In Teil 1 der Artikelreihe ist beschrieben, wie sich ein aktuellen Smartphone mit Android als Kartenleser für den deutschen Personalausweis, unter Linux verwenden lässt. Lässt sich der in Teil 2 erwähnte USB-Kartenleser auch unter Linux verwenden? Ja, aber man muss wissen wie.
Der Xystec USB-Ausweisleser wird nicht erkannt
Nachdem ich den Pearl Xystec USB-Ausweisleser unter Windows 10 am Laufen hatte (siehe Teil 2), wollte ich noch schnell den gleichen Test unter Linux Mint 22.3 ausführen. Also die AusweisApp Bund wie in Teil 1 erwähnt installiert, den USB-Ausweisleser angeschlossen und dann versucht, den Personalausweis über die App auszulesen. Laut Pearl sollte der Leser ja ohne Treiber direkt in Linux eingebunden werden.
Aber es gab schnell eine ziemliche Ernüchterung. In der AusweisApp Bund konnte ich auf der Startseite zwar auf Einstellungen gehen, und dann auf der Folgeseite den USB-Kartenleser auswählen. Aber die App meldete, dass kein USB-Kartenleser gefunden wurde.
Eine Suche im Web ergab ad-hoc keine Treffer oder irgend eine Lösung. Ich habe dann bei Pearl in deren Presseabteilung nachgefragt. Die Rückmeldung lautete, dass Käufer den USB-Kartenleser zurückgeschickt hätten, weil er unter Linux nicht funktioniere. Bei Amazon gab es weitere Rezensionen dieser Art.
Vom Produktmanager des Lesers gab es noch den Hinweis, dass die Firewall unter Linux die AusweisApp Bund blockiere, und diese so erst gar nicht bis zur Abfrage des USB-Lesers gelange. Aber unter Mint war die Firewall deaktiviert, an der Firewall-Freigabe, wo der Port 24727 freigeschaltet werden muss, lag es definitiv nicht. Das habe ich getestet.
Das war dann der Punkt, an dem ich die in Teil 1 der Artikelreihe beschriebene Lösung mit einem Android-Smartphone als Leser getestet habe. Da diese auf Anhieb unter Mint 22.3 funktionierte, hatte ich zumindest eine Notlösung. Aber konnte es das gewesen sein?
Noch etwas getestet?
Nach einigen Tagen habe ich dann im Internet recherchiert, ob ich ggf. einen Treiber für den Leser finde. Dabei stieß ich auf dem Hinweis in einem Linux-Mint-Forum, dass man für den Reiner USB-Kartenleser das Paket pcscd benötigt. Und ich bekam im Rahmen weiterer Tests die Fehlermeldung in der AusweisApp, dass ein Daemon zum Zugriff auf einen Leser fehle. Inzwischen weiß ich, dass für die meisten USB-Kartenleser (Smartcard-Leser für eID, Online-Banking, Personalausweis, Gesundheitskarte etc.) in Linux Mint i.d.R. (bzw. zumindest bei meinem System) zwei Pakete (pcscd, libccid ) nachinstalliert werden müssen. Dies habe ich mit folgenden zwei Befehlen in einem Terminalfenster nachgeholt:
sudo apt update
sudo apt install pcscd libccid pcsc-tools
Das reicht in ≈ 80–90 % der Fälle (alle Leser, die den CCID-Standard sprechen). Im obigen zweiten Befehl werden noch die pcsc-tools installiert, damit ich testen konnte. Im Anschluss habe ich im Terminalfenster mit dem folgenden Befehl getestet, ob der USB-Kartenleser überhaupt erkannt wird.
lsusb In der Antwort wurde bei eingestecktem USB-Kartenleser das entsprechende Gerät als Generic EMV Smartcard Reader angezeigt (siehe folgendes Bild).
