Hallo,
ich habe bisher schon diverse Sparkassen mit HBCI-Chipkarte benutzt, und habe jedes Mal eine fertige Karte von der jeweiligen Sparkasse bekommen.
Jetzt habe ich ein Konto bei der Haspa eröffnet; die verteilen keine HBCI-Karten, man muss selber eine machen. Ich werde den Haspa-Account einfach auf eine Karte einer anderen Sparkasse miteintragen.
Im Vorlauf habe ich mich allerdings nach Kartenrohlingen umgesehen, die ich benutzen könnte, um alle Konten schön getrennt zu halten.
Bisher war ich immer davon ausgegangen, dass eine HBCI-Chipkarte einen "private key" enthält, den man nicht auslesen kann (auch nicht, wenn man die PIN kennt), und dass dieser private key jede Transaktion erstmal signieren muss, bevor sie von StarMoney an die Bank übertragen wird.
Bei meiner Recherche nach Kartenrohlingen sah das aber nicht so aus: Es gab zwar Karten mit PIN-Schutz, aber diese Karten scheinen voll und ganz lesbar und beschreibbar zu sein, sobald man die PIN kennt.
Deshalb meine Fragen:
1. Sind HBCI-Karten also wirklich kopierbar? Im Netz wird an diversen Stellen behauptet, dass nein, aber welcher Mechanismus das sicherstellen soll, bleibt unklar.
2. Falls eine Chipkarte bei bekanntem PIN-Code voll lesbar wäre, so wäre HBCI mit einem Klasse-1-Leser (zumindest im Prinzip) gar nicht sicherer als PIN/TAN. Und selbst mit einem Klasse-2-Leser könnte ein Trojaner die Karte kopieren, in dem Moment, in dem der User den PIN-Code eingegeben hat. Ist das wirklich so?
3. Findet bei HBCI überhaupt irgendeine Form von asymmetrischer Verschlüsselung statt?
4. Wenn ja, wo ist der private Key gespeichert, und wie ist er zugänglich?
Mir ist klar, dass in der Praxis selbst im schlimmsten Fall HBCI immer noch sicherer ist als PIN/TAN, einfach weil es exotischer ist, und deshalb mit geringerer Wahrscheinlichkeit angegriffen wird. Sehr befriedigend wäre das allerdings nicht.
Vielen Dank für alle Antworten!
notbug
ich habe bisher schon diverse Sparkassen mit HBCI-Chipkarte benutzt, und habe jedes Mal eine fertige Karte von der jeweiligen Sparkasse bekommen.
Jetzt habe ich ein Konto bei der Haspa eröffnet; die verteilen keine HBCI-Karten, man muss selber eine machen. Ich werde den Haspa-Account einfach auf eine Karte einer anderen Sparkasse miteintragen.
Im Vorlauf habe ich mich allerdings nach Kartenrohlingen umgesehen, die ich benutzen könnte, um alle Konten schön getrennt zu halten.
Bisher war ich immer davon ausgegangen, dass eine HBCI-Chipkarte einen "private key" enthält, den man nicht auslesen kann (auch nicht, wenn man die PIN kennt), und dass dieser private key jede Transaktion erstmal signieren muss, bevor sie von StarMoney an die Bank übertragen wird.
Bei meiner Recherche nach Kartenrohlingen sah das aber nicht so aus: Es gab zwar Karten mit PIN-Schutz, aber diese Karten scheinen voll und ganz lesbar und beschreibbar zu sein, sobald man die PIN kennt.
Deshalb meine Fragen:
1. Sind HBCI-Karten also wirklich kopierbar? Im Netz wird an diversen Stellen behauptet, dass nein, aber welcher Mechanismus das sicherstellen soll, bleibt unklar.
2. Falls eine Chipkarte bei bekanntem PIN-Code voll lesbar wäre, so wäre HBCI mit einem Klasse-1-Leser (zumindest im Prinzip) gar nicht sicherer als PIN/TAN. Und selbst mit einem Klasse-2-Leser könnte ein Trojaner die Karte kopieren, in dem Moment, in dem der User den PIN-Code eingegeben hat. Ist das wirklich so?
3. Findet bei HBCI überhaupt irgendeine Form von asymmetrischer Verschlüsselung statt?
4. Wenn ja, wo ist der private Key gespeichert, und wie ist er zugänglich?
Mir ist klar, dass in der Praxis selbst im schlimmsten Fall HBCI immer noch sicherer ist als PIN/TAN, einfach weil es exotischer ist, und deshalb mit geringerer Wahrscheinlichkeit angegriffen wird. Sehr befriedigend wäre das allerdings nicht.
Vielen Dank für alle Antworten!
notbug