Hallo,
ich möchte meine Problemlösung hier teilen und beschreibe wie ich das Problem gelöst habe.
Betriebssystem: Fedora 36
OpenJDK: openjdk 11.0.15 2022-04-19
Jameica: 2.10.2
Hibiscus: 2.10.4
Ich habe beim Verbinden mit der 1822 Direkt und dem Abrufen von Umsätzen plötzlich eine Fehlermeldung erhalten, auch ein neues Profil, neu installieren und Updates haben nicht geholfen.
Die Fehlermeldung lautete: "Fehler beim Ermitteln einer neuen System-ID"
Ich konnte nur sehr alte Beiträge vor den Änderungen wegen PSD2 finden die alle unzutreffend waren zu meinem Problem waren.
Anbei der Logauszug:
Auf die Spur des Fehlers hat mich das Log gebracht, der zuvor genannte Fehler ist Symptom des gescheiterten Verbindungsaufbau, der eigentliche Fehler ist folgender:
Ein wenig suchen brachte mich zum Ergebnis, dass die Java Runtime Funktionen hat um Algorithmen die zum Beispiel bei verschlüsselten Verbindungen benötigt werden zu verbieten. Das geschieht zum Beispiel weil diese Algorithmen zur heutigen Zeit als unsicher gelten. Es gibt also in meinem Fall im Auslieferungszustand eine Systemrichtlinie die die Nutzung von SHA1 verbietet.
Weil die 1822 Direkt aber diesen Algorithmus in der verschlüsselten Verbindung verwendet kommt die Verbindung nicht zu Stande und es folgt die Exception.
Problem Workaround, SHA1 erlauben:
Anpassen der System Crypto-Policy in der Datei: /etc/crypto-policies/back-ends/java.config
Auslieferungszustand:
jdk.certpath.disabledAlgorithms=MD2, SHA1, MD5, DSA, RSA keySize < 2048
jdk.tls.disabledAlgorithms=DH keySize < 2048, TLSv1.1, TLSv1, SSLv3, SSLv2, DHE_DSS, RSA_EXPORT, DHE_DSS_EXPORT, DHE_RSA_EXPORT, DH_DSS_EXPORT, DH_RSA_EXPORT, DH_anon, ECDH_anon, DH_RSA, DH_DSS, ECDH, 3DES_EDE_CBC, DES_CBC, RC4_40, RC4_128, DES40_CBC, RC2, HmacMD5
jdk.tls.legacyAlgorithms=
Ich habe in meinem Fall "SHA1, " rausgelöscht und es ging wieder alles.
Woher kam der Fehler? Vermutlich gab es eine neue Crypto-Policy nach einem Linux Systemupdate. Die Policy ist eine Sicherheitseinstellung und zumindest bei Fedora 36 Standard. Diese Policy wird sich wohlmöglich weiter verbreiten und in Zukunft könnte der Fehler vermehrt auftreten bei Nutzern von Banken die noch SHA1 einsetzen, es könnte aber auch sein dass die 1822 die Einzige ist die so veraltete Algorithmen einsetzt. Eingrenzen konnte ich den Fehler auch nachdem es unter Windows mit der mit Jameica mitgelieferten Java Version funktionierte.
Eventuell könnte es auch sinnvoll sein eine Exception Behandlung vorzusehen die auf das Problem hinweist. Ich vermute es gibt keine Lösung nur eine Ausnahme für Hibiscus vorzusehen, außer man verwendet eine eigene Java Installation mit eigener Policy.
Ich habe lange gesucht nach dem Fehler und hoffe meine Beschreibung hilft Anderen.
ich möchte meine Problemlösung hier teilen und beschreibe wie ich das Problem gelöst habe.
Betriebssystem: Fedora 36
OpenJDK: openjdk 11.0.15 2022-04-19
Jameica: 2.10.2
Hibiscus: 2.10.4
Ich habe beim Verbinden mit der 1822 Direkt und dem Abrufen von Umsätzen plötzlich eine Fehlermeldung erhalten, auch ein neues Profil, neu installieren und Updates haben nicht geholfen.
Die Fehlermeldung lautete: "Fehler beim Ermitteln einer neuen System-ID"
Ich konnte nur sehr alte Beiträge vor den Änderungen wegen PSD2 finden die alle unzutreffend waren zu meinem Problem waren.