Das hieß, dass Linux einen Treiber für den Leser aufwies. Im nächsten Schritt habe ich im Terminal die nachfolgenden Befehle ausprobiert:
# Läuft der pcscd-Dienst? systemctl status pcscd # Test des Lesers und der Karte pcsc_scan
Mit dem Befehl pcsc_scan aus den pcscd-tools wurde mir dann im Terminal der Status des USB-Kartenlesers angezeigt.
Immer wenn ich den Ausweis auf den kontaktlosen Lesebereich gehalten habe, änderte sich der angezeigte Status (siehe letztes Bild). Ab diesem Moment wusste ich, dass der USB-Kartenleser unter Linux Mint 22.3 funktionierte.
Erneuter Test mit der AusweisApp Bund
An dieser Stelle habe ich denn erneut die AusweisApp Bund bei angeschlossenem Xystec USB-Kartenleser gestartet und bin über den Punkt Einstellungen der Startseite auf die nachfolgend gezeigte Seite gegangen.
Bei Anwahl des Menüpunkts USB-Kartenleser in der linken Spalte erschien die obige Anzeige. Diese zeigte mir verschiedene Einträge, wobei der Alcor Link AK9567 Card Reader am vielversprechendsten aussah. Aber bei jedem Eintrag hieß es, dass der Kartenleser nicht offiziell unterstützt wird und möglicherweise nicht richtig funktioniert.
Damit war ich scheinbar keinen Schritt weiter. Aber ich hatte dann die Idee, über die Zurück-Schaltfläche des AusweisApp-Fensters zur Startseite zurück zu gehen, den Personalausweis auf die Kontaktstelle des Lesers zu legen und in der Startseite auf Meine Daten einsehen zu klicken.
Ich gelangte dann zur Seite Ausweisen, wo ich auf die Schaltfläche Meine Daten einsehen klicken konnte. Sah schon mal gut aus.
Ich konnte dann die Seiten zum Abrufen der Ausweisdaten samt Eingabe der PIN zur Freischaltung des Ausweises durchlaufen.
Und am Ende zeigte mir die AusweisApp Bund dann die erwarteten Daten meines Personalausweises an.
Der Trick, der unter Linux Mint 22.3 erforderlich war, um den USB-Ausweisleser zu verwenden, bestand in der Installation der benötigten Pakete (was weder bei Pearl noch sonst im Internet für mich auffindbar beschrieben war). Vielleicht hilft die obige Anleitung Dritten bei der Inbetriebnahme des Xystem USB-Kartenlesers unter Linux weiter.
Wie der Leser unter macOS angesprochen wird und ob weitere Schritte erforderlich sind, konnte ich mangels macOS nicht testen. Ich habe zwar ein macOS in QuickEmu laufen, was aber so langsam ist, dass sich nichts testen lässt. Falls ich macOS unter Virtualbox zum Laufen bekomme, schiebe ich ggf. einen entsprechenden Test samt Nachfolgeartikel in Teil 4 nach.
Artikelreihe:
RFID-Chips in Karten und Ausweise mittels Smartphone (NFC) und App lesen – Teil 1
Pearl Xystec USB-Ausweisleser unter Windows verwenden – Teil 2
Pearl Xystec USB-Ausweisleser unter Linux Mint verwenden – Teil 3
Artikel:
eID, Pass auf dem Smartphone: Neuer Schlenker, neues Desaster mit Ansage?
Governikus: Elektronischer Personalausweis lässt sich 'austricksen'
MVP: 2013 – 2016
Das ist aber komisch, denn für das Pakte "ausweisapp" ist festgelegt, dass es die Pakete "pcscd" (& "pcsc-tools") "empfiehlt", welche selbst wiederum "libccid" "benötigt".
So zumindest unter Debian eingestellt, und "Mint" ist ja ein direkter Abkömmling davon. In den Abhängigkeiten steht also praktisch alles drin, um eine funktionierende Lösung zu bekommen.
