Wie die biometrische Authentifizierung in der Tangem Wallet funktioniert

scan tangem

Wir arbeiten weiter an der Verbesserung von Tangem Wallet. Du musst deine Karte nicht mehr auf das Telefon tippen, um die App zu entsperren. Jetzt kannst du sie sicher in allen deiner Tangem Wallets überprüfen, ohne eine Karte oder ein Passwort zu verwenden. Lege einfach deinen Finger auf den Fingerabdruckscanner oder schaue  in die Kamera, wenn dein Telefon Face ID unterstützt.

Das neue App-Update mit biometrischer Authentifizierung macht die Tangem-App noch komfortabler und bietet dir neue Möglichkeiten der Kryptoverwaltung. Vielleicht hast du aber auch Zweifel an der Sicherheit deiner biometrischen Daten. Das werden wir besprechen.

Neue Möglichkeiten der Tangem App

In der Tangem-App sind nun unter "App-Einstellungen" die Optionen "Wallet in der App behalten" und "Zugangscode speichern" standardmäßig aktiviert. Dies bedeutet:

 

  • Alle Tangem-Wallets (wenn du mehr als eine hast) sind mit der App verknüpft, und die App wird mit biometrischer Authentifizierung entsperrt;
  • Alle verschlüsselten Kartenpasswörter werden auf dem Telefon gespeichert und die biometrische Authentifizierung wird bei der Handhabung der Karten anstelle eines Passworts verwendet.

Du kannst diese Optionen deaktivieren, wenn du mit der wallet wie bisher arbeiten möchten.

Unterm Strich musst du nicht mehr auf die Karten tippen und einen Zugangscode eingeben, um:

  • sich bei der Tangem-App anmelden;
  • den Kontostand von Münzen und Token einsehen;
  • zwischen Wallets wechseln, wenn Sie mehr als eines haben.

Du kannst ganz einfach zusätzliche Wallets zur Tangem-App hinzufügen.

Oder sie werden automatisch hinzugefügt. Wenn du nur eine Wallet in der Tangem-App haben, obwohl du eigentlich mehrere Tangem-Geldbörsen besitz, wirst du aufgefordert, den Zugangscode einzugeben, wenn du die zweite, dritte (und so weiter) Wallet an das Telefon anschließen. Dann wird die zweite wallet automatisch mit der App verknüpft. Gleichzeitig wird der Zugriff auf die erste wallet gesperrt. Sie kann bei Bedarf mit biometrischen Daten entsperrt werden.

Achtung! Du must immer noch eine Tangem-Karte antippen, um eine Transaktion zu unterschreiben.

Anwendungen von Drittanbietern, wie die Tangem App, können die Systemschnittstellen von Smartphones nutzen, um eine biometrische Authentifizierung mit Fingerabdruckscan oder Gesichtserkennung einzurichten. Wichtig! Die Tangem-App kann, wie jede andere App auch, nur den Authentifizierungsstatus überprüfen, hat aber KEINEN ZUGRIFF auf Ihre biometrischen Daten.

Heute bieten sowohl Googles Android als auch Apples iOS ein hohes Maß an biometrischer Sicherheit. Deine Technologien zur Gewährleistung der biometrischen Sicherheit sind ähnlich, es gibt jedoch einige unterschiedliche Aspekte.
 

iOS Biometrische Sicherheit

Das Hauptbetriebssystem von iOS-Geräten speichert Ihre biometrischen Daten nicht. Secure Enclave wurde entwickelt, um die sensiblen Daten zu isolieren.

Secure Enclave ist ein sicheres Subsystem, das vom Hauptprozessor isoliert ist, um eine zusätzliche Sicherheitsebene zu bieten und sensible Benutzerdaten auch dann zu schützen, wenn der Kernel des Anwendungsprozessors gefährdet ist.

Um eine maximale Isolierung zu erreichen, wird der Secure Enclave-Coprozessor ausschließlich vom Secure Enclave-Subsystem verwendet. Er aktualisiert sich selbstständig. Sein Speicher ist mit einem eindeutigen Schlüssel verschlüsselt, der bei der Herstellung zugewiesen wird.

Darüber hinaus werden deine biometrischen Daten als nicht umkehrbarer Hash gespeichert und nicht an die iCloud oder die Server von Apple gesendet.
 

Touch ID

Das Touch ID-Modul ist direkt mit der Hardware und Software des Geräts verbunden. Jedes Modul wird zum Zeitpunkt der Herstellung für ein bestimmtes iPhone konfiguriert. 

Apple begrenzt die effektive Zeit des Fingerabdruckscanners für zusätzliche Sicherheitszwecke:

  • Bis zu 48 Stunden, wenn dein Telefon in dieser Zeit nie entsperrt wurde;
  • Bis zu 8 Stunden, wenn ein Benutzer in den letzten 6 Tagen nie sein Passwort eingegeben hat.

Auch wenn du dein iPhone ausgeschaltet oder neu gestartet haben, wird es beim ersten Einloggen nach einem Kennwort fragen, genau wie beim Speichern eines neuen Fingerabdrucks.
 

Face ID

Face ID verwendet die TrueDepth-Kamera und Technologien für maschinelles Lernen, um dein Gesicht zu erkennen.

Face ID-Daten - einschließlich mathematischer Darstellungen deines Gesichts - sind verschlüsselt und mit einem Schlüssel geschützt, der nur der Secure Enclave zur Verfügung steht.

