Informationen zum chipTAN USB Verfahren - Reiner SCT

kostenpflichtiges Upgrade für cyberJack secoder / cyberJack RFID standard + komfort

 
Benutzer
Avatar
Geschlecht:
Beiträge: 6680
Dabei seit: 06 / 2008
Betreff:

Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 23.12.2017 - 14:28 Uhr  ·  #1
Kann ich meinen vorhandenen Chipkartenleser weiter verwenden?
Für chipTAN USB sind grundsätzlich folgende TAN-Generatoren bzw. Chipkartenleser von REINER SCT geeignet:
Zitat
- tanJack® Bluetooth
- tanJack® USB (ab März 2018 lieferbar)

- cyberJack® go plus
- cyberJack® one
- cyberJack® wave


Zitat
Für folgende Leser ist ein kostenpflichtiges chipTAN Software Upgrade erforderlich, da diese bislang noch kein TAN-Verfahren unterstützen:

- cyberJack® secoder
- cyberJack® RFID standard
- cyberJack® RFID komfort

Ein Leser-Upgrade auf chipTAN kostet 9,90 EUR inkl. MwSt. Die Abwicklung und die Lizenzierung erfolgt sofort online.


https://www.reiner-sct.com/upgrade

PDF: https://www.reiner-sct.com/ima…SB_1_1.pdf

Video: https://www.youtube.com/watch?…e=youtu.be
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 11
Dabei seit: 12 / 2016
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 25.12.2017 - 23:17 Uhr  ·  #2
Verstehe ich das richtig, meine HBCI Chipkarte wird 2021 obsolet und ich benötige dann meine Bankkarte, um TANs mit dem Cyberjack komfort zu generieren?
Das ganze betrifft aber nur Banking-Software? Im Online-Banking kann ich nach wie vor den optischen TAN-Generator benutzen?

Ab wann wird das ganze in Hibiscus nutzbar sein? Gibt es eine Übersicht, welche Banken etc. das Verfahren schon einsetzen?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8104
Dabei seit: 08 / 2002
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 26.12.2017 - 11:11 Uhr  ·  #3
Wie es wirklich in Zukunft weiter gehen wird und wie welche Bankengruppen die Vorgaben umsetzen werden ist noch nicht 100%ig sicher, aber die Änderungen betreffen nicht nur das Banking mit Zahlungsverkehrssoftware, sondern auch das Browserbanking.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 27.12.2017 - 09:28 Uhr  ·  #4
Da aus meiner Sicht, dass was Raimund da schreibt, Interpretationen offen lässt, die ggf. falsche Eindrücke erwecken können, mal ein paar konkretere Infos dazu:

Nach derzeitigem Stand steigen die Sparkassen (die und auch nur die) aus den signaturbasierten Verfahren aus.
Als Datum steht das Jahr 2021 im Raum. Dies hat den Hintergrund, dass mit der PSD 2 Anforderungen an die verwendete Kryptologie abgeleitet werden kann. Nach Interpretation müssen z.B. für Chipkarten, die nach 2021 ausgegeben werden, deutliche Änderungen vorgenommen werden. Das geht von einer "einfachen" Anhebung der Schlüssellänge, bis hin zur kompletten Umstellung der Kryptologie weg vom RSA Verfahren.

Das ChipTAN USB Verfahren als Solches gibt es gar nicht. Es ist das ChipTAN optic Verfahren, bei dem die Daten, mit der die Anwendung die Grafik erzeugt, "einfach" an den passenden Leser gesendet wird.
Chip TAN USB hat keinerlei Einfluss auf das Browserbanking (was nicht heißen soll, das das durch die Bank nichnt ermöglicht werden könnte)
Als Ersatz für die TAN Verfahren, ist ChipTAN USB deutlich komfortabler, als Ersatz für die Chipkarte aber nur sehr eingeschränkt zu gebrauchen (nur wenn die Anzeige im Secoder genutzt wird/werden muss merkt man keinen Unterschied).
Wer ein wenig versteht, wie ein Firmenkunde arbeitet und nicht der Illusion hinterher läuft, dass ein Firmenkunde alle seine Zahlungen zu einem Sammler zusammenfast, wird schnell emrken, dass das Verfahren für den Firmenkunden mit mehreren Zahlläufen völlig ungeeignet ist. Böse formuliert: Zurück zum HomeBankingComputerInterface...
Ob andere Banken(gruppen) dem folgen, oder die Sparkassen ihre Ausrichtung überdenken ist noch völlig offen.
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Homepage: ksit.de
Beiträge: 1345
Dabei seit: 11 / 2012
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 27.12.2017 - 22:14 Uhr  ·  #5
Was mir am ChipTAN - Verfahren nicht gefällt: Es reicht die Chipkarte, denn man muss keine PIN eingeben.

