TK-App & TK-Ident unter /e/OS – Workaround für TK-Safe/ePA-Zugang mit gesperrtem Bootloader

/e/OS auf Deutsch HOWTOs - deutsch
,
1

:warning: WICHTIGER DISCLAIMER – BITTE UNBEDINGT LESEN!

Dieser Workaround funktioniert NUR auf einem offiziellen /e/OS (keine Community-Version!) mit gesperrtem Bootloader (relocked). Warum?

  • Die TK-Ident-App führt einen Sicherheitscheck durch und startet nur, wenn der Bootloader gesperrt ist (locked).

  • Unlocked Bootloader → TK-Ident wird blockiert (Sicherheitsrichtlinie der TK).

:warning: RISIKEN BEIM SPERRN DES BOOTLOADERS (RE-LOCK)

  • Hohes Brick-Risiko! Falls etwas schiefgeht, kann das Gerät unbrauchbar werden.

  • Alle Daten werden gelöscht! (Factory Reset ist zwingend erforderlich.)

  • Anti-Rollback-Schutz: Moderne Geräte (z. B. FairPhone 4) haben Mechanismen, die ein Downgrade der Firmware verhindern. Falsche Schritte können das Gerät dauerhaft beschädigen!

  • Vorher informieren:

Falls du dir unsicher bist: Finger weg! Nur für fortgeschrittene Nutzer:innen, die die Risiken verstehen und bereit sind, ihr Gerät ggf. zu bricken!

Problem:

Unter offziellem /e/OS mit gesperrtem Bootloader funktioniert der Aufruf der TK-Ident-App für den Zugang zu TK-Safe/ePA (Elektronische Patientenakte) nicht korrekt:

  • Die TK-App kann die TK-Ident-App nicht aufrufen oder der Aufruf bricht ab.

  • Ursachen:

    • Fehlende Google Play Services (ersetzt durch microG).

    • SELinux-Restriktionen.

    • Inkonsistente App-Registrierung im Paketmanager.

    • App-Signaturen stimmen nicht überein (z. B. wenn eine App über den Play Store und die andere manuell installiert wurde).

    • User-Zuweisung: Die Logs zeigen, dass die Apps sich gegenseitig unter User 0 suchen, aber laut ADB nicht für User 0 installiert sind. Dies könnte ein Bug in der App-Installation über den /e/OS App Shop sein.

Lösung: Workaround für APKs (nur für TK-Safe/ePA-Zugang)

(Nur für offizielle /e/OS mit relocked Bootloader!)

Schritt 1: Beide Apps deinstallieren

bash

Kopieren

adb uninstall de.tk.tkapp adb uninstall de.tk.apps.android.tkident

(Alternativ: Deinstallation über die Einstellungen.)

Schritt 2: Offizielle APKs besorgen

  • Lade die APKs der TK-App und TK-Ident-App von einer vertrauenswürdigen Quelle herunter:

    • TK-App: de.tk.tkapp.apk

    • TK-Ident-App: de.tk.apps.android.tkident.apk

  • Wichtig: Beide APKs müssen aus derselben Quelle stammen (z. B. beide vom Play Store oder beide von APKMirror), um Signatur-Konflikte zu vermeiden.

Schritt 3: Apps über ADB installieren

  • TK-Ident-App installieren:

    bash

    Kopieren

    adb install de.tk.apps.android.tkident.apk

  • TK-App installieren:

    bash

    Kopieren

    adb install de.tk.tkapp.apk

Schritt 4: Cache/Daten löschen (optional)

Falls die Apps bereits installiert waren:

bash

Kopieren

adb shell pm clear de.tk.tkapp adb shell pm clear de.tk.apps.android.tkident

Schritt 5: Gerät neu starten

  • Starte dein Gerät neu, um sicherzustellen, dass alle Änderungen übernommen werden.

Schritt 6: Testen

  • Öffne die TK-App und rufe den Zugang zu TK-Safe/ePA auf.

  • Die TK-Ident-App sollte jetzt korrekt aufgerufen werden und der Zugang zur Elektronischen Patientenakte sollte funktionieren.

Wichtige Hinweise:

  • Nach der ADB-Installation können beide Apps problemlos über den /e/OS App Shop aktualisiert werden. Das Problem tritt nur auf, wenn die Apps initial über den /e/OS App Shop installiert werden.

  • Vermutung: Das Problem könnte mit der User-Zuweisung zusammenhängen. Die Logs zeigen, dass die Apps sich gegenseitig unter User 0 suchen, aber laut ADB nicht für User 0 installiert sind. Dies könnte ein Bug in der App-Installation über den /e/OS App Shop sein und wäre interessant für Entwickler:innen, um es genauer zu untersuchen.

Warum funktioniert das?

  • ADB-Installation stellt sicher, dass die Apps korrekt im Paketmanager registriert werden.

  • Inkonsistenzen (z. B. durch vorherige manuelle Installationen oder Updates) werden behoben.

  • SELinux-Blockaden oder fehlende Intent-Filter werden durch die saubere Neuinstallation umgangen.

  • Signatur-Konflikte werden vermieden, da beide Apps aus derselben Quelle stammen.

Fazit:

  • Ohne gesperrten Bootloader wird die TK-Ident-App geblockt!

  • Relocken des Bootloaders ist riskant! Informiere dich vorher gründlich und sichere alle Daten.

  • Funktioniert getestet auf einem relocked FairPhone 4 mit offiziellem /e/OS.

1 Like
2

Thanks for sharing this.

3

Danke!