Könnte es sein, dass irgendwo ("synaptic" -> Haken: "Empfohlene Pakete als Abhängigkeiten ansehen" entfernt oder in der "/etc/apt/apt.conf" -> 'APT::Install-Recommends "0";' eingestellt wurde. Genau dann wird nämlich nicht alles installiert, was man für die "ausweisapp" und einen USB-Kartenleser benötigt. Dann muss man tatsächlich händisch auswählen und nachinstallieren.
Prüfen kann man die APT-Einstellungen übrigens auch mit "# apt-config dump".
Kann ich wenig zu sagen, muss ich kontrollieren – wissentlich habe ich nichts deaktiviert – das Mint ist da erinnerungsmäßíg immer noch in der "Grundkonfiguration". Zudem spricht auch einiges gegen deine Annahme, denn ansonsten wäre ich der Einzige oder einer der wenigen, bei denen es hakt (ich beziehe mich auf die Rückgaben des USB-Ausweisreaders, weil er "unter Linux angeblich nicht funktioniert") – unwahrscheinlich, dass die Leute alle die "Empfohlene Pakete als Abhängigkeiten ansehen" entfernt wurde – schätze ich mal. Ich bin mehr oder weniger zufällig auf die Lösung gekommen, als ich nach Treibern recherchiert habe und irgendwo eine Anleitungen zum testen gefunden habe.
Mint verwendet nur in der LMDE Edition Debian "direkt". In der Standard Edition dagegen Ubuntu. Gaaaaanz andere Bastel- und Frickelbaustelle.
Mein Perso hat mir eine noch zu lange Restnutzungsdauer für solche Versuche, die nach jedem Update erneut auch nicht mehr richtig funktionieren können.
Zweimal eine falsche PIN an den Perso geschickt und man hat nur noch einen dritten Versuch mit der blöden Zusatzzahl – wie heißt sie doch gleich und wer weiß wo er sie überhaupt findet auf der Karte selbst – die gerade am Smartphone oder auf dem Lesegerät pappt.
Was ab der vierten Falscheingabe passiert? Vermutlich wird der Klöppelzünder scharf gestellt ;)
Bei den überwiegend von den IBM GKVs verwendeten Apps kann man sich dabei nicht einmal die PIN anzeigen lassen.
Sofern man es überhaupt über die Hürde geschafft hat die KVNR mit Großbuchstaben einzugeben, obwohl es auf der eGK selbst mit Adleraugen wie ein Kleinbuchstabe aussieht.
Mein Vertrauen in die Sicherheit ist bei Stümpern die selbst das bei der Softwarentwicklung vergessen haben weit weit unter den Nullpunkt gesunken.
Das ist so faktisch unnutzbarer Murks für fast alle. Nur weil jemand (auch) den dynamischen zeitabhängigen Antihammeringschutz in Perso und eGK vergessen hat zu implementieren.
Empfohlene Pakte werde unter Linux meist nicht automatisch installiert, nur die notwendigen. Das kann man in Synaptic in den Einstellungen regeln, indem man "Empfohlene Pakete als Abhängigkeiten ansehen" anklickt.
Doch, doch! Zumindest unter Debian ist der Standardparameter für "empfohlen" -> 'APT::Install-Recommends" ist "1"; der Standardparameter für "vorgeschlagen" 'APT::Install-Suggests' ist allerdings "0".
Danke — ich hoffe, ich finde den Artikel wieder, falls ich das mal selbst nutzen möchte oder muss.
Eine allgemeine Ergänzung noch: Aufgrund eigener Erfahrung empfehle ich, wenn es um die Verwendung von USB-Geräten geht, das bei Problemen mal auf „bare metal" und nicht in einer VM zu probieren. Gilt nicht nur für Linux; beispielsweise habe ich die Logitech-Software (leider nur Windows erhältlich), mit der man eine Maus mit dem Logitech-Dongle zusammenbringen kann, in der VirtualBox nicht zum Funktionieren gebracht.
Ja, ich weiß, ist eigentlich genau das, was man nicht will, und bedeutet ärgerlicherweise auch, dass man irgendwo im Haushalt noch ein Windows- oder Dual boot-Gerät vorhalten muss, aber manchmal halt leider notwendig.
