ihrem Computer an. Sie können im Handel erworben werden und können je nach Ausführung zwischen 30 Euro und 70 Euro kosten.
Es wird die Nutzung am Betriebssystem Windows und die Verwendung von gängigen Browsern wie Edge, Chrome oder Firefox empfohlen, um einen reibungslosen Ablauf sicherzustellen.