Project

General

Profile

Actions

Bug #838

open

Neuer Ausweis und "Signaturen zulassen"+CAN Dialog

Added by Thomas Römke over 1 year ago. Updated about 1 year ago.

Status:
New
Priority:
Normal
Assignee:
-
Target version:
-
Start date:
03/22/2023
Due date:
% Done:

0%

Estimated time:
Reviewer:
Build Version:

Description

Nachdem ich im Januar einen neuen Personalausweis bekommen
habe verhielt sich das damalige openecard (1.4.1) etwas seltsam.
Sobald openecard gestartet wurde und der Perso auf einer abfragenden
Seite (Hier Online Rentenversicherung oder Selbstauskunft) dem Leser
präsentiert wurde, kam ein Dialog

"Signaturen zulassen>"
und bei Bestätigung mit OK
CAN

also ein Dialog, der zur Eingabe der CAN aufforderte. Dieses passiert
dann nachfolgend mehrmals. Wenn man lange genug wartet, kommt dieser
Dialog auch einfach nur durch Vorhalten der Karte ohne zugehörige Webseite.

(Bis zu dem Zeitpunkt kam dieser Dialog mit dem alten Perso nicht)

Linux warp10 6.2.7-arch1-1 #1 SMP PREEMPT_DYNAMIC Sat, 18 Mar 2023 01:06:36 +0000 x86_64 GNU/Linux
pcsc-cyberjack 3.99.5_SP15-1
openecardapp 2.1.6-1

Zunächst habe ich Reiner angeschrieben, die aber jede Verantwortung fuer diese Extradialog auf
weiter oben liegende Schichten schieben und dann den entsprechenden Bug einfach geschlossen haben.
Danach habe ich solange gewartet, bis der Arch Maintainer die aktuelle Version von openecard zur
Verfügung gestellt hat.

Ich besitze einen Reiner USB Komfort RFID Leser, d.h.
https://shop.reiner-sct.com/chipkartenleser-fuer-die-sicherheitsklasse-3/cyberjack-rfid-komfort-usb
(Leser auf dem neuesten Firmwarestand)

Leider hat die Version 2.1.6 nicht das gewünschte Resultat gebracht
und die Dialoge erscheinen weiterhin.

Nun stellt sich die Frage, inwieweit openecard für diese Dialog verantwortet ist
oder welche Software es ansonsten sein könnte ?

Actions #1

Updated by Thomas Römke over 1 year ago

Thomas Römke wrote:

Wenn man lange genug wartet, kommt dieser
Dialog auch einfach nur durch Vorhalten der Karte ohne zugehörige Webseite.

Nach dem Schreiben des Artikels hab ich die Karte eingelegt und
openecard nicht gestartet. Der entsprechende Dialog kam nach
einiger Zeit auch in diesem Fall.

Es ist also doch eher wahrscheinlich, dass cyberjack und/oder HW
dieses Problem erzeugen und openecard nicht verantwortlich ist.

Bitte dieses Thread auf hold setzen.

Actions #2

Updated by Arne Ahrend over 1 year ago

Ich habe das gleiche Problem ("Signaturen zulassen?" Endlosschleife, egal ob man mit "C" abbricht oder mit "OK" zur CAN Abfrage kommt und die CAN eingibt) mit dem Reiner SCT "cyberjack rfid komfort" Lesegerät. open-ecard Version ebenfalls 2.1.6-1 und Fedora Linux (Versionen 37 und 38).

Mit der AusweisApp2 (Win10 64bit) tritt diese "Signaturen zulassen?" Abfrage beim Ausweisen gar nicht auf. Die Aktualisierung der Lesegerät-Firmware vor einigen Wochen hat die Symptome nicht verbessert. Da die AusweisApp2 das Problem nicht hat, lässt sich möglicherweise doch softwareseitig etwas dagegen tun. (So frustrierend es ist, verhält sich dieses Lesegerät womöglich auch nicht vollständig BSI-standardkonform, ähnlich der Thematik mit der Groß- oder Kleinschreibung in den URLs, die u.a. vom Kraftfahrtbundesamt verwenet werden.)

Actions #3

Updated by Thomas Römke over 1 year ago

Reiner selbst schließt einen Fehler in deren Software oder in der Firmware des Lesers kategorisch aus.
Allerdings mussten sie zwischenzeitlich zugeben, dass ihnen bis jetzt gar kein neuer Ausweis (also einer, der ab dem 1.1.2023 ausgegeben wurde), vorliegt

Actions #4

Updated by Arne Ahrend over 1 year ago

Info: Mein Perso ist von 2017, und vergangenes Jahr hatte ich das Problem noch nicht. Vermutlich testet Reiner nur gegen die AusweisApp2 und interessiert sich nicht im Geringsten für andere Softwarestacks.

Actions #5

Updated by Thomas Römke over 1 year ago

Frage: Bei mir kommt der Dialog auch, wenn ich lange genug warte (und dabei openecard NICHT starte).

Also:

1. Karte einlegen, wenn man ausgeloggt im lightdm (oder jeder andere Displaymanager) ist => man kann 5 Minuten warten, es kommt kein Signaturen/CAN
2. einloggen in seinen User und warten => der Signaturen/CAN Dialog kommt ohne dass openecard oder AusweisApp2 gestartet wird

Ist das bei dir auch der Fall?

Actions #6

Updated by Arne Ahrend over 1 year ago

Wenn der Kartenleser während des Bootvorganges eingesteckt ist, kommt der Signaturen/CAN Dialog erst ganz am Ende, etwa zeitgleich mit dem graphischen Loginbildschirm, aber bevor der Nutzer sich einloggt. Es sieht fast so aus, als würde der Displaymanager (bei mir wayland/gnome-shell) das Problem verursachen oder systemd-user-sessions oder so etwas.

Actions #7

Updated by Thomas Römke over 1 year ago

systemd ...

Ja, das war dann auch meine Vermutung, dass einer der Daemons, die hier gestartet werden, dieses auslöst.

Das Cyberjack Paket hängt unter arch von libusb und pcsclite ab und installiert diese bei Bedarf auch mit,
openecardapp hängt dort von java-runtime ebenfalls pcsclite ab.

Ich denke, java-runtime können wir als Fehlerquelle ausschliessen. Könnte es der pcscd sein?

Actions #8

Updated by Arne Ahrend over 1 year ago

Nur auf einer virtuellen Konsole angemeldet tritt das Problem bei mir nicht auf, obwohl der pcscd im Hintergrund immer noch mit Rootrechten läuft. So lässt sich auch pcsc_scan erfolgreich ausführen und das Einlegen und Entfernen des nPA in das Lesegerät korrekt erkennen, ohne dass Signaturen/CAN Problem auftritt. open-ecard will ein X-Fenster öffnen und lässt sich so natürlich nicht starten. Vielleicht habe ich den kommenden Tagen mal etwas Zeit, um es mit zwei Rechnern und X-Display-Umlenkung für open-ecard in einer virtuellen Konsole auszuprobieren. Meine aktuelle Arbeitshypothese ist aber, dass pcscd wohl eher nicht der Schuldige ist, zumal in dem Augenblick, in dem ich auf die graphische Konsole zurückschalte, sofort die "Signaturen zulassen?" Abfrage auf dem Lesegerät erscheint.

Actions #9

Updated by Hans Hansen about 1 year ago

Ich habe leider das gleiche Problem.
Was mir aufgefallen ist, wenn ich das p11-kit-proxy im Firefox und Thunderbird raus nehme, passiert es seltener.

Actions

Also available in: Atom PDF