Nun ja, mein Hardware-Zoo ist beschränkt – ein Dell Desktop, sowie zwei Dell Notebooks – wovon eines (die Mint-Maschine) durch einen Leser bereitgestellt wurde (die haben das im Unternehmen vor zwei Jahren aussortiert). Mir sind damals leider mehrere älterer Notebooks durch Display-Risse ausgefallen und mussten entsorgt werden. Von daher sind meine Möglichkeiten, zwei Linux-Varianten zu testen, begrenzt.
Ich vermute, das bezieht sich nicht auf meinen Kommentar, sondern auf den von twinkeri@ewe.net darüber?
Danke für den Test des Readers und die Anleitung für Linux Mint. Unter Debian klappt das Koppeln zwischen Smartphone als Kartenleser und Desktop App nicht, da in den offiziellen Paketquellen die AusweisApp offensichtlich zu alt ist? So meine Vermutung. Es scheint auch eine Communityversion und eine offizielle zu geben? Bin für Tipps dankbar.
Auf dem Screenshot in Teil 1 der Reihe sieht man, dass Günter in Mint die Flatpak-Version installiert hat. Flatpaks sind häufig aktueller als die Versionen aus den Paketquellen der Distributionen. Man müsste jetzt schauen, wie Debian mit Flatpak umgeht und ob das für dich auch eine Option ist.
Debian 13 beinhaltet die OpenSource Version der AusweisApp Version 2.3.1 (siehe https://packages.debian.org/trixie/ausweisapp). Vom Bund selbst wird die Version 2.4 bereitgestellt. Ich denke mit der 2.3 müsste es klappen. Im Link ganz unten werden übrigens als Zusatzpakete folgende empfohlen:
pcsc-tools – Einige Programme für die Arbeit mit Chipkarten und PC/SC
pcscd – Middleware für den Zugriff auf Chipkarten mit PC/SC (Daemon-Software)
Bei pcscd wird zusätzlich noch folgendes Paket empfohlen:
libccid – PC/SC-Treiber für USB-CCID-Chipkarten-Lesegeräte
Ist leider nicht sofort ersichtlich.
Hab hier den Reiner SCT im Einsatz, pcscd libccid pcsc-tools mussten auch hier nachinstalliert werden. Für Linux Mint 22.3 und auch bei den älteren Versionen war das der Fall, ebenso bei Debian.
Ah, ein Dell Latitude 5590. Da muss man mal genauer hinsehen! Manche von denen haben rechts neben dem Mauspad unter der Plastikoberfläche einen eigenen NFC-Sensor.
https://www.dell.com/support/kbdoc/de-de/000125274/latitude-5590-visuelle-anleitung-zum-computer
Ich habe einen 4590 (also Vorgänger mit i5 8th) und meiner hat den NFC-Sensor neben dem Pad. (Außerdem hat er links einen Slot für Smartcards) Angeregt durch diesen Artikel habe ich gestern mal damit rumgespielt und konnte im Prinzip wie hier beschrieben unter Win 11 meinen Perso und Reisepass auslesen.
Interessant, das Feld habe ich gesehen, es aber als absoluter noob als Fingerabdrucksensor oder ähnlich verortet. Muss mir das mal genauer ansehen.
Ist aber auch irgendwie Teufelszeug: Da musst Du 70 Jahre alt werden, um zu lernen, dass ein ein Dell Latitude 5590 eventuell einen NFC-Sensor verbaut hat. Hätte doch Landwirt werden sollen … ;-).
Hoffentlich tragen die das bei Pearl ein als Hinweis. Das wäre nicht schlecht und vermeidet Retouren.
Ich gehe mal davon aus – denn ich habe deren Presseabteilung das Thema schon mitgeteilt (nachdem meine erste Anfrage, warum das nicht funktioniert, mit "gab noch andere Nutzer mit Rücksendungen" beantwortet wurde).
So schnell kanns gehen… vom Linux Padawan zum Meister…