Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

Hallo Raimund, was ist genau mit diesem Satz gemeint?

Wäre super, wenn die Atruvia eine komplette Liste der neuen Bankschlüssel-Hashwerte zur Verfügung stellen würde, dann könnte man die Umstellung automatisieren ohne den Anwender damit belästigen zu müssen.

Hatte ich vergessen, es ist möglich, dass der neue Bankschlüssel mit dem alten Bankschlüssel signiert wird und somit automatisch übernommen wird. Nur wenn der alte Bankzugang nicht mehr vorhanden ist, oder der Kunde einen neuen Bankzugang einrichtet geht das nicht.

Gerade von meiner Voba bekommen

Die Schlüssel des Kunden werden bei den Chipkarten bereits bei der Produktion auf die Karte aufgebracht und sind nicht änderbar. Bei den Bankschlüsseln wird "nur" der Hash auf der Karte gespeichert
.

Ja.
Kann mir jemand den Hash-Wert (Prüfsumme) des neuen Bank-Schlüssels, der seit 14.05.2025 für fints2.atruvia.de:3000 FinTS 3.0 BLZ51390000 verwendet wird sagen?
Ich soll den Hashwert vergleichen oder den Vorgang aus Sicherheitsgründen abbrechen.
Die Experten von der Bank wussten den nicht.

oha, warst du da wirklich in der richtigen Abteilung? Die neuen Schlüssel sind ja vorbildlich vom Rechenzentrum Wochen vorher bereits den Banken zugänglich gemacht worden.
BLZ51390000, das ist die Voolksbank Mittelhessen eG, richtig?

Für RDH 9 (unpersonalisierte Chipkarte) lautet der neue 2048bit Hash:
99A93C75E4C922EB70A8AE37314B71EA25F1BB9C3C67E8638DC517F669F73DD9

Für RDH 7 (personalisierte Chipkarte mit Namensdruck):
04963AB7DD407C72A3AFE156DE2A6CB73EEDF9F472404D8A895BDC06E0ADC0F2

Für RDH 10 (Dateiverfahren):
1A52E5D86DC24A56F085AE73B2745B72397D4606F0EAFA1EAB229EF951FCA7F0

Selbst wenn ich "einfach so" den neuen Schlüssel bestätige, halte ich das Sicherheitsrisiko bei einem Bankschlüsselwechsel für extrem gering. Was kann passieren, wenn die richtige Serveradresse eingetragen ist?
Wäre die Bank oder der Weg dahin gehackt, könnte man z.B. Aufträge an die Hacker senden, aber was hätten die davon, außer ein paar ZV-Daten, die man auf anderem Wege wesentlich einfacher bekommen könnte.

Aus "echtem akademischem Interesse": Kennt jemand ein theoretisches Szenario, bei dem ein untergeschobener falscher Bankschlüssel zu einem echten Schaden beim Zahlungsverkehr führen könnte?

Gruß
Raimund

Hallo Daniel,
der Full-Quote ist nicht nötig, den habe ich deshalb gelöscht. Worauf bezieht sich deine Frage genau?

Wie sollte das gehen, mit der Zugangs-TAN für eine Überweisung? Bei chipTAN wird im Leser angezeigt, für was die TAN ist. Außerdem müßte die ja die Empfängerkontonummer und Betrag eingerechnet haben - geht so nicht. Und bei pushTAN geht's sowieso nicht weil der Man sicher nicht auch noch in der pushTAN-Verbindung sitzt und kryptografisch gesichert einen Datensatz an die App sendet, der eine Zugangs-TAN vorgibt und in Wirklichkeit eine mit IBAN und Betrag für die Überweisung ergibt.

Wenn ein Hacker der Herausgeber eines als vertrauenswürdig markierten Schlüssels ist, kann er natürlich Daten verändern. Es käme dann ja gar keine Verbindung des Kunden zur Bank mehr zustande, sondern aus Sicht des Kunden ist der Hacker die Bank und aus Sicht der Bank ist der Hacker der Kunde. Dazwischen könnte alles passieren. Wenn ich das richtig verstehe, läuft all das aber auch noch innerhalb einer TLS-Verbindung ab, die ein Hacker natürlich ebenfalls unterbrechen müsste, wofür er dann ein weiteres, gefälschtes Zertifikat benötigen würde.


Deswegen gibt es ja diese Sicherheitsmerkmale. Wenn man auf die Anzeige achtet, macht das einen erfolgreichen Angriff natürlich unwahrscheinlicher.


Wenn du hier vom Homebanking mittels Chipkarte redest, hast du Recht. Eine Smartcard-Signatur lässt sich nicht fälschen, und ist deshalb tatsächlich sehr sicher. Aber wer nutzt das heutzutage noch und welche Bank bietet das überhaupt an? Ich muss sagen, ich bin da recht standardmäßig unterwegs, mit Secure-App auf dem Handy.