Aber zum Thema: Läuft das beim cyberJack® RFID komfort dann auch mit der tanJack easy - Software?
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7109
Dabei seit: 03 / 2007
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 28.12.2017 - 02:56 Uhr  ·  #6
Naja, immerhin musst Du noch die Banking-PIN eingeben...

Aber Du meinst wohl eine Karten-TAN-Generierungs-PIN. Lustigerweise könnten die Karten das, aber ich kenne keine Bank, die das Feature aktiviert hat. Man hält das für zu verwirrend für den Kunden. Wobei ich das gut nachvollziehen kann, das würde sicher wieder riesen zusätzlichen Supportaufwand erzeugen, weil die Kunden dann Karten-Zahlungs-PIN, Karten-TAN-Generierungs-PIN und Banking-Zugangs-PIN durcheinander werfen würden und damit sicher ständig alles sperren, was geht :-) Zumal zumindest ich es auch nervig finden würde, wenn man noch eine weitere PIN eingeben müsste.
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Homepage: ksit.de
Beiträge: 1345
Dabei seit: 11 / 2012
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 28.12.2017 - 10:23 Uhr  ·  #7
Jede EC - Karte hat doch eine PIN, warum wird diese nicht genutzt?
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7109
Dabei seit: 03 / 2007
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 28.12.2017 - 11:49 Uhr  ·  #8
Weil es eine andere Anwendung ist. Wobei man für verschiedene Anwendungen ja keine gleichen Passwörter verwenden soll. Aber das ist eh hinfällig, weil die Banken das Feature ja nicht nutzen.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.12.2017 - 09:10 Uhr  ·  #9
@Kalle:
Da ChipTAN USB nichts anderes ist als ChipTAN optic an einem USB Kabel funktioniert das bzgl der PIN auch genau so
Zitat geschrieben von msa

Aber das ist eh hinfällig, weil die Banken das Feature ja nicht nutzen.

Nutzen ist das richtige Wort. Unterstützen tun die das durchaus. Als die Volksbanken und Raiffeisenbanken das Verfahren damals eingeführt haben, gab es bei den Lesern von Reiner SCT auch immer eine Anleitung mit, wie man die PIN aktiviert. Genau aus den von Dir zitierten Gründen hat man davon aber schnell Abstand genommen.
Aber mit PSD 2 ist das wieder ein Thema. Aktuell mit der Problematik, dass dann zu jedem Auftrag die PIN eingegeben werden müsste.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Beiträge: 6680
Dabei seit: 06 / 2008
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.12.2017 - 09:50 Uhr  ·  #10
normalerweise sollte es bei dem Thread ja um die o.g. Firma gehen und den Hinweis auf das mögliche Upgrade = TAN-Generator

verbunden mit Erfahrungen bspw.

- schnelles problemloses Upgrade
- Probleme, wenn ja welche
Zitat
Nach Rückmeldung von Reiner-SCT meldet sich der Kartenleser seit dem Update an Secoder 3 Leser, was in Starmoney aktuell nicht ausgewertet wird (Es wird nur abgefragt "= Secoder 2" und nicht nach einem ">=Secoder 2".Quelle


sowie evtl. Lösungs-Ansatz (pro forma zurück auf Base-Komponenten 7.4.7)
bzw. an die Entwickler&Co. (@Holger) der Hinweis die Software zur prüfen, ob nicht nur SM das Problem hat mit der neuen Hardware-Bezeichnung, bevor hier der Support in den nächsten Wochen strapaziert wird.


Zitat geschrieben von Holger Fischer
Nach derzeitigem Stand steigen die Sparkassen (die und auch nur die) aus den signaturbasierten Verfahren aus.
Als Datum steht das Jahr 2021 im Raum. Dies hat den Hintergrund, dass mit der PSD 2 Anforderungen an die verwendete Kryptologie abgeleitet werden kann. Nach Interpretation müssen z.B. für Chipkarten, die nach 2021 ausgegeben werden, deutliche Änderungen vorgenommen werden. Das geht von einer "einfachen" Anhebung der Schlüssellänge, bis hin zur kompletten Umstellung der Kryptologie weg vom RSA Verfahren.

was ich an der Aussage nicht verstehe, was hat die "Technik" mit der starken Authentifizierung, welche bei PSD2 gefordert wird zu tun?
Ich hatte dies bisher so verstanden, dass bspw. die signaturbasierten Verfahren, ogal ob Chip und/oder Datei deshalb abgeschafft werden, da die Daten auf einem Display nicht separat zur Prüfung und Bestätigung ausgegeben werden/wurden.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.12.2017 - 10:45 Uhr  ·  #11
Zitat geschrieben von infoman

