FinTS Pin/Itan VS. FinTS Keydatei (RDH10)

 
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

FinTS Pin/Itan VS. FinTS Keydatei (RDH10)

 ·  Gepostet: 20.05.2009 - 00:02 Uhr  ·  #1
Moin tag

Ich wollte mal wissen,was genau für Unterschiede zwischen den beiden verfahren bestehen, also was die sicherheitstechnische Seite anbelangt
die Vor-und Nachteile beider Verfahren.

Auch was es für Angriffmöglichkeiten geben könnte..


greetz fireskyer
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6204
Dabei seit: 02 / 2003
Betreff:

Re: FinTS Pin/Itan VS. FinTS Keydatei (RDH10)

 ·  Gepostet: 20.05.2009 - 07:18 Uhr  ·  #2
Hi Firesyker,

so richtig vergleichen kann man beide Absicherungen nicht. Angreifbar sind beide, teilweise mit den gleichen Szenarien.

Zwei grundsätzliche Unterschiede:
- Mit der indizierten TAN wird der Auftrag nicht vor Manipulationen auf dem Transportweg geschützt (Die https Verbindung kann umgeleitet werden, wenn Dir ein anderes Zertifikat untergeschoben wird) (Man in the Middle)
- Bei der Schlüsseldatei, wird sowohl der Transport der Daten geschützt, wie auch die Manipulation der Daten.

Angriffszenarien:
Indizierte TAN:
-Klassisches Phishing: Anwender wird dazu aufgefordert 10, 20 oder mehr Indizierte TANs auf eine manipulierte Seite "einzutasten" (Kaum zu glauben, funktioniert immer noch....)
- Angriff durch Trojaner:
Die Anzeige im Internetbanking wird manipuliert, so dass der Anwender glaubt, dass er sein Auftrag bestätigt, in Wirklichkeit wird aber der Auftrag des Angreifers bestätigt. Mit oder ohne Umleitung der Seiten.
- Diebstahl (Kopie) der TAN Liste

....
....
....
Schlüsseldatei
-Diebstahl (heimliche Kopie online) der Schlüsseldatei
Das Passwort wird über BruteForce Attacken (probieren) ermittelt. Oder durch Keylogger direkt mitgeliefert
-Funktionieren würde auch die Manipulation der Anzeige
....

In der Praxis relevant sind nur die Themen Trojaner und noch ein wenig Phishing.
Da die Angriffe derzeit auf das Internetbanking zielen (einfachere Manipulation, größere Verbreitung, gleiche Technik, eine Plattform.....) und der gängige Angriff über die Manipulation der Ansichten erfolgt, hat die indizierte TAN in der Praxis das höhere Gefährdungspotential.

Sicher ist ein Verfahren erst dann, wenn Du manipulationssicher und unabhängig kontrollieren kannst, ob Du den Auftrag, den Du freigeben möchtest, auch wirklich freigibst und die TAN ausschließlich für diesen einen Auftrag gilt. Bei den TAN Verfahren gilt die derzeit u.a.
- mobile TAN (Wenn Auftragsdetails in der SMS stehen -was wohl bei allen Banken der Fall ist)
- Sm@rt TAN plus (optic) bzw chipTAN (comfort) wie es bei den Sparkassen heißt
Es gibt noch andere TAN Verfahren, die augenscheinlich auch diese Sicherheit bieten, diese haben in der Verbreitung aber aktuell keine Relevanz.

Gruß

Holger
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Re: FinTS Pin/Itan VS. FinTS Keydatei (RDH10)

 ·  Gepostet: 20.05.2009 - 19:52 Uhr  ·  #3
@holger fischer

danke für deine ausführliche antwort...

noch eine frage, was hat das rdh10 profil für vorteile gegenüber zb. rdh2 ?


und als heimanwender kann ich mir bei einer schlüsseldatei mit gutem pw, und ein bißchen menschenverstand( also onlineprogramm firewall etc.) , was der restliche computer angeht relative sicher fühlen?

wie sieht es eigentlich mit dem verschlüsselungsverfahren aus? wo sind da die unterschiede bei den beiden varianten tan und key?

greetz fireskyer
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6204
Dabei seit: 02 / 2003
Betreff:

Re: FinTS Pin/Itan VS. FinTS Keydatei (RDH10)

 ·  Gepostet: 20.05.2009 - 21:55 Uhr  ·  #4
Hi Fireskyer,

der unterschied zwischen RDH 2 und RDH 10 liegt in der mindest und maximalen Schlüssellänge (1024 - 2048 und 1536 - 4096 Bit)
und im Verfahren wie der Hash und die Signatur berechnet werden (Die Sicherheit hängt also nicht nur von der Länge der Schlüssel ab)
Die neuen Verfahren gelten laut der Bundesnetzagentur als sicherer, als die bisherigen Verfahren.

Vom Verschlüsselungsverfahren sind zwischen der indizierten TAN und den RSA basierten Verfahren gravierende Unterschiede.
Die ITAN nutzt eine Transportabsicherung https, während die RSA Verfahren eine Symmetrische Verschlüsselung und eine asymetrische Signatur (u.a. zum erkennen von Manipulationen) verwenden.

Ansonsten liegt, wie Du es schon richtig erkannt hast, die Sicherheit 8oder die Unsicherheit) am PC des Anwenders.

Gruß

Holger
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Re: FinTS Pin/Itan VS. FinTS Keydatei (RDH10)

 ·  Gepostet: 26.05.2009 - 01:47 Uhr  ·  #5
@holgerfischer

danke für die antwort


greetz fireskyer
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Re: FinTS Pin/Itan VS. FinTS Keydatei (RDH10)

 ·  Gepostet: 28.05.2009 - 15:49 Uhr  ·  #6
noch was gibt es irgendwo ne allgemeine übersicht, wie die einzelnen verschlüsselungsverfahren funktionieren ( also im detail)?


greetz fireskyer
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: FinTS Pin/Itan VS. FinTS Keydatei (RDH10)

 ·  Gepostet: 28.05.2009 - 16:44 Uhr  ·  #7
Hallo,

wesentliches sollte sich hier finden lassen: http://www.hbci-zka.de/spec/3_0.htm
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Re: FinTS Pin/Itan VS. FinTS Keydatei (RDH10)

 ·  Gepostet: 02.06.2009 - 15:26 Uhr  ·  #8
@Capatain Frag


okay danke


greetz fireskyer
Gewählte Zitate für Mehrfachzitierung:   0