Fragen? Antworten! Siehe auch: Alternativlos
Wer seine biometrischen Passbilder bei einem externen Dienstleister macht, muss damit rechnen, dass sie in der Amazon Cloud landen – und damit vor dem Zugriff von US-Behörden nicht sicher sind.Ich WEISS!!! Hätte uns doch nur jemand rechtzeitig vor "Digitalisierung first, Bedenken second" warnen können!
Aber gute Nachrichten. Die Amazon-Cloud hat einen so beschissenen Leumund, dass das niemand zugeben würde. Stattdessen gibt es Nebelwände wie:
Bei den Dienstleistern wird AWS jedoch nicht genannt, laut Mint Secure ist dort von „sicherer dm-Cloud“ oder „C5-Hochsicherheits-Cloud“ die Rede.Jawohl ja! SO SICHER ist AWS!!1! Gut zu wissen. Waren die Bedenken also völlig unbegründet!1!!
Noch besser: Die Fotos werden mit der Elektronischer-Perso-Funktion digital siginiert. Die abgreifenden US-Behörden können sich also sicher sein, dass die echt sind. Wie hilfreich!
Ich hoffe, da wird wenigstens irgendein korrupter Sesselfurzer ordentlich entlohnt von der CIA und wir schenken denen das nicht einfach so aus Inkompetenz und Faulheit.
Update: Ist bei näherer Betrachtung nicht so schlimm. Die Bilder sind mit einem pro Bild unterschiedlichen symmetrischen Schlüssel Ende-zu-Ende-verschlüsselt. Der Schlüssel wird als QR-Code ausgedruckt. Hier in Sektion 2.4.2 wird der Prozess beschrieben. Die Cloud sieht einen verschlüsselten Blob Daten, an dem nicht mal der Name der Person dransteht. Der Dienstleister, der das Foto gemacht hat, lädt es hoch, da ist ein Identifier drin, und er gibt dem Bürger den QR-Code mit dem Schlüssel und dem Identifier. Der überträgt diese Daten dem Amt, und das holt sich dann das Foto aus der Cloud.
Das Verfahren wirkt, als habe sich jemand Gedanken gemacht. Für außenstehende Netzwerk-Beobachter besteht nicht mal ein Link zwischen Bürger und Dienstleister. Der sieht den Dienstleister den Blob in die Cloud laden und das Amt ihn abholen.
Das ist sogar noch geringfügig besser als wenn der Dienstleister den verschlüsselten Blob dem Bürger mailt und er es beim Amt hochlädt. Dann könnte der Beobachter anhand der Größe des Bildes vielleicht Korrelationen machen. Das hat das BSI vergleichsweise schlau gemacht, das Verfahren.