Zitat geschrieben von Holger Fischer
Nach derzeitigem Stand steigen die Sparkassen (die und auch nur die) aus den signaturbasierten Verfahren aus.
Als Datum steht das Jahr 2021 im Raum. Dies hat den Hintergrund, dass mit der PSD 2 Anforderungen an die verwendete Kryptologie abgeleitet werden kann. Nach Interpretation müssen z.B. für Chipkarten, die nach 2021 ausgegeben werden, deutliche Änderungen vorgenommen werden. Das geht von einer "einfachen" Anhebung der Schlüssellänge, bis hin zur kompletten Umstellung der Kryptologie weg vom RSA Verfahren.

was ich an der Aussage nicht verstehe, was hat die "Technik" mit der starken Authentifizierung, welche bei PSD2 gefordert wird zu tun?

Die Technik hat nichts mit der starken Kundenauthentifikation zu tun. Aber in der PSD gibt es auch andere Vorgaben, aus denen man ableiten kann, das bei den Signaturverfahren diverse Änderungen notwendig sein werden

Zitat geschrieben von infoman

Ich hatte dies bisher so verstanden, dass bspw. die signaturbasierten Verfahren, ogal ob Chip und/oder Datei deshalb abgeschafft werden, da die Daten auf einem Display nicht separat zur Prüfung und Bestätigung ausgegeben werden/wurden.

Damit hat das nichts zu tun. Die Chipkarte kann im Secoder visualisieren (können z.B. die Sparkassen). Dazu kommt, dass es gar nicht klar ist, ob eine Visualisierung in einem zweiten Gerät zwingend erforderlich ist. Da gäbe es auch andere Alternativen. Wenn das anders wäre, müsste EBICS auf ein TAN basiertes Verfahren umstellen.....
Aber auch wenn, gibt es im §17 die Option für Nichtverbraucher eine Ausnahmeregelung zu erwirken, bei der sowohl Schlüsseldatei weiter nutzbar wäre, wie auch das Thema Visualisierung nicht mehr notwenidg ist.

Das Thema Visualisierung ist ansonsten das meist unterschätze Problem für einen Firmenkunden, wenn dieser nicht alle Aufträge nur in einem oder vielleicht zwei Sammelrn versendet.

Viele Grüße

Holger
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7109
Dabei seit: 03 / 2007
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.12.2017 - 11:51 Uhr  ·  #12
Hm, das mit der Anleitung zur Inbetriebnahme einer PIN für ChipTAN kenne ich auch noch. Aber das heißt ja wohl nicht, dass ich als Kunde das einfach so machen könnte!? Ich erinnere mich, dass ich irgendwo gelesen hatte, dass bei aktivierter PIN eine ANDERE TAN rauskommt als bei nicht aktivierter PIN. Sprich, dass der Bankrechner von der Aktivierung wohl wissen muss, bzw. drauf eingehen und die "andere TAN" als gültig ansehen muss!?
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.12.2017 - 12:17 Uhr  ·  #13
Zitat geschrieben von msa

Aber das heißt ja wohl nicht, dass ich als Kunde das einfach so machen könnte!?

Doch, genau d.h. das und genau das war auch das Problem

Zitat geschrieben von msa

Ich erinnere mich, dass ich irgendwo gelesen hatte, dass bei aktivierter PIN eine ANDERE TAN rauskommt als bei nicht aktivierter PIN. Sprich, dass der Bankrechner von der Aktivierung wohl wissen muss, bzw. drauf eingehen und die "andere TAN" als gültig ansehen muss!?

Exakt, die TAN ändert sich sobald eine PIN genutzt wird. Zumindest bei den Volksbanken und Raiffeisenbanken der GAD hatte das mal so funktioniert.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 12 / 2006
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.12.2017 - 13:57 Uhr  ·  #14
Zitat geschrieben von Holger Fischer

Die Technik hat nichts mit der starken Kundenauthentifikation zu tun. Aber in der PSD gibt es auch andere Vorgaben, aus denen man ableiten kann, das bei den Signaturverfahren diverse Änderungen notwendig sein werden


Das lese ich zum ersten Mal. Über bestimmte Anforderungen was die Signaturverfahren angeht, habe ich in der PSD2 bisher nichts gelesen. Würde mich auch sehr wundern, weil die sich lieber schwammig halten und keine bestimmten technischen Standards da verlangen.