Leider bin ich Laie und habe mir e/OS auf meinem FP4 selber installiert - das mit dem Bootloader traue ich mir nicht zu. Stattdessen gibt es aber auch die Möglichkeit, die TK ident App auf einem anderen Handy zu installieren. Ich habe es auf einem alten Handy mit Android installiert (die normale TK App geht da nicht mehr, aber TK Ident). (Auf meinem FP4 wird mir gesagt, dass die TKident App die sicherheitsstandards nicht erfüllt - also vermutlich aufgrund des unlocked Bootloader - wie oben beschrieben).

Im Anmeldeprozess in den TK safe wird man gebeten, sich mit TK-ident zu identifizieren (“Freigabe erforderlich”). Unten kann man auf “Zu TK-ident” klicken.

grafik
grafik591×1280 54.5 KB

Wenn ich das mache, werde ich in den Browser weitergeleitet auf diese Seite mit dem Namen “TK-Ident App fehlt auf dem Gerät” weitergeleitet. Dort kann man “Sie nutzen die TK-Ident App bereits auf einem anderen Gerät?” TK ident auf einem andern Gerät ausführen - also auf meinem HUAWAI. Dort wird die Anmeldeanfrage auch angezeigt, ich bestätige diesen, bekomme auf dem HUAWAI einen Freigabecode - den ich auf dem Fairphone eingebe (dort ist im Moment der Bestätigung das Feld im Browser weitergesprungen, sodass ich da einen Code eingeben kann - den gebe ich ein und es geht auf dem Fairphone im Browser weiter auf diese allgemeine Infoseite. Dort wird einem indirekt nahe gelegt, die TK app zu installieren - es ist quasi eine Sackgasse. Wenn ich jetzt auf dem Fairphone wieder in die App gehe, bin ich weiterhin auf dem “Warten auf Freigabe” (jetzt leicht anderer Name - aber quasi das selbe vom Anfang).

grafik
grafik591×1280 54.5 KB

Das ganze kann ich jetzt wieder von vorne starten, wenn ich unten auf “zu TK-ident” klicke.

Aus meinem Laien-Verständnis heraus würde ich sagen, dass die TK-App auf dem Fairphone irgendwie kein Signal bekommt, dass die Freigabe erfolgt ist (ob jetzt von der TK ident App auf dem Huawai oder dem Browser auf dem Fairphone). Der Browser, der sich öffnet, ist der Standardbrowser - ich habe es da sowohl mit meinem üblichen Browser “Firefo” als auch dem e/os werksmäßigen Browser versucht.

Bevor ich mich da jetzt reinfuchse, wie das mit ADB funktioniert - könnte es für mein Problem auch die Lösung sein oder ist das eher unwahrscheinlich?

(e/os V3.1.4 mit der aktuellsten Version der TK App (8.5.0)

4

Moin,

ich nehme folgendes an :slight_smile:

Wenn du den von der TK-Ident erzeugten sechstelligen Code auf dem Fairphone eingegeben hast und sowohl in der Ident App auf dem Huawei und auf dem Fairphone auf weiter/freigeben geklickt hast springt das Fairphone auf eine Webseite mit informationen zu TK Ident ?

Wenn das passiert, kann die App nicht in die aufzurufende App zurückspringen, in diesem Fall gibt es einen default-fallback und das ist diese webseite.

Wenn ich es richtig verstanden habe hat das was mit der Intent-Controll zu tun, die die App unter der UserID “0” sucht. Die app läuft aber auf dem Fairphone nicht mit dieser ID

Das hat wahrscheinlich mit einer abweichenden Implementierung von den originalen GMS und microG zu tun.

Der für dich sicherste Variante wäre die TK App vom Fairphone zu deinstallieren und dann per ADB vom PC aus zu installieren. Ist im Grunde nicht schwer wenn man sich mal eingelesen hat.

Dabei kann man auch nur wenig kaputtmachen. Wenn man das macht seinen die UserIDs richtig gesetzt zu sein.

Drücke die Daumen. ich finde e/OS ist es echt wert.

By the way: Unsere Politiker reden immer von “Digitaler Souveränität” .. Sie könnten damit anfangen das es vorgeschrieben wird, da essentielle Apps (Bank, Krankenkasse, Öffentliche Verwaltung) so designt sein müssen, das sie NICHT auf google oder Apple Dienste angewiesen sind

1 Like
5

Moin, danke für die schnelle Antwort!

Ja, also auf dem Huawai läuft TKident eifnach normal durch (dort scheint es abgeschlossen) - auf dem Fairphone geht es auf diese Seite hier weiter (der Link oben war irgendwie beschädigt, korrigere es sofort. Da geht es um die Installation der TK App (nicht der TK ident APP) - aber das ist vermutlich ja auch egal, was genau der Inhalt ist.

Ok, dann werde ich es mal in nächster Zeit versuchen und berichten!

Ja, das kann ich nur doppelt unterstreichen!

6

Bei mir funktioniert das Zusammenspiel von TK-App und TK-Ident-App (ganz normal über App Lounge installiert), nachdem ich in den Einstellungen der Apps unter „Standardmäßig öffnen“ die entsprechenden unterstützten Links aktiviert habe.

(/e/OS 3.1.4 official für SHIFTphone 8 mit geschlossenem Bootloader)

TK-Ident-Einstellungen
TK-Ident-Einstellungen1080×1857 92.8 KB

TK-Einstellungen
TK-Einstellungen1080×1862 89.4 KB

2 Likes
7

Sehr cool !!

Das macht es natürlich noch einfacher @joba , das könntest du ja mal aufprobieren bevor du die ADB sache machst

1 Like
8

Ja sehr cool, tausend Dank @rrunner64 & @bursus - es funktioniert tatsächlich auch bei mir (FP4 mit unlocked Bootloader –> TK ident auf einem anderen Gerät) - jetzt erkennt das FP4 die Freigabe durch die externe TK ident App!