Anbei der Logauszug:
Code
[Sat Jul 09 22:17:32 CEST 2022][ERROR][bg-task:][de.willuhn.jameica.hbci.HBCICallbackSWT.log] org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Senden der HBCI-Nachricht zum Server
at org.kapott.hbci.comm.CommPinTan.ping(CommPinTan.java:157)
at org.kapott.hbci.comm.Comm.pingpong(Comm.java:72)
at org.kapott.hbci.manager.HBCIKernelImpl.rawDoIt(HBCIKernelImpl.java:348)
at org.kapott.hbci.manager.HBCIKernelImpl.rawDoIt(HBCIKernelImpl.java:176)
at org.kapott.hbci.dialog.AbstractRawHBCIDialog.sendData(AbstractRawHBCIDialog.java:123)
at org.kapott.hbci.dialog.HBCIDialogSync.sendData(HBCIDialogSync.java:110)
at org.kapott.hbci.dialog.AbstractRawHBCIDialog.execute(AbstractRawHBCIDialog.java:96)
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:444)
at org.kapott.hbci.manager.HBCIUser.sync(HBCIUser.java:670)
at org.kapott.hbci.manager.HBCIUser.register(HBCIUser.java:718)
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:295)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:171)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:116)
at de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open(PassportHandleImpl.java:182)
at de.willuhn.jameica.hbci.gui.action.PassportTest$1.run(PassportTest.java:84)
at de.willuhn.jameica.gui.GUI$7.run(GUI.java:1081)
Caused by: javax.net.ssl.SSLHandshakeException: Certificates do not conform to algorithm constraints
at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:131)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:353)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:296)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:291)
at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.checkServerCerts(CertificateMessage.java:1357)
at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.onConsumeCertificate(CertificateMessage.java:1232)
at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.consume(CertificateMessage.java:1175)
at java.base/sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:392)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:443)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:421)
at java.base/sun.security.ssl.TransportContext.dispatch(TransportContext.java:183)
at java.base/sun.security.ssl.SSLTransport.decode(SSLTransport.java:172)
at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1506)
at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1416)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:456)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:427)
at org.kapott.hbci.comm.LoggingSocket.startHandshake(LoggingSocket.java:373)
at java.base/sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:572)
at java.base/sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:197)
at java.base/sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:168)
at org.kapott.hbci.comm.CommPinTan.ping(CommPinTan.java:147)
... 15 more
Caused by: java.security.cert.CertificateException: Certificates do not conform to algorithm constraints
at java.base/sun.security.ssl.AbstractTrustManagerWrapper.checkAlgorithmConstraints(SSLContextImpl.java:1681)
at java.base/sun.security.ssl.AbstractTrustManagerWrapper.checkAdditionalTrust(SSLContextImpl.java:1606)
at java.base/sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1550)
at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.checkServerCerts(CertificateMessage.java:1341)
... 31 more
Caused by: java.security.cert.CertPathValidatorException: Algorithm constraints check failed on signature algorithm: SHA1withRSA
at java.base/sun.security.provider.certpath.AlgorithmChecker.check(AlgorithmChecker.java:237)
at java.base/sun.security.ssl.AbstractTrustManagerWrapper.checkAlgorithmConstraints(SSLContextImpl.java:1677)
... 34 more org.kapott.hbci.manager.HBCIUtils.log(HBCIUtils.java:1609)
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][bg-task:][de.willuhn.jameica.hbci.HBCICallbackSWT.log] autosecfunc: search for 3920 in response to detect allowed twostep secmechs
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][bg-task:][de.willuhn.jameica.hbci.HBCICallbackSWT.log] HKTAN step 1 for SCA sent, checking for HITAN response [step: 1]
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][bg-task:][de.willuhn.jameica.hbci.gui.action.PassportProcessCode3072.handleAction] no changed customer data in persistent data of passport found
[Sat Jul 09 22:17:32 CEST 2022][INFO][bg-task:][de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.close] closing pin/tan passport
[Sat Jul 09 22:17:32 CEST 2022][INFO][bg-task:][de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.close] pin/tan passport closed
[Sat Jul 09 22:17:32 CEST 2022][ERROR][bg-task:][de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open] error while opening pin/tan passport