Zitat

Damit hat das nichts zu tun. Die Chipkarte kann im Secoder visualisieren (können z.B. die Sparkassen). Dazu kommt, dass es gar nicht klar ist, ob eine Visualisierung in einem zweiten Gerät zwingend erforderlich ist. Da gäbe es auch andere Alternativen. Wenn das anders wäre, müsste EBICS auf ein TAN basiertes Verfahren umstellen.....
Aber auch wenn, gibt es im §17 die Option für Nichtverbraucher eine Ausnahmeregelung zu erwirken, bei der sowohl Schlüsseldatei weiter nutzbar wäre, wie auch das Thema Visualisierung nicht mehr notwenidg ist.


Eigentlich sollte es genau damit was zu tun haben. Die Haspa begründet die Änderung auch mit der fehlenden Möglichkeit die Daten abzugleichen. Die PSD2 verlangt zumindest, dass die Aufträge an den Empfänger und den Betrag gebunden sind. Bzw. dies zumindest sichergestellt sein muss. Ob das natürlich jetzt umbedingt irgendwo visualisiert werden muss, sei mal so dahingestellt. Wird aber von den meisten Leuten so ausgelegt. Bisher kann man wohl bei den Sparkassen/Haspa auch einfach mehrere Aufträge mit einer PIN freigeben, genauso das entspricht nicht den PSD Anforderungen. Und bevor man da jetzt auf eine qualifizierte elektronische Signatur geht und die Leute damit rumhantieren lässt, stellt man die Sache lieber ganz ein oder geht auf sowas wie chipTAN USB was relativ "idiotensicher" ist.

Und Signaturdateien über HBCI sind eigentlich schon seit der MASI nicht mehr zulässig da ein Faktor der kopierbar ist. Allerdings hatte die BAFIN auch Finanzsoftware extra von diesen Richtlinien ausgenommen, dies geht aber eben aus der PSD2 nicht mehr hervor.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.12.2017 - 15:40 Uhr  ·  #15
Zitat geschrieben von B.N.

Zitat geschrieben von Holger Fischer

Die Technik hat nichts mit der starken Kundenauthentifikation zu tun. Aber in der PSD gibt es auch andere Vorgaben, aus denen man ableiten kann, das bei den Signaturverfahren diverse Änderungen notwendig sein werden


Das lese ich zum ersten Mal. Über bestimmte Anforderungen was die Signaturverfahren angeht, habe ich in der PSD2 bisher nichts gelesen. Würde mich auch sehr wundern, weil die sich lieber schwammig halten und keine bestimmten technischen Standards da verlangen.

Deine Einschätzung zu den konkreten Technik Vorgaben ist schon richtig. Aber es steht an diversen Stellen etwas drinn über geeignete Algorithmen, Schlüssellängen usw..dass diese dem aktuellen Stand entsprechen müssen und dass das überprüfbar sein muss. In Deutschland gibt es z.B. von der Bundesnetzagentur jährlich ein Algorithmenkatalog, mit einem Ausblick welche Verfahren, Schlüssellängen als sicher angessehen werden.
Daraus kann man ableiten, dass man nach 2021 beim RSA Verfahren Schlüssellängen ab 3000 Bit benötigt und das DES Verfahren obsolet ist.

Zitat geschrieben von Holger Fischer

Damit hat das nichts zu tun. Die Chipkarte kann im Secoder visualisieren (können z.B. die Sparkassen). Dazu kommt, dass es gar nicht klar ist, ob eine Visualisierung in einem zweiten Gerät zwingend erforderlich ist. Da gäbe es auch andere Alternativen. Wenn das anders wäre, müsste EBICS auf ein TAN basiertes Verfahren umstellen.....
Aber auch wenn, gibt es im §17 die Option für Nichtverbraucher eine Ausnahmeregelung zu erwirken, bei der sowohl Schlüsseldatei weiter nutzbar wäre, wie auch das Thema Visualisierung nicht mehr notwenidg ist.

Zitat geschrieben von B.N.

Eigentlich sollte es genau damit was zu tun haben. Die Haspa begründet die Änderung auch mit der fehlenden Möglichkeit die Daten abzugleichen. Die PSD2 verlangt zumindest, dass die Aufträge an den Empfänger und den Betrag gebunden sind. Bzw. dies zumindest sichergestellt sein muss.

Alle signaturbasierten Verfahren, bringen die Daten des Auftrags mit in die Signatur, sind somit daran gebunden.

Zitat geschrieben von B.N.

Ob das natürlich jetzt umbedingt irgendwo visualisiert werden muss, sei mal so dahingestellt. Wird aber von den meisten Leuten so ausgelegt.

