Veröffentlicht am 8. August 2025

swiyu-Wallet: Sicherheit und Wahlfreiheit für Android-Nutzerinnen und -Nutzer

Die swiyu-Wallet ist ein zentraler Bestandteil der Vertrauensinfrastruktur. Mit ihr kann die e-ID auf dem Smartphone beantragt, gehalten und vorgewiesen werden. Um die Sicherheit des Ausstellungsprozesses und die sichere Haltung der e-ID zu gewährleisten, muss nicht nur die Wallet sicher sein, sondern auch das Betriebssystem und die Hardware des Smartphones, auf der die swiyu-Wallet installiert wird. Gleichzeitig soll den Nutzerinnen und Nutzern möglichst grosse Freiheit gewährt werden (Wahl des Geräts, des Betriebssystems und des Distributionskanals für Apps). Zudem will der Bund als Betreiber der Vertrauensinfrastruktur möglichst unabhängig bleiben, um seine digitale Souveränität zu wahren beziehungsweise zu stärken.  Im Zusammenhang mit diesen Bedürfnissen stellen sich folgende Fragen:

  • Auf welchen Smartphones kann die swiyu-Wallet installiert werden?
  • Mit welchen Betriebssystemen kann die swiyu-Wallet verwendet werden?
  • Über welche Distributionskanäle (App-Stores) kann die swiyu-Wallet bezogen werden?
  • Ist die eingesetzte swiyu-Wallet tatsächlich diejenige, welche von der Eidgenossenschaft publiziert wurde?

Auf Apple-Smartphones (iPhones) können in der Schweiz nur Apps installiert werden, welche im App-Store für das entsprechende Betriebssystem (iOS) zur Verfügung stehen.

Android-Smartphones weisen grössere Freiheitsgrade auf: Es gibt unterschiedliche Geräte-Hersteller, unterschiedliche Versionen des Android-Betriebssystems und neben dem von Google verwendeten App-Store «Play Store» alternative Mechanismen, eine App zu beziehen. Ursprünglich war geplant, die swiyu-Wallet nur via Google Play Store anzubieten und den von Google zur Verfügung gestellten Dienst «Play Integrity» zu nutzen. Play Integrity ist ein Dienst, der unter anderem sicherstellt, dass es sich bei der App um die Original-Version aus dem Play Store handelt. Dieser Mechanismus wird jedoch aus unterschiedlichen Perspektiven kritisch betrachtet:

  • Datenschutz: Es können zusätzliche Daten bei der Nutzung des Dienstes anfallen;
  • Digitale Souveränität: Der Bund befindet sich in einer Abhängigkeit zum entsprechenden Dienst;
  • Wahlfreiheit: Die Wallet kann auf Betriebssystemen, resp. von Nutzerinnen und Nutzern, welche keine Play Dienste verwenden, nicht installiert werden.

Eingehende Analysen haben ergeben, dass mit folgenden Vorkehrungen sichergestellt werden kann, dass die swiyu-Wallet auf einem vertrauenswürdigen Android-Gerät läuft, ohne «Play Integrity» zu verwenden:

  • Zur Verhinderung von Änderungen am Betriebssystem muss der Bootloader gesperrt und dessen Status muss entweder verifiziert oder mit einem vertrauenswürdigen Fingerabdruck signiert (self-signed) sein;
  • Zur Sicherstellung, dass das Betriebssystem als sicher und vertrauenswürdig gilt, müssen die Version des Betriebssystems und dessen Patch-Level Mindestsicherheitsanforderungen erfüllen;
  • Die Hardware-Schlüsselüberprüfung muss gültig sein (Attestierungs- und Root-Schlüssel dürfen nicht widerrufen sein). Damit wird sichergestellt, dass die Geräteeigenschaften (Bootloader-Status, OS-Version usw.) durch eine als sicher geltende Hardware bestätigt wurden. Derselbe Mechanismus wird verwendet, um sicherzustellen, dass die e-ID an einen hardwarebasierten Schlüssel gebunden wird;
  • Die Signatur des benutzten Android Package Kit (APK) stimmt mit der vom Bund zur Verfügung gestellten Version überein. Damit wird sichergestellt, dass die verwendete Software tatsächlich von der Eidgenossenschaft bereitgestellt und nicht verändert wurde.

Um den Download der App ohne Nutzung des Play Stores zu ermöglichen, wird die swiyu-Wallet für Android-Nutzerinnen und Nutzer zusätzlich zum Google Play Store auch als APK auf einem alternativen Distributionskanal bereitgestellt.

Weitere Details zu diesen Themen werden auf GitHub publiziert. Ziel ist es, den beschriebenen Ansatz noch vor der Lancierung der produktiven e-ID auf Public Beta zu implementieren, damit ausreichend Zeit für Tests und die Validierung des Ansatzes bleibt. Weitere Diskussionen sind auf GitHub willkommen: https://github.com/swiyu-admin-ch.