hibiscus + parabola linux + cyberjack secoder + GLS Bank

 
Sedrunum
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 08 / 2015
Betreff:

hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 31.08.2015 - 02:29 Uhr  ·  #1
Hallo,
ich habe mich gerade hier im Forum registriert, da ich es nicht fertig bringe, eine GLS Bankkarte mit einem ReinerSCT Secoder unter Parabola Linux mit PCSC-Protokoll in hibiscus zum Laufen zu bringen.

Hibiscus liefert mir:
Code
[31.08.2015 02:15:51] Teste Sicherheits-Medium...
[31.08.2015 02:15:51]   activating progress monitor
[31.08.2015 02:15:51]   open ddv passport
[31.08.2015 02:15:51]     pcsc name: 
[31.08.2015 02:15:51]     soft pin: false
[31.08.2015 02:15:51]     entry index: 1
[31.08.2015 02:15:51]     passport type: DDVPCSC
[31.08.2015 02:15:51]   found card terminals:
[31.08.2015 02:15:51]     REINER SCT cyberJack ecom_a (0462638171) 00 00
[31.08.2015 02:15:51]    card type: T=1
[31.08.2015 02:15:51] Fehler beim Testen des Sicherheits-Mediums: Fehler 6A82: Datei wurde nicht gefunden
[31.08.2015 02:15:51]    using: org.kapott.hbci.smartcardio.DDVCardService1
[31.08.2015 02:15:51] Aufgetretene Fehlermeldungen:
[31.08.2015 02:15:51] -----------------------------
[31.08.2015 02:15:51]   querying features
[31.08.2015 02:15:51]   error while opening chipcard; nested exception is: 
[31.08.2015 02:15:51]    Fehler 6A82: Datei wurde nicht gefunden
[31.08.2015 02:15:51]     FEATURE_VERIFY_PIN_DIRECT: 42000db2
[31.08.2015 02:15:51]   Fehler 6A82: Datei wurde nicht gefunden
[31.08.2015 02:15:51] -----------------------------
[31.08.2015 02:15:51]     FEATURE_MODIFY_PIN_DIRECT: 42000db3
[31.08.2015 02:15:51]     FEATURE_MCT_READER_DIRECT: 42000db4
[31.08.2015 02:15:51]     FEATURE_MCT_UNIVERSAL: 42000db5
[31.08.2015 02:15:51]   test of passport failed: class org.kapott.hbci.exceptions.HBCI_Exception: Fehler 6A82: Datei wurde nicht gefunden


Den Index des HBCI-Zugangs schrittweise auf 4 zu erhöhen, habe ich bereits schon versucht.