Face ID gleicht Tiefeninformationen ab, die in Fotos nicht enthalten sind.  Face ID erkennt, ob deine Augen geöffnet sind und deine Aufmerksamkeit auf das Gerät gerichtet ist. Dadurch wird es für jemanden schwieriger, dein Gerät ohne dein Wissen zu entsperren (z. B. wenn Sie schlafen).

Du musst dein Passcode für eine zusätzliche Sicherheitsprüfung eingeben, wenn:

  • Das Gerät wurde gerade eingeschaltet oder neu gestartet.
  • Das Gerät wurde seit mehr als 48 Stunden nicht mehr entsperrt.
  • Der Passcode wurde in den letzten sechseinhalb Tagen nicht zum Entsperren des Geräts verwendet und Face ID hat das Gerät in den letzten 4 Stunden nicht entsperrt.
  • Das Gerät hat einen Fernsperrbefehl erhalten.
  • Nach fünf erfolglosen Versuchen, ein Gesicht zu erkennen.
  • Nach dem Einleiten des Ausschaltens / Notrufs.

Wenn dein Gerät verloren geht oder gestohlen wird, kannst du verhindern, dass Face ID zum Entsperren deines Geräts verwendet wird, indem du dein Gerät unter „Mein Gerät“ suchen als verloren markieren.
 

Biometrische Sicherheit von Android

Android-Smartphones mit Versionen neuer als 6.0 unterstützen die Anmeldung per Fingerabdruck.

Je nach Art des Scanners kann sich dieser auf der Rückseite des Smartphones, an der Kante oder an der Unterseite des Displays befinden.

Google stellt eine Reihe von Bedingungen an die Entwickler und Hersteller von Android-Smartphones, deren Nichterfüllung zur Nicht-Zertifizierung führt.  Die wichtigste Anforderung ist, dass das Gerät über eine Datenverschlüsselung verfügt und:

  • Eine vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE) speichert ausschließlich die biometrischen Daten;

TEE ist ein Bereich auf dem Hauptprozessor, der vom Hauptbetriebssystem getrennt ist.

  • nach 5 erfolglosen biometrischen Anmeldeversuchen wird nach jedem neuen Anmeldeversuch eine 30-Sekunden-Pause eingelegt;
  • das Hinzufügen/Entfernen von Fingerabdrücken wird durch ein Passwort oder eine andere Authentifizierungsmethode bestätigt.

Genau wie bei Apples Touch ID werden Ihre biometrischen Daten auf einem separaten Prozessor mit eigenem Speicher und Betriebssystem (Trusty OS) gespeichert. Die Daten sind nicht für Google, die Tangem-App oder andere Apps verfügbar, werden nicht mit verschiedenen Geräten synchronisiert und ausschließlich auf dem Smartphone in einem isolierten, sicheren Bereich des Prozessors gespeichert.

Trusty OS ist ein kleines, aber effizientes Betriebssystem, das auf dem TEE läuft.

Bei der Registrierung eines Fingerabdrucks prüft der Sensor die Scandaten, und Trusty OS analysiert sie innerhalb des TEE und erstellt dann:

  • ein verschlüsseltes Fingerabdruck-Template;
  • einen Validierungsdatensatz.

Die verschlüsselte biometrische Vorlage wird in einem speziellen TEE-Bereich oder im verschlüsselten Speicher des Smartphones gespeichert. Diese Daten sind praktisch nicht wiederherstellbar, und selbst wenn man sie erhält, sind sie nutzlos, da sie nicht entschlüsselt werden können.

Schutz der biometrischen Daten des Benutzers auf Android bedeutet also:

  • Deine biometrischen Daten werden in deiner ursprünglichen Form nirgendwo gespeichert, nachdem das Gerät deine Daten erhalten hat, werden sie gehuscht und der resultierende Hash wird im TEE abgelegt.
  • Der Fingerabdruckscanner und die Schnittstelle befinden sich im TEE.
  • Deine biometrischen Daten werden ausschließlich im TEE gespeichert.
  • Du kannst nicht auf die Scanner-Hardware außerhalb des TEE zugreifen.
  • Trustlet liefert Scan-Ergebnisse, aber keine Scan-Daten.

Trustlet ist eine Anwendung, die auf dem TEE läuft. Es ist keine autonome Softwarekomponente und wurde für den einzigen Zweck entwickelt - das Erstellen von Fingerabdrücken. Es hat keinen Wert außerhalb der zugrunde liegenden Anwendung, für die es läuft.

Das Schema der biometrischen Authentifizierung sieht also wie folgt aus:

  • Du öffnest die Tangem-App.
  • Du versuchst, dich mit biometrischen Daten anzumelden.
  • Ein Smartphone startet Trustlet.
  • Ein Fingerabdruckleser erscheint auf dem aktuellen Bildschirm.
  • Trustlet vergleicht deinen Fingerabdruck mit dem, der bei der Einrichtung gescannt wurde, und sendet die Ergebnisse an die Tangem-App.

Autorisierung erfolgreich abgeschlossen.

Schlussfolgerung

Apple und Google haben sich ernsthaft um die Sicherheit der biometrischen Daten der Nutzer bemüht. Sie werden sicher in speziellen isolierten, sicheren Subsystemen von Mobilgeräten gespeichert und sind nicht verfügbar. Daher ist die Anmeldung bei der Tangem-App mit biometrischer Authentifizierung absolut sicher.