Ich nutze nun schon eine Weile privat ein Notebook mit Qubes OS und schaue, wie gut das tatsächlich funktioniert.
Um nicht auf andere Systeme zurückgreifen zu müssen, sollte die AusweisApp unter Qubes OS idealerweise auch mit einem Smartphone als Kartenleser funktionieren.
TL;DR Die einzelnen Schritte, um die AusweisApp unter Qubes OS zum Laufen zu bringen
- Aktuelle Version der AusweisApp in einem entsprechenden Qube installieren.
- Unter https://www.ausweisapp.bund.de/open-source-software gibt es die Links zu verschiedenen Versionen. Da die Version für Debian veraltet war, habe ich Debian Backports aktiviert (https://wiki.debian.org/Backports).
- Port 24727 UDP des Qubes per NAT erreichbar machen für den Broadcast des Smartphones: https://forum.qubes-os.org/t/qubes-os-4-2-easily-nat-qubes-port-to-external-network/24958
- AusweisApp am Smartphone starten und mit dem Notebook koppeln.
Alles, was im Browser läuft, ist natürlich kein Problem. Prinzipiell klappt auch alles gut, was unter Debian oder Fedora relativ einfach funktioniert.
Spannend wird es dann natürlich, wenn Programme primär für Windows oder MacOS bereitgestellt werden. Oder wenn das Konzept von Qubes OS die Nutzung etwas komplizierter macht.
Die AusweisApp installieren
Um den elektronischen Personalausweises in Deutschland zur Anmeldung bzw. Legitimation im Internet zu benutzen, wird die AusweisApp benötigt.
Und die AusweisApp fällt gewissermaßen in beide dieser Kategorien.
Auf der offiziellen Seite heißt es zunächst:
Android 9.0 oder höher, iOS 16.0 oder höher, macOS 13.0 oder höher, Windows 10 (64 Bit) und 11, Windows Server 2016 (Version 1607), 2019, 2022,2025 und ChromeOS 140 oder höher
Da die AusweisApp Open Source Software ist (sehr gut!) gibt es auch einen Verweis auf Community Projekte für weitere Plattformen: https://www.ausweisapp.bund.de/open-source-software
Aus dem Debian Repository für Debian 13 kam die etwas ältere Version 2.3.1, mit der ich nicht unbedingt weiter arbeiten wollte.
Also habe ich im Qubes Template die entsprechenden Backports aktiviert, um die aktuelle Version 2.4.0 installieren zu können (https://wiki.debian.org/Backports).
AusweisApp aus Backports installieren
- (Optional) TemplateVM debian-13 klonen, um dort die Veränderungen vorzunehmen
- Terminal in TemplateVM öffnen
- Backports aktivieren
- sudo apt edit-source
- Dort die Zeile
deb http://deb.debian.org/debian trixie-backports main contrib non-free non-free-firmware
einfügen - sudo apt update
- AusweisApp installieren
- sudo apt install ausweisapp/trixie-backports
Nach der Installation steht die AusweisApp den auf diesem Template basierenden Qubes zur Verfügung und lässt sich auch vom Browser aus zur Anmeldung an entsprechenden Webseiten aufrufen.
Allerdings funktioniert das Einlesen von Ausweisen per Smartphone noch nicht, da beim Versuch der Kopplung nichts passiert.
Das Smartphone koppeln
Beim ersten Versuch, Smartphone und Notebook zu koppeln ist erstmal nicht viel passiert und das Smartphone taucht einfach nicht auf.
Das liegt wohl daran, dass strenggenommen der Qube und das Smartphone nicht im selben Netzwerk sind.
Auch wenn sich Notebook und Smartphone im selben WLAN befinden, ist nur der für die Netzwerkverbindung zuständige Qube auch im gleichen Subnetz wie das Smartphone.
Mir hat sich dann die Frage gestellt, wie genau die Verbindung aufgebaut wird. Meine erste Befürchtung war, dass ich die Software im Qube irgendwie dazu bringen muss, außerhalb des dem Qube selbst zugewiesenen Subnets nach dem Smartphone zu suchen.
Glücklicherweise habe ich die Erweiterte Dokumentation für Administratoren und Entwickler gefunden: https://www.ausweisapp.bund.de/fileadmin/user_upload/AusweisApp-2.2.0-NetInstallation_Integration.pdf
Dort heißt es:
Für die Verwendung von der „Smartphone als Kartenleser“-Funktion über WLAN müssen außerdem
Broadcasts auf UDP Port 24727 im lokalen Subnetz empfangen werden können.
Das ist wohl deutlich leichter zu bewerkstelligen und es gibt auch eine Anleitung im Forum von Qubes OS, um einzelne Ports eines Qubes per NAT von außen erreichbar zu machen: https://forum.qubes-os.org/t/qubes-os-4-2-easily-nat-qubes-port-to-external-network/24958
Damit hat es dann auch direkt funktioniert und ich konnte meinen Personalausweis auf einer entsprechenden Webseite verwenden.
Und nun?
Das ist sicher kein Usecase, der sehr regelmäßig auftritt. Aber es ist umso schöner, dafür nicht auf eine zweite Maschine mit Windows angewiesen zu sein.
Vermutlich wird das ganze noch sicherer mit einem USB-Kartenleser. Ich hatte allerdings keinen und ich war ungeduldig.
In manchen WLAN-Netzen scheint der Broadcast nicht richtig durchzukommen, das ist mir während eines Besuchs woanders aufgefallen.
Vielleicht schaue ich mir das nochmal genauer an, wenn ich wieder unterwegs bin. In meinem Netz zuhause klappt es so einwandfrei.