'cyberjack check' liefert mir:
Code
Distribution: (unbekannt) (unbekannt) 
System: Linux, 4.1.6-gnu-201508181953-1-grsec-knock, #1 SMP PREEMPT Wed Aug 19 21:26:02 UYT 2015, x86_64
PC/SC Dienst gefunden.
PC/SC Interface
Leser REINER SCT cyberJack ecom_a (0462638171) 00 00 (vendorid="0c4b", productid="0400")
Ergebnis des Lesertests:
  PID        : 0400
  HW-Mask    : 00030301 ( ICC1 keypad display Firmwareupdate Sicherheitsmodule)
  Version    : 30
  HW-Version : ffffffff
  Flashsize  : 262144
  Heapsize   : 768
  Serialnum  : 0462638171
  Vendor     : REINER SCT
  Product    : cyberJack Secoder
  P-Date     : 01.01.2009 18:23
  T-Date     : 25.02.2015 10:36
  C-Date     : 19.08.2015 17:08
  COM-Type   : USB
  HW-String  : SEC_USB
Module 0 :
Module 1 :
  Description: :00/0000:00:14.0/usb4
Module 2 :
Module 3 :
  Version    : 1919fb98
  Revision   : 1008
Module 4 :
Module 5 :
Module 6 :
  Version    : 0
  Revision   : 6758208
Module 7 :
  Version    : 6500d8
  Revision   : 0
Module 8 :
Module 9 :
Module 10 :
Module 11 :
  Id         : 01000112
Module 12 :
  Id         : 3a30303a
  Version    : 2d322f31
Module 13 :
  Version    : 45564952
Module 14 :
  Id         : 00000000
Module 15 :
Module 16 :
Module 17 :
  Date       :                    
Module 18 :
Module 19 :
Module 20 :
Module 21 :
  Description: 
  Version    : 645c60
  Revision   : 0
  Date       :            #       
Module 22 :
Module 23 :
Module 24 :
Module 25 :
Module 26 :
Module 27 :
Module 28 :
Module 29 :
Module 30 :
Module 31 :
Module 32 :
Module 33 :
Module 34 :
Module 35 :
Module 36 :
Module 37 :
Module 38 :
Module 39 :
Module 40 :
Module 41 :
Module 42 :
Module 43 :
Module 44 :
Module 45 :
Module 46 :
Module 47 :
Module 48 :
Module 49 :
Module 50 :
Module 51 :
Module 52 :
Module 53 :
Module 54 :
Module 55 :
Module 56 :
Module 57 :
Module 58 :
Module 59 :
Module 60 :
Module 61 :
Module 62 :
Module 63 :
Module 64 :
Module 65 :
  Version    : 1
  Revision   : 0
Module 66 :
Module 67 :
  Version    : 30
  Revision   : 0
  Date       :         oot0      #
Module 68 :
Module 69 :
  Version    : 1919fcc8
Module 70 :
Module 71 :
  Description: �#
  Version    : 20
Module 72 :
Module 73 :
  Revision   : 0
Module 74 :
Module 75 :
  Description: �#
  Version    : 6477f8
  Date       :            #  ��#�#
Module 76 :
  Version    : 3f0
  Revision   : 399479616
Module 77 :
Module 78 :
  Version    : 0
  Revision   : 0
Module 79 :
Module 80 :
Module 81 :
Module 82 :
Module 83 :
  Id         : 006477f0
Module 84 :
  Id         : 00000000
  Variant    : 0
Module 85 :
  Description: 
  Version    : 6476d8
Module 86 :
  Version    : 0
  Revision   : 0
Module 87 :
  Description: 
  Version    : 0
  Date       :                    
Module 88 :
Module 89 :
  Description: 
  Date       :                    
Module 90 :
Module 91 :
  Description: �#
  Revision   : 0
Module 92 :
Module 93 :
Module 94 :
Module 95 :
Module 96 :
  Version    : 0
  Revision   : 0
Module 97 :
  Revision   : 0
  Date       :                  �c
Module 98 :
  Id         : 2f30303a
  Version    : 6273752f
  Variant    : 808464432
Module 99 :
  Description: 
  Version    : 2e313a36
Module 100 :
  Description: T=1d6b/2/401
TYPE=9/0/1
BUSNUM=003
D
  Id         : 54564544
  Version    : 440a6563
  Variant    : 1027952729
Module 101 :
  Description: 
  Revision   : 1667771753
  Variant    : 761488755
  Date       :                    
Module 102 :
Module 103 :
  Version    : 41
  Revision   : 0
Module 104 :
Module 105 :
  Id         : 6273752f
  Version    : 2e312d31
Module 106 :
Module 107 :
Module 108 :
Module 109 :
Module 110 :
Module 111 :
  Revision   : 0
Module 112 :
Module 113 :
  Version    : 6450c0
  Revision   : 0