Im RTS wird auch verlangt, dass der Anwender jederzeit sehen muss, was er da gerade frei gibt. Hier gibt es einen Interpretationsspielraum bzgl sichere und authentishce Anzeige. In welche Richtung die Interpretation läuft ist noch offen.

Zitat geschrieben von B.N.

Bisher kann man wohl bei den Sparkassen/Haspa auch einfach mehrere Aufträge mit einer PIN freigeben, genauso das entspricht nicht den PSD Anforderungen.

Die Aussage ist falsch. Das kann man auch sehr schön daran sehen, dass das ChipTAN Verfahren für die Chip PIN, so umgeändert werden soll, dass das wie bei der Signaturkarte mit einer Session PIN funktioniert.

Zitat geschrieben von B.N.

Und bevor man da jetzt auf eine qualifizierte elektronische Signatur geht und die Leute damit rumhantieren lässt, stellt man die Sache lieber ganz ein oder geht auf sowas wie chipTAN USB was relativ "idiotensicher" ist.

Die qualifizierte Signatur ist gar nicht gefragt und hätte im Handling die gleichen Anforderungen wie die fortgeschrittene Signatur. ChipTAN USB ist für den Privatkunden oder für Kunden, die nur vereinzelt Aufträge freigeben eine sehr komfortable Alternative zu den anderen ChipTAN Verfahren und zum Chipkartenverfahren mit Secoder Visualisieurng, aber völlig unbrauchbar für den Firmenkunden.

Zitat geschrieben von B.N.

Und Signaturdateien über HBCI sind eigentlich schon seit der MASI nicht mehr zulässig da ein Faktor der kopierbar ist. Allerdings hatte die BAFIN auch Finanzsoftware extra von diesen Richtlinien ausgenommen, dies geht aber eben aus der PSD2 nicht mehr hervor.

Das ist falsch. Die starke Kundenauthentifizierung war in der MaSI nie gefordert. Lediglich die BaFin ist in den ersten Entwürfen weit über dem hinaus gegenangen, was auf europäischer Ebene gefordert war. Die BaFin hat dann da auch nichts extra rausgenommen, sondern ist zurück auf den Anforderungen auf europäischer Ebene gegangen.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8104
Dabei seit: 08 / 2002
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.12.2017 - 17:33 Uhr  ·  #16
Zitat geschrieben von Holger Fischer
In Deutschland gibt es z.B. von der Bundesnetzagentur jährlich ein Algorithmenkatalog, mit einem Ausblick welche Verfahren, Schlüssellängen als sicher angessehen werden.

oh, ich dachte, bisher dahinter stecke das BSI.
Danke für den ausführlichen Thead, sehr aufschlussreich und faszinierend, dass du das alles im Kopf behältst, Holger (gehe ich jedenfalls von aus).
Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 12 / 2006
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 30.12.2017 - 04:45 Uhr  ·  #17
Zitat geschrieben von Holger Fischer

Deine Einschätzung zu den konkreten Technik Vorgaben ist schon richtig. Aber es steht an diversen Stellen etwas drinn über geeignete Algorithmen, Schlüssellängen usw..dass diese dem aktuellen Stand entsprechen müssen und dass das überprüfbar sein muss.


Wo? Würde mich echt interessieren, habs nicht in der PSD2 gefunden. Da steht nichts über geeignete Schlüssellängen. Ich bezweifele auch, dass die die sich zu so konkreten Dingen irgendwo geäußert hätten. Das widerspricht auch den ansonsten...naja...sagen wir eher sehr unterschiedlich auslegbaren Dingen in der PSD2.

Zitat

In Deutschland gibt es z.B. von der Bundesnetzagentur jährlich ein Algorithmenkatalog, mit einem Ausblick welche Verfahren, Schlüssellängen als sicher angessehen werden.
Daraus kann man ableiten, dass man nach 2021 beim RSA Verfahren Schlüssellängen ab 3000 Bit benötigt und das DES Verfahren obsolet ist.


Das ist halt aber was anderes. Das was die Bundesnetzagentur veröffentlicht und was nicht mag zwar sinnvoll sein, spielt aber in der Regolatorik keine Rolle.

Zitat

Alle signaturbasierten Verfahren, bringen die Daten des Auftrags mit in die Signatur, sind somit daran gebunden.


Und da sind wir wieder beim Problem mit der Auslegung. Reicht es wenn das irgendwo in der Signatur erfasst ist oder muss ich das als Nutzer überprüfen können? Das ist bei einfachen Schlüsseldateien zumindest nicht der Fall.

Zitat

Die Aussage ist falsch. Das kann man auch sehr schön daran sehen, dass das ChipTAN Verfahren für die Chip PIN, so umgeändert werden soll, dass das wie bei der Signaturkarte mit einer Session PIN funktioniert.