org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Erzeugen eines HBCIHandler Objektes
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:182)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:116)
at de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open(PassportHandleImpl.java:182)
at de.willuhn.jameica.hbci.gui.action.PassportTest$1.run(PassportTest.java:84)
at de.willuhn.jameica.gui.GUI$7.run(GUI.java:1081)
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Registrieren der Nutzerdaten
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:297)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:171)
... 4 more
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Ermitteln einer neuen System-ID
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:465)
at org.kapott.hbci.manager.HBCIUser.sync(HBCIUser.java:670)
at org.kapott.hbci.manager.HBCIUser.register(HBCIUser.java:718)
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:295)
... 5 more
Caused by: org.kapott.hbci.exceptions.ProcessException: Fehler beim Ermitteln einer neuen System-ID
at org.kapott.hbci.dialog.HBCIDialogSync.checkResult(HBCIDialogSync.java:125)
at org.kapott.hbci.dialog.AbstractRawHBCIDialog.execute(AbstractRawHBCIDialog.java:106)
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:444)
... 8 more
[Sat Jul 09 22:17:32 CEST 2022][INFO][bg-task:][de.willuhn.jameica.hbci.gui.action.PassportTest$1.run] test of passport failed: class org.kapott.hbci.exceptions.ProcessException: Fehler beim Ermitteln einer neuen System-ID
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][bg-task:][de.willuhn.jameica.hbci.gui.action.PassportTest$1.run] error while testing passport
java.rmi.RemoteException: error while opening pin/tan passport; nested exception is:
org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Erzeugen eines HBCIHandler Objektes
at de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open(PassportHandleImpl.java:194)
at de.willuhn.jameica.hbci.gui.action.PassportTest$1.run(PassportTest.java:84)
at de.willuhn.jameica.gui.GUI$7.run(GUI.java:1081)
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Erzeugen eines HBCIHandler Objektes
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:182)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:116)
at de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open(PassportHandleImpl.java:182)
... 2 more
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Registrieren der Nutzerdaten
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:297)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:171)
... 4 more
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Ermitteln einer neuen System-ID
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:465)
at org.kapott.hbci.manager.HBCIUser.sync(HBCIUser.java:670)
at org.kapott.hbci.manager.HBCIUser.register(HBCIUser.java:718)
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:295)
... 5 more
Caused by: org.kapott.hbci.exceptions.ProcessException: Fehler beim Ermitteln einer neuen System-ID
at org.kapott.hbci.dialog.HBCIDialogSync.checkResult(HBCIDialogSync.java:125)
at org.kapott.hbci.dialog.AbstractRawHBCIDialog.execute(AbstractRawHBCIDialog.java:106)
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:444)
... 8 more
[Sat Jul 09 22:17:32 CEST 2022][WARN][bg-task:][de.willuhn.jameica.hbci.gui.DialogFactory.dirtyPINCache] mark pin cache dirty for all passports
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][pool-1-thread-1][de.willuhn.jameica.messaging.NamedConcurrentQueue.deliver] deliver message [Sat Jul 09 22:17:32 CEST 2022][ERROR] Fehler beim Testen des Bank-Zugangs: Fehler beim Ermitteln einer neuen System-ID
at org.kapott.hbci.comm.CommPinTan.ping(CommPinTan.java:157)
at org.kapott.hbci.comm.Comm.pingpong(Comm.java:72)
at org.kapott.hbci.manager.HBCIKernelImpl.rawDoIt(HBCIKernelImpl.java:348)
at org.kapott.hbci.manager.HBCIKernelImpl.rawDoIt(HBCIKernelImpl.java:176)
at org.kapott.hbci.dialog.AbstractRawHBCIDialog.sendData(AbstractRawHBCIDialog.java:123)
at org.kapott.hbci.dialog.HBCIDialogSync.sendData(HBCIDialogSync.java:110)
at org.kapott.hbci.dialog.AbstractRawHBCIDialog.execute(AbstractRawHBCIDialog.java:96)
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:444)
at org.kapott.hbci.manager.HBCIUser.sync(HBCIUser.java:670)
at org.kapott.hbci.manager.HBCIUser.register(HBCIUser.java:718)
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:295)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:171)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:116)
at de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open(PassportHandleImpl.java:182)
at de.willuhn.jameica.hbci.gui.action.PassportTest$1.run(PassportTest.java:84)