Module 114 :
  Version    : 0
  Revision   : 6586848
Module 115 :
  Revision   : 0
Module 116 :
Module 117 :
  Date       :                   #
Module 118 :
Module 119 :
  Description: 
  Version    : 81
  Revision   : 0
  Date       :                  d
Module 120 :
Module 121 :
  Version    : 30
  Date       :                    
Module 122 :
Module 123 :
Module 124 :
  Id         : 00000000
  Variant    : 0
Module 125 :
  Description: 
  Date       :                  �c
Module 126 :
  Id         : 00000000
  Variant    : 6540592
Module 127 :
  Description: 
  Version    : 63b370
  Revision   : 0
  Date       :                  |d
Module 128 :
  Variant    : 6533552
Module 129 :
  Description: 
  Version    : 63cb70
  Revision   : 0
  Date       :                  �c
Module 130 :
  Variant    : 6585584
Module 131 :
  Description: 
  Version    : 0
Module 132 :
  Version    : 1b
  Variant    : 6540272
Module 133 :
  Description: 
  Date       :                  �b
Module 134 :
  Description: !
  Version    : 0
Module 135 :
  Description: �#
  Version    : 491
  Date       :                  �c
Module 136 :
Module 137 :
  Revision   : 0
Module 138 :
Module 139 :
Module 140 :
Module 141 :
  Version    : 6458e0
Module 142 :
Module 143 :
Module 144 :
Module 145 :
Module 146 :
Module 147 :
Module 148 :
  Id         : 00000000
  Version    : 0
  Revision   : 4112
  Variant    : 0
Module 149 :
Module 150 :
Module 151 :
Module 152 :
Module 153 :
Module 154 :
Module 155 :
  Revision   : 1008
Module 156 :
Module 157 :
  Revision   : 0
  Date       :                  ]d
Module 158 :
Module 159 :
Module 160 :
Module 161 :
  Date       :                    
Module 162 :
Module 163 :
  Date       :                  -e
Module 164 :
Module 165 :
  Description: 
  Revision   : 0
Module 166 :
  Id         : 00000000
  Version    : ffffffff
  Variant    : 6532624
Module 167 :
Module 168 :
Module 169 :
  Revision   : 0
Module 170 :
  Version    : 19
Module 171 :
  Revision   : 0
Module 172 :
Module 173 :
  Revision   : 0
  Date       :                  6d
Module 174 :
  Variant    : 6566656
Module 175 :
  Description: ���
Module 176 :
Module 177 :
  Version    : 362e31
Module 178 :
  Description: 
  Version    : 0
  Date       :                    
Module 179 :
Module 180 :
Module 181 :
Module 182 :
Module 183 :
Module 184 :
Module 185 :
Module 186 :
Module 187 :
Module 188 :
Module 189 :
Module 190 :
Module 191 :
Module 192 :
Module 193 :
Module 194 :
Module 195 :
Module 196 :
Module 197 :
Module 198 :
Module 199 :
Module 200 :
Module 201 :
Module 202 :
Module 203 :
Module 204 :
Module 205 :
Module 206 :
Module 207 :
Module 208 :
Module 209 :
Module 210 :
Module 211 :
Module 212 :
Module 213 :
Module 214 :
Module 215 :
Module 216 :
Module 217 :
Module 218 :
Module 219 :
Module 220 :
Module 221 :
Module 222 :
Module 223 :
Module 224 :
Module 225 :
Module 226 :
Module 227 :
  Description: 
  Id         : 78756e69
  Version    : 63616a72
  Revision   : 1869819499
  Variant    : 1651076143
Module 228 :
  Version    : 0
  Revision   : 6601776
Module 229 :
Module 230 :
  Version    : 3f0
  Revision   : 429853080
Module 231 :
Module 232 :
Module 233 :
  Id         : 0d696913
  Revision   : 1008
  Variant    : 0
  Date       :                    
Module 234 :
Module 235 :
Module 236 :
  Id         : 30303d4d
  Version    : 30303d0a
  Variant    : 1162086962
Module 237 :
Module 238 :
Module 239 :
Module 240 :
  Description: 
  Id         : 2d322f31
  Version    : 30
  Variant    : 792079921
Module 241 :
Module 242 :
Module 243 :
Module 244 :
Module 245 :
Module 246 :
Module 247 :
Module 248 :
Module 249 :
Module 250 :
Module 251 :
Module 252 :
Module 253 :
Module 254 :