Okay, verstehe ich nicht ehrlich gesagt. Was ist ein chipTAN Verfahren für eine Chip PIN?

Zitat

Die qualifizierte Signatur ist gar nicht gefragt und hätte im Handling die gleichen Anforderungen wie die fortgeschrittene Signatur. ChipTAN USB ist für den Privatkunden oder für Kunden, die nur vereinzelt Aufträge freigeben eine sehr komfortable Alternative zu den anderen ChipTAN Verfahren und zum Chipkartenverfahren mit Secoder Visualisieurng, aber völlig unbrauchbar für den Firmenkunden.


Ich gehe davon aus das Firmenkunden, also die die wirklich viel Buchungen da verwenden, sowieso EBICS benutzen. Alles andere macht fast keinen Sinn. Die Argumentation bez. der qualifiziertem Signatur, kommt übrigens von der HASPA. Siehe zb. hier:

https://www.starmoney.de/forum/viewtopic.php?t=38879

Zitat

Das ist falsch. Die starke Kundenauthentifizierung war in der MaSI nie gefordert. Lediglich die BaFin ist in den ersten Entwürfen weit über dem hinaus gegenangen, was auf europäischer Ebene gefordert war. Die BaFin hat dann da auch nichts extra rausgenommen, sondern ist zurück auf den Anforderungen auf europäischer Ebene gegangen.


Doch war sie. Die MaSI kam quasi der PSD2 vorraus bzw hat Teile 1:1 aus den früheren Versionen der PSD2 übernommen. Das wirkte ein bischen so, als wollten die der EBA zuvorkommen. Die BAFIN hat da auch ganz klar Bereiche ausgenommen, ich habe zumindest nirgendwo in der PSD2 was zum Thema Finanzprogramme gelesen. Die BAFIN war da bez. der MaSI schon genauer. Gibt sogar ein Merkblatt weil überall stand "sollte" und alleine das schon niemand wirklich verstanden hat:

https://www.bafin.de/SharedDoc…04_ba.html


2e) Inwieweit sind Zahlungen über Finanzverwaltungsprogramme betroffen?

Die MaSI beziehen sich auf die Kommunikation zwischen einem Web-Server und
einem Kunden-Browser (browsergestütztes Online-Banking). Folglich sind Zahlungen
mittels vom Kunden eingesetzter Online-Banking-Softwareprodukte, die über
den FinTS- oder EBICS-Standard mit dem Kreditinstitut kommunizieren, nicht von
den MaSI erfasst. Allerdings sind die Institute bereits auf Grundlage der MaRisk
verpflichtet, Risikoanalysen für die angebotenen Dienste zu erstellen, auch wenn
diese nicht direkt in den Anwendungsbereich der MaSI fallen.


Ergo könnte man alles was in der MaSI steht bei HBCI und EBICS ignorieren. Aber ganz ehrlich, so wirklich 100% schaut da glaube ich keiner durch. Deshalb gehen die Banken den sicheren Weg und beschneiden alle Wege, weil Prüfer das ansonsten sowieso bemängeln würden und man kein Risiko eingehen möchte.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 02.01.2018 - 11:08 Uhr  ·  #18
Zitat geschrieben von Holger Fischer

Deine Einschätzung zu den konkreten Technik Vorgaben ist schon richtig. Aber es steht an diversen Stellen etwas drinn über geeignete Algorithmen, Schlüssellängen usw..dass diese dem aktuellen Stand entsprechen müssen und dass das überprüfbar sein muss.

Zitat geschrieben von B.N.

Wo? Würde mich echt interessieren, habs nicht in der PSD2 gefunden. Da steht nichts über geeignete Schlüssellängen. Ich bezweifele auch, dass die die sich zu so konkreten Dingen irgendwo geäußert hätten.

RTS vom 27.11.2017:
Seite 6, Punkt 6: …wie Algorytmusspezifikationen, Schlüssellängen und Informationsentropie….. Ähnliches unter Punkt 2
Ansonsten ist das schon richtig was Du sagst, die PSD/2 und auch der RTS macht nur in Ausnahmefällen konkrete technische Vorgaben oder Forderungen. Aber auch abstrakte Forderungen nach „Sicherheit entspricht dem aktuellen Stand“, lassen sich entsprechend auslegen.
So geschieht das eben derzeit auch in Deutschland.
Zitat

In Deutschland gibt es z.B. von der Bundesnetzagentur jährlich ein Algorithmenkatalog, mit einem Ausblick welche Verfahren, Schlüssellängen als sicher angessehen werden.
Daraus kann man ableiten, dass man nach 2021 beim RSA Verfahren Schlüssellängen ab 3000 Bit benötigt und das DES Verfahren obsolet ist.

