Die generieren mit einem LibreOffice auf einem Server ein PDF, schreiben in das PDF ein bisschen ELMO-XML und speichern dann Signaturen in vielen Ethereum Blockchains.
Gleichzeitig signieren sie das PDF aber auch noch mit richtiger Crypto, weil vermutlich dem @BSI_Bund eine Blockchain dann doch nicht gereicht hat.
Wenn man nun eine Signatur prüfen möchte, muss man die PDF-Datei auf die Server der Bundesdruckerei hochladen.
Und diese sagen einem dann, ob das Zeugnis valide ist.
What could possibly go wrong?
Also jetzt abgesehen von so kleineren Problemchen wie nem XSS…
Eher erfreulich ist es, dass es jetzt endlich eine public API zum generieren von Zeugnissen gibt. (die bisher aber noch nicht signiert sind) gist.github.com/LilithWittmann…
Ah und diese Zeugnisse sollt ihr übrigens zukünftig mit eurem Arbeitgeber/… teilen.
Also garantiert echte und für jeden verifizierbare Dokumente.
Die garantiert nur in absolut sicheren Bewerbermanagementsystemen gespeichert werden 😉.
What could possibly go wrong?
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Es regt mich ja immer fürchterlich auf, wenn Leute die digitale Identifizierung per #ssi, also mit Apps wie #idwallet mit dem Vorzeigen eines Ausweises in der analogen Welt vergleichen.
Wenn ich in der analogen Welt meinen Ausweis vorzeige, dann kann den sich jemand anschauen und weiß "Das ist Lilith".
Vielleicht kann jemand auch eine Kopie des Ausweises machen. Aber es ist nicht trivial zu beweisen, dass diese Kopie mit dem Originalausweis übereinstimmt.
Wenn man sich nun mit der #idwallet irgendwo ausweist. Dann zeigt man allerdings nicht seinen Ausweis vor.
Sondern dann gibt man jemand eine staatlich beglaubigte Kopie seines Ausweises. Inkl. einer Verifikationsmöglichkeit, wo jeder immer prüfen kann, ob der Ausweis echt ist.
Das ist ein super Beispiel, wie die öffentliche Verwaltung ihren Verpflichtungen zu #publiccode unter dem Vorwand der "Digitalen Souveränität" nicht nachkommt.
Es ist einfach das allerletzte staatlich finanzierte Software nicht auf GitHub zu entwickeln.
Leider ist es aber genau das, was das @BMI_Bund und Vereinigung wie die "Open Source Business Alliance" mit ihren eigenen Verwaltungsrepositories propagieren.
Weil es ihnen bei #FOSS eben nicht um die Zugänglichkeit zu Code und Community sondern ihr Geschäftsmodell geht.
Das Konzept der Digitalen Souveränität im staatlichen Sinne ist für uns als Zivilgesellschaft einfach immer nur von Nachteil und muss endlich sterben.
"Lilith, warum hetzt Du denn hier die ganze Zeit gegen Berater*innen, Du bist doch selbst eine!"
Also ich halte Beratung nicht per se für falsch. Es kommt halt auf den Einsatzzweck an.
Ein Team aufbauen irgendwo als Externe, kann eine Leistung sein, die einem Unternehme hilft.
Manchmal gibt es auch kurzfristig viel zu tun oder man muss mit einer Technologie arbeiten, die niemand im Unternehmen bisher kennt. Auch dann können Berater*innen helfen, Wissen aufzubauen.
Das sind Leistungen, die ich nicht pauschal aber in bestimmten Situationen für sinnvoll halte.
"Projektsteuerung macht Capgemini", "Das komplette Projekt wird von Accenture umgesetzt", "Die IBM, …" sind allerdings Sätze in Anfragen, die dazu führen, das ich diese ignoriere.
Der #ITPlanungsrat ist eines der wichtigsten Gremien im Kontext der Verwaltungsdigitalisierung in Deutschland. Er entscheidet zB über die technische Umsetzung des #ozg und #RegmodG.
Leider ist er ziemlich intransparent und nicht sehr offen für Feedback aus der Zivilgesellschaft.
Es wäre in der Vergangenheit häufiger wertvoll gewesen, seine Beschlüsse, bevor sie gefasst werden, zu kommentieren oder sogar Feedback im Rahmen eines Konsultationsverfahrens der Zivilgesellschaft zu geben.
Wenn die Beschlüsse veröffentlicht werden, ist es dafür schon zu spät.
In diesem Gremium Transparenz herzustellen, wäre allerdings eigentlich relativ einfach: die Beschlussvorlagen des IT-Planungsrats müssen etwa 5 Wochen vor der Sitzung feststehen. Man könnte diese dann einfach veröffentlichen und um Konsultation der Zivilgesellschaft bitten.
Das Bundeskanzlerinnenamt antwortete in der #IFG Anfrage zur #idwallet, das ihnen nicht bewusst war, dass das System nicht sicher ist.
Das klingt erst mal abwegig.
Insbesondere für Menschen mit technischen Sachverstand, die den BSI Bericht gelesen haben.
Im BKAmt war EIN Referat mit der #idwallet betraut. In dem Referat gibt es keinerlei technischen Sachverstand. Also keine Person mit einem Background in Informatik, IT-Sec, … oder gar Ausweissystemen.
Das war ein komplett externalisiertes Projekt mit einer wirklich völlig inkompetenten esatus AG, die das technisch umsetzte. Und der IBM. 🤣