Tut mir leid für die lange Ausgabe.

'pcsc_scan' zeigt diese Ergebnis an:
Code
PC/SC device scanner
V 1.4.23 (c) 2001-2011, Ludovic Rousseau <ludovic.rousseau@free.fr>
Compiled with PC/SC lite version: 1.8.12
#[35mUsing reader plug'n play mechanism#[0m
#[31mScanning present readers...#[0m
#[34m0: REINER SCT cyberJack ecom_a (0462638171) 00 00#[0m

Mon Aug 31 02:26:47 2015
Reader 0: #[35mREINER SCT cyberJack ecom_a (0462638171) 00 00#[0m
  Card state: #[31mCard inserted, #[0m
  ATR: #[35m3B FF 96 00 FF 81 31 FE 45 65 63 0D 11 78 01 56 00 1F 00 01 72 66 07 60 C5#[0m
ATR: 3B FF 96 00 FF 81 31 FE 45 65 63 0D 11 78 01 56 00 1F 00 01 72 66 07 60 C5
+ TS = 3B --> Direct Convention
+ T0 = FF, Y(1): 1111, K: 15 (historical bytes)
  TA(1) = 96 --> #[35mFi=512, Di=32, 16 cycles/ETU
    250000 bits/s at 4 MHz, fMax for Fi = 5 MHz => 312500 bits/s#[0m
  TB(1) = 00 --> #[35mVPP is not electrically connected#[0m
  TC(1) = FF --> #[35mExtra guard time: 255 (special value)#[0m
  TD(1) = 81 --> Y(i+1) = 1000,#[35m Protocol T = 1 #[0m
-----
  TD(2) = 31 --> Y(i+1) = 0011,#[35m Protocol T = 1 #[0m
-----
  TA(3) = FE --> #[35mIFSC: 254#[0m
  TB(3) = 45 --> #[35mBlock Waiting Integer: 4 - Character Waiting Integer: 5#[0m
+ Historical bytes: 65 63 0D 11 78 01 56 00 1F 00 01 72 66 07 60
  Category indicator byte: 65 (proprietary format)
+ TCK = C5 (correct checksum)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B FF 96 00 FF 81 31 FE 45 65 63 0D 11 78 01 56 00 1F 00 01 72 66 07 60 C5
3B FF .. 00 FF 81 31 .. 45 65 63 .. .. .. .. .. .. .. .. .. .. .. .. .. ..
#[34m  Debit card (Germany): ec-cash, GeldKarte(EUR), Maestro, Cirrus, ...#[0m


Vielen Dank im Voraus fürs Lesen und Gedanken machen. Konstruktive Lösungsvorschläge sind herzlichst willkommen. :-)
infoman
Benutzer
Avatar
Geschlecht:
Beiträge: 7428
Dabei seit: 06 / 2008
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 31.08.2015 - 05:26 Uhr  ·  #2
erlaub mir mal copy/Querverweis
Zitat geschrieben von Holger Fischer
Hibsicus unterstützt derzeit "nur" Karten mit einer DES Verschlüsselung. Diese werden -derzeit noch- bei den Sparkassen eingesetzt. Alle anderen Banken setzen auf RSA Verschlüsselung.

http://www.onlinebanking-forum.de/forum/topic.php?t=19215
Sedrunum
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 08 / 2015
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 31.08.2015 - 13:58 Uhr  ·  #3
Ok, danke.

Interessant, dass die GLS Bank auf ihrer Webseite hibiscus empfiehlt... Wahrscheinlich gehen die von einer Windows-Oberfläche aus.

Eine letzte kleine Frage: Welche freie-Software-Alternativen habe ich, die ich auch auf Linux nutzen könnte?
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7571
Dabei seit: 03 / 2007
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 31.08.2015 - 14:02 Uhr  ·  #4
Naja, nutzen kannst Du doch Hibiscus - nur eben via HBCI PIN/TAN...
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 31.08.2015 - 14:51 Uhr  ·  #5
Zitat geschrieben von Sedrunum

Interessant, dass die GLS Bank auf ihrer Webseite hibiscus empfiehlt... Wahrscheinlich gehen die von einer Windows-Oberfläche aus.

Hat nix mit Windows zu tun. hibiscus unterstützt auf keinem Betriebssystem derzeit eine RSA Chipkarte. Dieser Umstand ist auch ansonsten kein Widerspruch dazu, das Programm zu empfehlen.

Viele Grüße

Holger
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8262
Dabei seit: 08 / 2002
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 31.08.2015 - 18:55 Uhr  ·  #6
Zitat geschrieben von msa

Naja, nutzen kannst Du doch Hibiscus - nur eben via HBCI PIN/TAN...

und mit Signaturdatei.
Wo empfiehlt die GLS Bank denn ausdrücklich Hibiscus auf ihrer Webseite?
Gruß
Raimund
edit: Es gibt aktuell keine fertige open-source-Software, die RDH7/9 Karten beherrscht.
CBC
Benutzer
Avatar
Geschlecht:
Herkunft: Bonn
Homepage: viaembedded.com
Beiträge: 81
Dabei seit: 06 / 2015
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 31.08.2015 - 20:45 Uhr  ·  #7
Zitat geschrieben von Raimund Sichmann


edit: Es gibt aktuell keine fertige open-source-Software, die RDH7/9 Karten beherrscht.