at de.willuhn.jameica.gui.GUI$7.run(GUI.java:1081)
Caused by: javax.net.ssl.SSLHandshakeException: Certificates do not conform to algorithm constraints
at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:131)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:353)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:296)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:291)
at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.checkServerCerts(CertificateMessage.java:1357)
at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.onConsumeCertificate(CertificateMessage.java:1232)
at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.consume(CertificateMessage.java:1175)
at java.base/sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:392)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:443)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:421)
at java.base/sun.security.ssl.TransportContext.dispatch(TransportContext.java:183)
at java.base/sun.security.ssl.SSLTransport.decode(SSLTransport.java:172)
at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1506)
at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1416)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:456)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:427)
at org.kapott.hbci.comm.LoggingSocket.startHandshake(LoggingSocket.java:373)
at java.base/sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:572)
at java.base/sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:197)
at java.base/sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:168)
at org.kapott.hbci.comm.CommPinTan.ping(CommPinTan.java:147)
... 15 more
Caused by: java.security.cert.CertificateException: Certificates do not conform to algorithm constraints
at java.base/sun.security.ssl.AbstractTrustManagerWrapper.checkAlgorithmConstraints(SSLContextImpl.java:1681)
at java.base/sun.security.ssl.AbstractTrustManagerWrapper.checkAdditionalTrust(SSLContextImpl.java:1606)
at java.base/sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1550)
at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.checkServerCerts(CertificateMessage.java:1341)
... 31 more
Caused by: java.security.cert.CertPathValidatorException: Algorithm constraints check failed on signature algorithm: SHA1withRSA
at java.base/sun.security.provider.certpath.AlgorithmChecker.check(AlgorithmChecker.java:237)
at java.base/sun.security.ssl.AbstractTrustManagerWrapper.checkAlgorithmConstraints(SSLContextImpl.java:1677)
... 34 more org.kapott.hbci.manager.HBCIUtils.log(HBCIUtils.java:1609)
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][bg-task:][de.willuhn.jameica.hbci.HBCICallbackSWT.log] autosecfunc: search for 3920 in response to detect allowed twostep secmechs
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][bg-task:][de.willuhn.jameica.hbci.HBCICallbackSWT.log] HKTAN step 1 for SCA sent, checking for HITAN response [step: 1]
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][bg-task:][de.willuhn.jameica.hbci.gui.action.PassportProcessCode3072.handleAction] no changed customer data in persistent data of passport found
[Sat Jul 09 22:17:32 CEST 2022][INFO][bg-task:][de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.close] closing pin/tan passport
[Sat Jul 09 22:17:32 CEST 2022][INFO][bg-task:][de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.close] pin/tan passport closed
[Sat Jul 09 22:17:32 CEST 2022][ERROR][bg-task:][de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open] error while opening pin/tan passport
org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Erzeugen eines HBCIHandler Objektes
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:182)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:116)
at de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open(PassportHandleImpl.java:182)
at de.willuhn.jameica.hbci.gui.action.PassportTest$1.run(PassportTest.java:84)
at de.willuhn.jameica.gui.GUI$7.run(GUI.java:1081)
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Registrieren der Nutzerdaten
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:297)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:171)
... 4 more
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Ermitteln einer neuen System-ID
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:465)
at org.kapott.hbci.manager.HBCIUser.sync(HBCIUser.java:670)
at org.kapott.hbci.manager.HBCIUser.register(HBCIUser.java:718)
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:295)
... 5 more
Caused by: org.kapott.hbci.exceptions.ProcessException: Fehler beim Ermitteln einer neuen System-ID
at org.kapott.hbci.dialog.HBCIDialogSync.checkResult(HBCIDialogSync.java:125)
at org.kapott.hbci.dialog.AbstractRawHBCIDialog.execute(AbstractRawHBCIDialog.java:106)
