Bankschlüssel überprüfen ???

Bei mir kam es auch zu dieser Frage, und ich habe sie bestätigt.

Ich hoffe das war jetzt nur einmalig, sonst muss ich das bei Matrica melden.

... wie lautet deine Bank

Ich überlege gerade, was wirklich passieren kann, wenn man hier einen falscher Schlüssel erhält und diesen "einfach so" bestätigt.
Eventuell sendet man Aufträge an einen Betrüger, der sich über Buchungsaufträge freuen wird, in diesem Fall wäre das ein Datenschutzproblem. Im echten Leben würde die Verbindung zum Server einfach nicht funktionieren.
Ich halte das für nicht dramatisch, aber sehe ich das womöglich zu einfach? Wäre ein Angriff auf eine freigeschaltete Karte denkbar?
Gruß
Raimund

Die Bank ist kein Geheimnis, es ist die KSKMSE. Dort habe ich wie gesagt nichts dergleichen gefunden. Die SSKM zeigt ihn unter "Häufige Fragen und Antworten zu EBICS". Ich vermute mal, das der Bankschlüssel nicht EBICS-spezifisch ist. (Die SSKM fragt hier "Wie lautet der öffentliche Bankschlüssel?" und gibt als Antwort nur Hashwerte an. Aber wer will schon so kleinlich sein.) Andererseits verstehe ich die Frage nach der Bank in diesem Zusammenhang nicht. Sollte ich den Hashwert abgleichen müssen, werde ich mich mit der Bank in Verbindung setzten. Sollte es einen öffentlich zugänglichen Server mit Bankschlüssel und Hashwerten geben, würde ich den gerne erfahren, dann braucht's den Namen "meiner" Bank aber nicht.

Lt. Handbuch wird der Hashwert bei der "Erstinitialisierung" abgeglichen. Das ist nach meinem Verständnis nicht bei allen Banken und Chipkarten nötig. Bei den Sparkassen mit DES-Chipkarten jedenfalls nicht. Sollte aber, wenn man Moneyplex schon benutzt, auch nicht mehr nötig sein. Warum es nach einem "Update" gemacht wird, ist nicht offensichtlich und der Benutzer/die Benutzerin ist ggf. verunsichert, wenn er/sie nicht sowieso alles abnickt. Wäre schön, wenn man vor dem Update irgendwie darüber aufgeklärt wird, warum man jetzt (noch einmal) den Bankschlüssel überprüfen soll.

D.h. ich kann die Frage einfach bestätigen ?
Den angezeigten Hash Wert kann ich nirgendwo
verifizieren.

Wenn ich's richtig verstehe, steht der Hashwert im INI-Brief der Bank - den man mal bekommen hat, als das Konto angelegt wurde.



Na, wenn dem so ist, warum wird der Dialog dann überhaupt angeboten?

In dem oben gezeigten Dialog lese ich nichts von Schreiben auf die HBCI-Chipkarte. Aber vielleicht war da ja vorher ein Hinweis. Auf den INI-Brief wird im Dialog hingewiesen

Keine Ahnung ob ich es richtig zusamengefasst habe, aber so schwierig kann's doch nicht sein, so etwas zu schreiben und unter die Benutzer zu bringen:

In vorherigen Versionen von moneyplex wurde bei der Erstinitialisierung der Hashwert des Bankschlüssels nicht auf die HBCI-Chipkarte geschrieben. Der Schlüssel wurde bei jedem Dialog von dem Bankrechner geladen. Das hatte zur Folge, dass Meldungen wie "Signatur der Antwort
ist falsch" und "Antwort ist unsigniert" im Protokoll erschienen.

Ab moneyplex 20, Build xxxxx, wird nun bei einer Erstinitialisierung und in dem Fall, dass noch kein Hashwert auf der HBCI-Chipkarte vorhanden ist, die Karte mit dem Wert beschrieben. Dazu erscheint auch bei langjährigen Benutzern der Erstinitialisierungdialog, mit der Aufforderung, den Hashwert des Bankschlüssels zu vergleichen und zu bestätigen. Den Hashwert finden Sie auf dem INI-Brief der Bank, den Sie bei der Kontoeröffnung erhalten haben. Sie können sich aber auch an Ihre Bank wenden, die Ihnen den Hashwert mitteilen kann.

Gut. Und dass es einen Wiki-Eintrag gibt, sieht man wo/wie, wenn man einen "Update" ausführt?

Bei einem "Update" unter Linux werden von moneyplex die neuen Dateien im Verzeichnis "rup" abgelegt, nebst einer Datei, worin steht, wo denn was hin soll. "prestart" erledigt dann das Verschieben der Dateien (Lesen, Schreiben und Löschen) bevor es moneyplex startet (ist unter Windows vermutlich ähnlich, aber was weiss ich). Könnte man da nicht einfach eine Datei "x.txt" oder wie auch immer in "rup" ablegen und diese, falls vorhanden, von "prestart" anzeigen lassen (und danach wegen mir löschen), bevor moneyplex gestartet wird? So ein Anzeigen gibt es doch schon, für das Handbuch, wird unter Linux meines wissens mit xdg-open gemacht. Und da "prestart" mit gtk und allem drum und dran daherkommt, kann man auch ein schönes Fenster öffnen.

Aber vermutlich habe ich es einfach noch nicht gemerkt, dass ich auf einem toten Pferd sitze.