Zitat geschrieben von B.N.

Das ist halt aber was anderes. Das was die Bundesnetzagentur veröffentlicht und was nicht mag zwar sinnvoll sein, spielt aber in der Regolatorik keine Rolle.

Ganz so simpel ist das nicht. Wenn gefordert wird, das aktuelle Kryptologietechnologien verwendet werden müssen, muss man sich auf irgendwas beziehen. In Deutschland ist es eben dieser Katalog, der in der Regel als Referenz herhält (es gibt auch seitens der DK einen entsprechenden Katalog, der aber keine großen Abweichungen zum Katalog der Netzagentur enthält.). Die Regulatorik als hoheitliche Aufgabe wird das Rad nicht neu erfinden und vermutlich eher auf bestehende, akzeptierte Ausarbeitungen zurückgreifen. Möchte man diesen nicht folgen, muss man sich schon sehr gut positionieren, um das entsprechend argumentieren zu können.

Zitat

Alle signaturbasierten Verfahren, bringen die Daten des Auftrags mit in die Signatur, sind somit daran gebunden.

Zitat geschrieben von B.N.

Und da sind wir wieder beim Problem mit der Auslegung. Reicht es wenn das irgendwo in der Signatur erfasst ist oder muss ich das als Nutzer überprüfen können? Das ist bei einfachen Schlüsseldateien zumindest nicht der Fall.

Du mischst zwei Anforderungen. Das eine ist das Thema, das in die Absicherung einer Transaktion mindestens der Betrag und Empfänger einfließen müssen (das ist bei der Signatur der Fall), das Andere ist das Thema, dass dem Auftraggeber die Daten vorher angezeigt werden müssen.
Beide Dinge werden von denen, die das interpretieren müssen, nicht in Frage gestellt.
Wo es derzeit großen Interpretationsraum gibt, ist das Thema, wie diese Anzeige erfolgen muss.
Das reicht von der Möglichkeit einer Anzeige in einer Software, diese in einer gesicherten Variante (wie immer man das „gesicherte“ nachweisen können soll/muss), bis hin zum zusätzlichen Gerät.
Zur Schlüsseldatei, schreibe ich am Ende noch was.

Zitat geschrieben von B.N.

Was ist ein chipTAN Verfahren für eine Chip PIN?

Sorry, da ich keinen passenden Namen für die PIN kenne, habe ich die einfach so genannt. Gemeint ist die derzeit noch optionale PIN, für das ChipTAN Verfahren (egal welche Variante). Nach aktuellem Stand, sieht es so aus, dass die DK davon ausgeht, dass die PIN Eingabe beim ChipTAN Verfahren künftig aktiv sein wird. Würde ohne Session Pin bedeuten: Für jede Transaktion die PIN eingeben.
Zitat

.....ChipTAN USB ist für den Privatkunden oder für Kunden, die nur vereinzelt Aufträge freigeben eine sehr komfortable Alternative zu den anderen ChipTAN Verfahren und zum Chipkartenverfahren mit Secoder Visualisieurng, aber völlig unbrauchbar für den Firmenkunden.

Zitat geschrieben von B.N.

Ich gehe davon aus das Firmenkunden, also die die wirklich viel Buchungen da verwenden, sowieso EBICS benutzen. Alles andere macht fast keinen Sinn.

Die PSD /2 gilt 1:1 auch für EBICS. Wenn es keine Ausnahmeregelung gibt (Kapitel III Artikel 17 des RTS), gelten alle Vorgaben auch für EBICS (mit entsprechenden Auswirkungen für die Schlüsseldatei)
Das mit den vielen Buchungen ist bzgl. den Auswirkungen sehr relativ.
Die Visualisierung in ChipTAN USB bedeutet das (gemäß Spezifikation) mindestens drei Datenelemente je Auftrag (wobei ein Sammler als ein Auftrag zählt) angezeigt und bestätigt werden müssen.
Bei 3 Aufträgen bedeutet das, mindestens 3 x 3 Datenelemente anzeigen und mit OK bestätigen, sprich 9 x OK drücken.
Eine kleine Hausverwaltung mit 10 Mietkonten, würde an dieser Stelle für den monatlichen Einzug 10 x 3 = 30 x Daten kontrollieren und mit OK bestätigen.
Das 3 x bestätigen je Auftrag, ist übrigens als Mindestanzahl zu sehen. Aktuell müsste man bei ChipTAN USB in der Regel mindestens 5 x kontrollieren und bestätigen.
Das bedeutet, das für jeden Kunden, der bereits heute aus Praxisgründen kein TAN Verfahren verwendet, ist mit der PSD/2 FinTS ohne Signaturkarte und eine Visualisierung außerhalb des Kartenlesers unbrauchbar.
D.h. in dem Fall kommen auf die Banken in den kommenden 18 Monaten richtig Arbeit zu….

