Ich bin nicht tief genug in der Spezifikation drin, um das zu bewerten. Müsste man mal nachlesen.
Dass sowas nicht unmöglich ist, hat U-Prove gezeigt.
Fälschungsfreie Tokengenerierung ohne online IdP ist möglich. Unsere EID hat das ja schon gezeigt, der Client ist OpenSource und durch offene Standarts ist die Verifikation auch nicht zu schwer.
Das größte Problem ist der komplexe Prozess, sich als ServiceProvider freischalten zu lassen.
Ok, und zugegeben, man braucht passende Hardware (wie ein NFC Handy).
Ein anderes, interessanntes Konzept ist U-Prove. Das hab ich leider noch nie im realen Einsatz gesehen.
Die Frage nach Verhältnismäßigkeit solcher Maßnahmen ist jedenfalls durchaus berechtigt.
Der deutsche E-Perso hat bereits genau diese “>= 18” Abfrage.
Nunja, es gibt keinen wirklichen Auth-Server. Die Identifizierung läuft nur auf dem Perso (+ Lesegerät) ab.
Aber es gibt Testsoftware, mit der man solche Flows selber zur Entwicklung nachstellen kann: WWW.