GLS Bank falscher Hashwert

HBCI-Newcomer

Benutzer

Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 03 / 2016

Betreff:

GLS Bank falscher Hashwert

· Gepostet: 25.03.2016 - 20:12 Uhr · #1

Hi Leute!

In der aktuellen GnuCash Version kann man den Benutzernamen *nicht* freilassen beim Einrichten des HBCI PIN/Tan Assistenten. Sonst gibts kein "weiter"..
https://hbci-pintan.gad.de/cgi-bin/hbciservlet funktioniert im Vgl. zu dem akten hbci.gad.de aber ich bekomme einen völlig anderen als
Hashwert ("für das RDH-Verfahren 69 F2 B5 D0 A6 64 D5 2E F0 43 A0 35 4D BD 65 88 48 89 1A 1A 23 85 A1 B1 AE 55 00 8A 2F F4 99 9D").

Es wird schon Fiducia bla bla angegeben, aber der Hash beginnt mit 70:3C usw..

Was ist falsch? Ich will nicht bis Dienstag warten )-;

Danke und herzliche Grüße vom HBCI-Neuling

infoman

Benutzer

Geschlecht:
Beiträge: 6732
Dabei seit: 06 / 2008

Betreff:

Re: GLS Bank falscher Hashwert

· Gepostet: 25.03.2016 - 21:03 Uhr · #2

nach dieser Anleitung bist du vorgegangen?
http://vrkennung.de/aqfinance-pin-und-tan-einrichten/

//edit: Chipkarten-Hinweis (RDH-..) entfernt

HBCI-Newcomer

Benutzer

Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 03 / 2016

Betreff:

Re: GLS Bank falscher Hashwert

· Gepostet: 26.03.2016 - 00:05 Uhr · #3

Danke. Aber: ohne einen ganzen Satz (von Dir) verstehe ich die Antwort leider nicht )-:
Ich benutze das Pin/Tan-Verfahren..

HBCI-Newcomer

Benutzer

Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 03 / 2016

Betreff:

Re: GLS Bank falscher Hashwert

· Gepostet: 26.03.2016 - 08:26 Uhr · #4

Danke für Dein Edit. Ok, Benutzer gelöscht und nochmal genauso angelegt. Leider immernoch das "falsche" Zertifikat.

In der Anleitung heißt es: "AqFinance überträgt beim ersten Kontakt die Daten der BPD und zeigt ggf. ein unbekanntes Zertifikat an. Vergleichen Sie die Hashes ggf. mit den Infos auf der jew. Bankseiten (sofern angegeben) oder prüfen Sie das Zertifikat im Browser auf Gültigkeit." Es folgt ein Beispielbild mit einem ebenso falschen Hashwert. Danach steht nicht, was man machen soll, wenn es so ist !?

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8117
Dabei seit: 08 / 2002

Betreff:

Re: GLS Bank falscher Hashwert

· Gepostet: 26.03.2016 - 18:54 Uhr · #5

Ja, die Anleitung ist leider nicht aktuell, sorry. Man soll ihr aber auch eigentlich nicht trauen, also dem Zertifikat in der Anleitung, meine ich.
Sofern du deinem Browser traust, kannst du so vorgehen: Öffne https://hbci-pintan.gad.de/cgi-bin/hbciservlet im Browser und prüfe dort die Gültigkeit.
Der Fingerprint sollte mit dem der Software übereinstimmen.
Das FinTS/HBCI-PIN&TAN-Zertifikat des gad.de Servers wird am 04.04 wieder ausgetauscht werden, daher richte dich schon mal drauf ein, dass du dann erneut danach gefragt wirst.
Gruß
Raimund

HBCI-Newcomer

Benutzer

Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 03 / 2016

Betreff:

Re: GLS Bank falscher Hashwert

· Gepostet: 27.03.2016 - 09:19 Uhr · #6

Moin Ihr!
Fröhliche Ostern und so..

Zitat geschrieben von Raimund Sichmann

Sofern du deinem Browser traust, kannst du so vorgehen: Öffne https://hbci-pintan.gad.de/cgi-bin/hbciservlet im Browser und prüfe dort die Gültigkeit.
Der Fingerprint sollte mit dem der Software übereinstimmen.

Das klingt, als könnte man da etwas anderes sehen/lesen als "Dieser Server ist nur mit einem Kundenprodukt erreichbar!" !? Ich arbeite auf Mac mit Firewall und habe die URL unter FF und Safari gecheckt: nur dieser Satz..
Ist "Fingerprint" ein Synonym für Hashwert?

Zitat geschrieben von Raimund Sichmann

Das FinTS/HBCI-PIN&TAN-Zertifikat des gad.de Servers wird am 04.04 wieder ausgetauscht werden, daher richte dich schon mal drauf ein, dass du dann erneut danach gefragt wirst.

Das ist nicht schlimm. In der Zeit, in der ich nach diesem Hashwert-Problem gegoogelt habe, hätte ich 50 HBCI-Konten einrichten können /-;

Ist es wirklich so, dass man da keinen Brief und keine ini-Datei und bla (wie "früher"?!) mehr braucht? Ich wundere mich, weil andere Banken wie Sparda, DKB & Co auf ihren Websites gar keine Hashwerte veröffentlichen. Was ist eigentlich mit Kreditkartenumsätzen - kann man auch diese per HBCI einlesen lassen?

Vielleicht kann mir nochmal jemand auf die Spur helfen, ich habe das Gefühl irgendetwas Gerundsätzliches noch nicht geschnallt zu haben.

Herzliche Grüße!

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8117
Dabei seit: 08 / 2002

Betreff:

Re: GLS Bank falscher Hashwert

· Gepostet: 29.03.2016 - 08:18 Uhr · #7

Hallo Newcomer,
ja, "Fingerprint" kann man mit Hashwert gleichsetzen. Es ist ein Bild dafür, dass man nicht die gesamte Person finden muss, sondern nur den Fingerabdruck, um jemanden zu eindeutig als Täter zu identifizieren. Die Identität eines Servers prüft man dann auch nach dem mathematischen "Abdruck", eine Art Prüfsumme über den eigentlichen öffentlichen Schlüssel.
Da dein Browser den Schlüssel auf Gültigkeit prüfen kann, kannst du über die Browserverschlüsselung den Server prüfen. Dass die Anzeige "...Kundenprodukt..." kommt, ist normal, der Browser kann kein FinTS/HBCI. Es geht beim Browser auch nur um die Verschlüsselung, also um das "Schloss" und die Gültigkeit. Klicke auf das Schloss, dann rechts auf das > und lasse dich weiter zum Zertifikat führen.
Theoretisch könnte natürlich auch dein Gesamtsystem gehackt sein, das würde für Betrüger aber ziemlich Sinn machen, weil die Sicherheit über die TAN hergestellt wird.

Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.