SFirm - Cipher Suites

 
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Berlin
Beiträge: 189
Dabei seit: 11 / 2004
Betreff:

SFirm - Cipher Suites

 · 
Gepostet: 08.03.2018 - 08:44 Uhr  ·  #1
Hallo zusammen,

von einer Sparkasse werden Schreiben an SFirm-Kunden mit versendet, in denen erklärt wird das sog. Cipher Suites (Chiffrensammlungen die mehrere kryptografische Verfahren beinhalten) die Verschlüsselung zwischen dem Kunden und den Bankrechner festlegen. Nutzt der Kunde ältere Cipher Suites stellt dies ein Sicherheitsrisiko dar und daher wird diese Sparkasse SFirm-Versionen die diese alten Suites nutzen nicht mehr zulassen.

Leider ist keine genaue Version genannt, noch weitere Details was diese Cipher Suites tatsächlich sind.

Hat da jemand Details zu?

Grüße
Sebastian
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Alter: 41
Beiträge: 726
Dabei seit: 06 / 2005
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 08.03.2018 - 10:08 Uhr  ·  #2
Hat das was mit EBICS zu tun? Ich hab noch nie was davon gehört, meine SFirm-Spezis sind im Moment leider nicht hier, aber Google bringt das hier (da taucht dieser ominöse Begriff "Cipher Suites" wenigstens mal auf):

https://www.bundesbank.de/Reda…cationFile
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Niedersachsen
Beiträge: 85
Dabei seit: 01 / 2005
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 08.03.2018 - 10:37 Uhr  ·  #3
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 09.03.2018 - 18:59 Uhr  ·  #4
Der Link oben ist wahrscheinlich dynamisch generiert und funktioniert wohl deshalb nicht immer/mehr.
Das Dokument unter http://www.ebics.de/spezifikation/
verweist auf das bsi:
https://www.bsi.bund.de/DE/Pub…x_htm.html
Die letzte Versionen sind von Januar, wie ich sehe, u.a. liest man dort, dass nur noch TLS 1.2 empfohlen wird. Die Nationalbank hatte geplant, TLS 1.0 bereits abzuschalten, hat den Termin aber auf Juni verschoben.
Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 136
Dabei seit: 03 / 2016
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 11.03.2018 - 08:43 Uhr  ·  #5
Zitat geschrieben von Raimund Sichmann

https://www.bsi.bund.de/DE/Pub…x_htm.html
Die letzte Versionen sind von Januar, wie ich sehe, u.a. liest man dort, dass nur noch TLS 1.2 empfohlen wird. Die Nationalbank hatte geplant, TLS 1.0 bereits abzuschalten, hat den Termin aber auf Juni verschoben.

Hallo,

die Empfehlungen der Technischen Richtlinie TR-02102-2 des BSI sollte man nicht so streng sehen. Dort wird die Verwendung von TLS 1.0 bei Bestandssystemen bis maximal 2014 angegeben (Tabelle 4).

Bis auf die NATIONAL-BANK (Wichtige Information zum ausschließlichen Einsatz des Sicherheitsprotokolls TLS 1.2 ab dem 30.04.2018) nutzen alle mir bekannten Banken noch den Verschlüsselungsstandard TLS 1.0.

Da es sicherlich noch viele Online Banker gibt, die eine Finanzsoftware unter Windows XP SP3 nutzen, das nur TLS 1.0 kann, wäre ein großer Aufschrei zu erwarten.

mfg Volker
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Berlin
Beiträge: 189
Dabei seit: 11 / 2004
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 12.03.2018 - 12:56 Uhr  ·  #6
Vielen Dank! So ähnlich hatte ich schon gedacht. Hat das dann etwas damit zu tun welche EBICS-Version oder Unterschriftsversion genutzt wird? Rein Softwareabhängig ist das doch wohl nicht, oder?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 13.03.2018 - 08:03 Uhr  ·  #7
Ich würde eher nur indirekte Zusammenhänge vermuten. DIe meisten EBICS-Clients könnten je nach Versionsstand unterschiedliche Verschlüsselungen des Betriebssystems "anfragen".
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 13.03.2018 - 08:33 Uhr  ·  #8
Hallo,

bei den Ciphersuites muss man beachten, dass Anwendungen die vom Betriebssystem bereitgestellten Cipher nutzen können, oder die Anwendung Eigene mitbringen, dann ist die Anwendung unabhängig vom OS.

Bsp:
IE unter XP, nutzt die XP Cipher, siehe https://www.ssllabs.com/ssltes…XP&key=101
Firefox under XP nutzt die Eigene, siehe https://www.ssllabs.com/ssltes…P3&key=137

Im Falle von XP wäre es also irrelevant ob die Bank TLS 1.0 abschaltet, da:

Wenn die Software die Betriebssystem Ciphers benutzt, funktioniert das ganze mit XP eh schon länger nicht mehr,
da alle von XP unterstützen Cipher veraltet und unsicher sind und von den Bankservern idR schon länger nicht mehr unterstützt werden.
Bsp.: https://www.ssllabs.com/ssltest/analyze.html?d=sparkasse.de
TLS 1.0 wird unterstützt, aber keine XP kompatiblen Chiphers, daher "IE 8 / XP = Server sent fatal alert: handshake_failure"

Wenn die Software eigene Cipher nutzt, ist das Betriebssystem egal (solange die Software sich noch darauf installieren lässt) und die Software natürlich aktuelle Ciphers unterstützt.

Ich weiß nicht wie SFirm das handhabt.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 136
Dabei seit: 03 / 2016
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 13.03.2018 - 09:56 Uhr  ·  #9
Zitat geschrieben von vader

Wenn die Software die Betriebssystem Ciphers benutzt, funktioniert das ganze mit XP eh schon länger nicht mehr,
da alle von XP unterstützen Cipher veraltet und unsicher sind und von den Bankservern idR schon länger nicht mehr unterstützt werden.
Bsp.: https://www.ssllabs.com/ssltest/analyze.html?d=sparkasse.de

Hallo,

das betrifft das Webbanking vieler Banken, die Finanzsoftware nutzt das HBCI/FinTS-Banking mit einer anderen Serveradresse, und da ist der Verschlüsselungsstandard TLS 1.0 noch durchaus üblich, auch unter Windows XP SP3.

Langfristig geht aber kein Weg an TLS 1.2 vorbei.

mfg Volker
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 13.03.2018 - 10:38 Uhr  ·  #10
Hi

TLS 1.0 nützt aber nichts wenn kein XP kompatibler Chipher mehr vom Server unterstützt wird.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 136
Dabei seit: 03 / 2016
Betreff:

Re: SFirm - Cipher Suites

 · 
Gepostet: 13.03.2018 - 11:43 Uhr  ·  #11
Zitat geschrieben von vader

TLS 1.0 nützt aber nichts wenn kein XP kompatibler Chipher mehr vom Server unterstützt wird.

Da muss man etwas genauer hinschauen:

Der Verschlüsselungsstandard TLS 1.0 in der ursprünglichen Spezifikation (rfc2246) kann nur maximal die symmetrische Verschlüsselung TripleDES (3DES), und die kann IE8/XP. Erst im Update (rfc3546) wird die symmetrische Verschlüsselung AES ergänzt, und die kann IE8/XP nicht.

Die NATIONAL-BANK bietet noch TLS 1.0 an, aber kein 3DES (www.bv-activebanking.de).

Finanzsoftware, die auf die Krypto-Komponenten von IE8/XP zugreift, kann daher kein HBCI/FinTS-Banking mit der NATIONAL-BANK.

mfg Volker
Gewählte Zitate für Mehrfachzitierung:   0