Sicher? Ich war immer der Meinung AqBanking kann das, weil in den News von AqBanking 5.3 / 5.4 die Rede von RDH10 war ...

http://www.aquamaniac.de/sites/news/index.php
Sedrunum
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 08 / 2015
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 31.08.2015 - 21:06 Uhr  ·  #8
https://www.gls.de/privatkunde…verwenden/

Allerdings wird hier Hibiscus als Linux-Alternative für das bankeigene eBank-Programm empfohlen.

Soweit ich mich richtig informiert habe, entstand AqBanking aus OpenHBCI, welches bei seiner Kompatibilitätsliste die GLS Bank mit Schlüsseldatei (RDH) bzw. PIN/TAN als funktioniernde Verfahren auflistet:
http://linuxwiki.de/OpenHBCI/GetesteteBanken oder auch http://www.hbci-zka.de/institute/institut_detail.php

Da ich vermutlich überall auf unterschiedliches Feedback treffen werde, auch hier meine Frage: Ist das Nutzen einer Signaturdatei (RDH) mit dem gleichen Level an Sicherheit wie der Verwendung einer Signaturkarte verbunden?

Nochmals Danke für die vielen Antworten
Sedrunum
CBC
Benutzer
Avatar
Geschlecht:
Herkunft: Bonn
Homepage: viaembedded.com
Beiträge: 81
Dabei seit: 06 / 2015
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 31.08.2015 - 23:32 Uhr  ·  #9
Zitat geschrieben von Sedrunum



Da ich vermutlich überall auf unterschiedliches Feedback treffen werde, auch hier meine Frage: Ist das Nutzen einer Signaturdatei (RDH) mit dem gleichen Level an Sicherheit wie der Verwendung einer Signaturkarte verbunden?




Ein gutes Level an Sicherheit (bei richtiger Anwendung), allerdings nicht so gut wie eine Hardwarelösung, sprich Kartenleser mit mindestens Sicherheitsklasse 2.

Letzendlich haben Vorfälle aber auch bewiesen, dass es nicht nur auf die Technik ankommt, sondern Lücken im Prozess aisgenutzt wurden, siehe http://www.zeit.de/digital/dat…n-unsicher
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8262
Dabei seit: 08 / 2002
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 01.09.2015 - 07:00 Uhr  ·  #10
Die Unsicherheit des Datei-Verfahrens selbst liegt in der Kopierbarkeit der Schlüsseldatei und der Möglichkeit, das Passwort per Brute-Force zu knacken. Das Risiko dürfte unter Linux wesentlich kleiner sein als unter Windows oder auch auf Mac-Systemen.
Eine Linux-Software mit Chipkarten-Unterstützung ist Moneyplex von Matrica.
Gruß
Raimund
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 01.09.2015 - 09:21 Uhr  ·  #11
Die Schlüsseldateien sind kryptologisch so sicher wie die Chipkarte. Da der Angriff aber in der Regel immer auf die schwächste Komponente zielt, steht die Verschlüsselung auch nicht im Fokus eines Angriffs. Also muss man schauen, wo die Schwachstellen sind

Schlüsseldatei:
- Fehlende Visualisierung der Auftragsdaten, sprich du weißt gar nicht, welche - manipulierten- Daten Du frei gibst
- Sicherheitsmedien können unbemerkt kopiert werden

Chipkarte Klasse 1 Leser
- Fehlende Visualisierung der Auftragsdaten, sprich du weißt gar nicht, welche - manipulierten- Daten Du frei gibst
- Unsichere PIN Eingabe, sprich die PIN Eingabe kann mitgelesen werden und die Chipkarte kann so unbemerkt genutzt werden

Chipkarte Klasse 2 Leser
- Fehlende Visualisierung der Auftragsdaten, sprich du weißt gar nicht, welche - manipulierten- Daten Du frei gibst

Chipkarte mit Visualisierung im SECODER
Der zeit kryptolgisch und von den weiteren Rahmenbedingungen das sicherste Verfahren.

Nur die Chipkarte mit Visualisierung im SECODER ist sicherer als moderne TAN Verfahren.

Das alles gilt allgemein für das eigentliche Sicherheitsmedium. Dazu kommen andere Faktoren, wie Software vs Browser, Betriebssystemumgebung, Anwender uvm....
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10889
Dabei seit: 03 / 2005
Betreff:

Re: hibiscus + parabola linux + cyberjack secoder + GLS Bank

 ·  Gepostet: 03.09.2015 - 10:34 Uhr  ·  #12
Gewählte Zitate für Mehrfachzitierung:   0