Zitat geschrieben von Captain FRAG
Du hast dir die Frage selber beantwortet...
In dem Zitat steht eben NICHTS von einer RDH basierten Smartcard.. sie ist zwar an einigen Stellen als Interimslösung erwähnt, aber eben trotzdem offiziell nicht definiert.
Reden wir hier eigentlich aneinander vorbei?
Laut HBCI-Spezifikation des ZKA unterstützt HBCI zwei Verfahren:
1.) DDV = DES-DES-Verfahren
2.) RDH = RSA-DES-Hybridverfahren
Das erste basiert auf Symetrischer Verschlüsselung (DES-Algorithmus)
Das zweite ist ein Hybridverfahren aus Symetrischer und Asymetrischer Verschlüsselung (DES und RSA-Algorithmik).
Die Sicherheit beim DDV-Verfahren resultiert einzig und allein daraus, dass man den Schlüssel von der Bank über einen sicheren Kanal (Karte vom Bankmitarbeiter) ausgehändigt bekommt und der Schlüssel die Karte / den Kartenleser nicht verlassen kann.
Der Schlüsselaustausch bei RDH hat diesen Vorteil erstmal nicht. Dafür verwendet man aber ein Hybridverfahren und validiert den Austausch durch den Ini-Brief. Die Verschlüsselung an sich ist dabei auf jeden Fall besser. Der Nachteil ist, dass der Schlüssel auf dem Zielsystem über Würmer & Trojaner auslesbar ist. Dieses Problem haben wir aber voll im Griff, da der Schlüssel nicht auf der Festplatte abgelegt wird, sondern auf einem ausnehmbaren Wechseldatenträger und da wir außerdem ein virenfreies Betriebssystem verwenden. Dadurch entfallen die Kosten für Kartenleser, Chipkarte...
Zitat
Es wird nicht umsonst von einer RDH-Softwarelösung gesprochen, die Verschlüsselung der Daten erfolgt gemäß HBCI Standard ja in diesem Fall durch die Software und nicht über/innerhalb die Karte. Somit scheidet die RDH über Karte aus der Definition aus.
Selbstverständlich wird sie akzeptiert, das ist gar keine Frage.
Natürlich ist von keiner Smartcard die Rede und natürlich geht es in diesem Verfahren erstmal nur um eine Verschlüsselung durch eine Schlüsseldatei. RSA-Karten kommen erst in den späteren FINTS-Spezifikationen vor, sind aber ein anderer Versuch das Schlüsselauslesen zu verhindern.
Zitat
Es gibt auf der anderen Seite auch teilweise Probleme damit, weil eben nicht nur Karten eingesetzt wurden und werden die die Keys nur selber erzeugen (Blanko Karten), sondern bereits vorab damit ausgestattet sind. Folglich existieren diverse Versionen der RDH basierten Chipkarten, die längst nicht jede Software problemfrei ansprechen kann (VRNetworld Card, SEB HBCI Karte).
Noch dazu sind diese Karten sehr teuer.
Zitat
Das RDH Verfahren ist aus dem ELKO/BCS/FTAM Standard (ZKA: Datenfernübertragung mit Kunden) entnommen und war mal für Firmenkunden gedacht. Die Sache mit Schlüsselerzeugung, Hash-Wert Vergleich, INI-Brief Druck usw. ist für viele private einfach zu kompliziert. Zudem sind 768bit asymetrisch nicht mehr Stand der Dinge, was man bei ELKO/BCS bereits korrigiert hat.
Nach der ersten Einrichtung ist es aber deutlich anwenderfreundlicher als Chipkarte oder PIN/TAN. Bei der Chipkarte benötigt man zumindest einen Klasse 2 - Kartenleser mit Pinpad (Sonst ist das wieder ein Sicherheitsrisiko). Beim PIN/TAN hat man seine schlecht gedruckte TAN-Liste, die je nach Umgang schon nach einigen Monaten nicht mehr lesbar ist. Ist zwar bei mir immer noch gut lesbar, aber Tip meines Sparkassen-Service-Mitarbeiters war, ich solle mir diese Liste besser fotokopieren. Und auch die TAN-Pflege ist umständlich. Wenn man vergisst eine TAN zu streichen, dann gibt man die TAN dreimal falsch ein und das Konto ist gesperrt....
Und ein bestreben bei der Entwicklung von MoneyPenny ist es, diesen komplizierten Einrichtungsvorgang so einfach wie möglich zu machen. Theoretisch ist es doch sogar möglich, dass die Einrichtung zusammen mit dem Bankmitarbeiter direkt in der Bank durchgeführt wird.
Zitat
Hab nochmal drübergelesen, warscheinlich ging deine Frage doch eher in die Richtung RDH zusätzlich zur DDV Chipkarte und nicht warum überhaupt die DDV Chipkarte, das hatten wir ja schon.
Korrekt so?
korrekt
eine Spezifikation der Schnittstelle zwischen einem HBCI-Kundenprodukt und einer ZKA-Chipkarte. Zur Kommunikation zwischen dem Kundenprodukt und anderen Sicherheitsmedien (z.B. Diskette) finden sich grundlegende Vorgaben in den betreffenden Kapiteln."
und wer macht es anders 