Zitat

Die starke Kundenauthentifizierung war in der MaSI nie gefordert


Zitat geschrieben von B.N.

Doch war sie. Die MaSI kam quasi der PSD2 vorraus bzw hat Teile 1:1 aus den früheren Versionen der PSD2 übernommen.

Um das Ganze zu präzisieren.
Die Vorgaben der MaSI auf europäischer Ebene enthielten keine Verpflichtung zur straken Kundenauthentifizierung, aber sehr wohl Empfehlungen und es war auch klar, dass diese mit der anstehenden PSD / 2 geplant waren.
Jede nationale Aufsichtsbehörde, musste die Vorgaben der EBA in nationale Vorgaben überführen. Die BaFin, hat bis zum letzten Entwurf vor der finalen Version in der Tat auch die starke Kundenauthentifizierung gefordert gehabt.
Die dann veröffentlichte finale Version (ich meine Ende September wäre das gewesen) ist dann im Wesentlichen zurück auf die Forderungen der EBA zurückgesetzt worden und enthielt keine Verpflichtung mehr zur starken Kundenauthentifizierung.

Zitat geschrieben von B.N.

Das wirkte ein bischen so, als wollten die der EBA zuvorkommen. Die BAFIN hat da auch ganz klar Bereiche ausgenommen, ich habe zumindest nirgendwo in der PSD2 was zum Thema Finanzprogramme gelesen. Die BAFIN war da bez. der MaSI schon genauer. Gibt sogar ein Merkblatt weil überall stand "sollte" und alleine das schon niemand wirklich verstanden hat:

Ja, die BaFin ist da in der Tat voran geprescht…..
Die BaFin selber war aber keineswegs genauer. Die von Dir zitierte FAQ ist in Zusammenarbeit mit der DK und diversen Industrie- und Verbraucherverbänden entstanden, um Klarheit in diversen Fragestellungen zu bekommen. Diese FAQ ist nicht die MaSI.

Zurück zum Thema Schlüsseldatei:
Die Visualisierung der Auftragsdaten ist nicht das Todesurteil für die Schlüsseldatei, sondern die starke Kundenauthentifizierung.
Diese fordert
1) mindestens zwei Faktoren der Kategorie Besitz, Wissen oder Inhärenz (Biometrische Merkmale).
2) die Faktoren müssen unabhängig voneinander sein und jeder Faktor für sich muss stark genug sein, dass die Sicherheit nicht gefährdet ist, wenn der andere Faktor gebrochen wurde

Bei der Schlüsseldatei ist der Faktor Besitz durch die prinzipielle Kopierbarkeit schon sehr fragwürdig. Nimmt man dann noch hinzu, dass man bei der Schlüsseldatei, auch der Faktor Wissen höchstens schwach vorhanden ist (es gibt kein Sperrmechanismus, sprich, man kann nach dem kopieren die Passwörter beliebig durchprobieren).

Da die PSD/2 keine Unterscheidung zwischen Verbrauchern und Nichtverbrauchern macht und auch keine Aussagen zu den speziellen Verfahren, gilt diese auch für EBICS.
Damit wäre mit der PSD/2 die Schlüsseldatei auch für EBICS obsolet. Und dann…? Bliebe für EBICS nur noch die Chipkarte…….

Es sei denn, der besagte Artikel 17 im Kapitel III des RTS kommt zum Tragen und es gibt eine Ausnahme von der starken Kundenauthentifizierung.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Homepage: ksit.de
Beiträge: 1345
Dabei seit: 11 / 2012
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 02.01.2018 - 17:04 Uhr  ·  #19
Übrigens: tanJack easy funktioniert mit dem cyberJack RFID komfort. Mit der neuen Firmware kann der Leser somit jetzt als TAN-Generator verwendet werden wenn man ein Windows System hat.
Benutzer
Avatar
Geschlecht:
Beiträge: 6680
Dabei seit: 06 / 2008
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 02.01.2018 - 18:22 Uhr  ·  #20
Zitat geschrieben von Kalle2012
Übrigens: tanJack easy ...

wird doch nur benötigt, wenn man über Browser geht oder?
über Software (wie SM) müsste es direkt/ohne tanJack easy gehen
Gewählte Zitate für Mehrfachzitierung:   0