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:444)
... 8 more
[Sat Jul 09 22:17:32 CEST 2022][INFO][bg-task:][de.willuhn.jameica.hbci.gui.action.PassportTest$1.run] test of passport failed: class org.kapott.hbci.exceptions.ProcessException: Fehler beim Ermitteln einer neuen System-ID
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][bg-task:][de.willuhn.jameica.hbci.gui.action.PassportTest$1.run] error while testing passport
java.rmi.RemoteException: error while opening pin/tan passport; nested exception is:
org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Erzeugen eines HBCIHandler Objektes
at de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open(PassportHandleImpl.java:194)
at de.willuhn.jameica.hbci.gui.action.PassportTest$1.run(PassportTest.java:84)
at de.willuhn.jameica.gui.GUI$7.run(GUI.java:1081)
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Erzeugen eines HBCIHandler Objektes
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:182)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:116)
at de.willuhn.jameica.hbci.passports.pintan.server.PassportHandleImpl.open(PassportHandleImpl.java:182)
... 2 more
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Registrieren der Nutzerdaten
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:297)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:171)
... 4 more
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Ermitteln einer neuen System-ID
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:465)
at org.kapott.hbci.manager.HBCIUser.sync(HBCIUser.java:670)
at org.kapott.hbci.manager.HBCIUser.register(HBCIUser.java:718)
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:295)
... 5 more
Caused by: org.kapott.hbci.exceptions.ProcessException: Fehler beim Ermitteln einer neuen System-ID
at org.kapott.hbci.dialog.HBCIDialogSync.checkResult(HBCIDialogSync.java:125)
at org.kapott.hbci.dialog.AbstractRawHBCIDialog.execute(AbstractRawHBCIDialog.java:106)
at org.kapott.hbci.manager.HBCIUser.fetchSysId(HBCIUser.java:444)
... 8 more
[Sat Jul 09 22:17:32 CEST 2022][WARN][bg-task:][de.willuhn.jameica.hbci.gui.DialogFactory.dirtyPINCache] mark pin cache dirty for all passports
[Sat Jul 09 22:17:32 CEST 2022][DEBUG][pool-1-thread-1][de.willuhn.jameica.messaging.NamedConcurrentQueue.deliver] deliver message [Sat Jul 09 22:17:32 CEST 2022][ERROR] Fehler beim Testen des Bank-Zugangs: Fehler beim Ermitteln einer neuen System-ID
Auf die Spur des Fehlers hat mich das Log gebracht, der zuvor genannte Fehler ist Symptom des gescheiterten Verbindungsaufbau, der eigentliche Fehler ist folgender:
Code
Caused by: java.security.cert.CertPathValidatorException: Algorithm constraints check failed on signature algorithm: SHA1withRSA
Ein wenig suchen brachte mich zum Ergebnis, dass die Java Runtime Funktionen hat um Algorithmen die zum Beispiel bei verschlüsselten Verbindungen benötigt werden zu verbieten. Das geschieht zum Beispiel weil diese Algorithmen zur heutigen Zeit als unsicher gelten. Es gibt also in meinem Fall im Auslieferungszustand eine Systemrichtlinie die die Nutzung von SHA1 verbietet.
Weil die 1822 Direkt aber diesen Algorithmus in der verschlüsselten Verbindung verwendet kommt die Verbindung nicht zu Stande und es folgt die Exception.
Problem Workaround, SHA1 erlauben:
Anpassen der System Crypto-Policy in der Datei: /etc/crypto-policies/back-ends/java.config
Auslieferungszustand:
Code
jdk.certpath.disabledAlgorithms=MD2, SHA1, MD5, DSA, RSA keySize < 2048
jdk.tls.disabledAlgorithms=DH keySize < 2048, TLSv1.1, TLSv1, SSLv3, SSLv2, DHE_DSS, RSA_EXPORT, DHE_DSS_EXPORT, DHE_RSA_EXPORT, DH_DSS_EXPORT, DH_RSA_EXPORT, DH_anon, ECDH_anon, DH_RSA, DH_DSS, ECDH, 3DES_EDE_CBC, DES_CBC, RC4_40, RC4_128, DES40_CBC, RC2, HmacMD5
jdk.tls.legacyAlgorithms=
Ich habe in meinem Fall "SHA1, " rausgelöscht und es ging wieder alles.
Woher kam der Fehler? Vermutlich gab es eine neue Crypto-Policy nach einem Linux Systemupdate. Die Policy ist eine Sicherheitseinstellung und zumindest bei Fedora 36 Standard. Diese Policy wird sich wohlmöglich weiter verbreiten und in Zukunft könnte der Fehler vermehrt auftreten bei Nutzern von Banken die noch SHA1 einsetzen, es könnte aber auch sein dass die 1822 die Einzige ist die so veraltete Algorithmen einsetzt. Eingrenzen konnte ich den Fehler auch nachdem es unter Windows mit der mit Jameica mitgelieferten Java Version funktionierte.
Eventuell könnte es auch sinnvoll sein eine Exception Behandlung vorzusehen die auf das Problem hinweist. Ich vermute es gibt keine Lösung nur eine Ausnahme für Hibiscus vorzusehen, außer man verwendet eine eigene Java Installation mit eigener Policy.
Ich habe lange gesucht nach dem Fehler und hoffe meine Beschreibung hilft Anderen.
