Hi HB
Zitat geschrieben von hb
Die älteren RSA und die neueren SECCOS HBCI-Chipkarten arbeiten meist mit asynchronen Schlüsselpaaren. Diese Paare bestehen aus einem Öffentlichen und einem Privaten Schlüssel. Sicher ist das Verfahren nur durch die
absolute Geheimhaltung des Privaten Schlüssels.
Nicht 100% sauber, aber als Vereinfachung kan man es so stehen lassen.
Zitat geschrieben von hb
RSA-Karten und unpersonalisierte SECCOS-Karten erzeugen das Schlüsselpaar nach einem entsprechendem Aufruf in sich selbst. Der Private Schlüssel verläßt dabei die Karte nicht, der Öffentliche Schlüssel wird dem aufrufenden Programm mitgeteilt und an die Bank weitergeleitet.
Das ist so nicht richtig.
Bei den alten RSA Karten (in der Regel basierend auf dem Betriebsystem Starcos, wurden die "unpersonalisierten" Karten bei der Herstellung so konfiguriert, dass diese beim Anwender selber einen Schlüssel generiert haben.
Bereits hier gab es Karten, die man vom Konzept her als Signaturkarte aufgesetzt hatte, so dass hier bereits das Schlüsselpaar vorhanden und nicht änderbar war.
Die SECCOS Karten stellen -konzeptionell- die Basis für eine Signaturkarte der Banken da. Das bedeutet, dass die notwendigen Schlüsselpaare bereits bei der Produktion der Karte auf der Karte erzeugt werden und anschliessend nicht mehr änderbar sind. Das gilt sowohl für die "personalisierten" SECCOS Karten, wie auch für die "unpersonalisierten" SECCOS Karten!
"Personalisert" und "Unpersonalisert" in "" da der Begriff falsch ist. Der Unterschied zwischen beiden Karten besteht im wesehntlichen darin, dass die "personalisierte" Karte ein Zertiikat auf der Karte hat, dass die Echtheit der Karten bestätigt. Bei der Schlüsseleinreichung wird das Zertifikat mit gesendet und von der Bank überprüft. Passt das Zertifikat zum Schlüssel, wird dieser sofort ohne INI Brief Austausch frei geschaltet.
Da das Zertifikat -bisher- ein bankeneigenes Zertifikat für die Schlüssel des Kunden is, hat sich der Begrif personalisiert eingebürgert. Dieses Zertifikat fehlt bei der "unpersonaliserten" Karte.
Zitat geschrieben von hb
Wie verhält es sich nun mit personalisierten SECCOS-Karten? Die bekommt der Kunde geliefert und muß hoffen, dass der Private Schlüssel nicht ausgelesen wurde.
Wie oben schon geschrieben, ist das ein Märchen. Beide Varianten haben die Schlüssel schon drauf und bei beiden Karten (wie im Übrigen bei den alten Karten auch), können die Schlüssel nicht ausgelesen werden.
Zitat geschrieben von hb
Manche Volksbanken aus dem hannoverschen Umland verweigern sogar den Einsatz unpersonalisierter,
freier SECCOS-Karten. Bankseitig müßte lediglich die Kartennummer dem Kunden zugeordnet werden. Dieser Aufwand dürfte niedriger als der zur Kartenpersonalisierung sein, wird aber trotzdem aus offensichtlich vorgeschobenen Gründen gescheut.
Der Aufwand mit der Karte ohne Zertifikat ist für die Bank selber durchaus höher. Die anere Karte wird aus dem Banksystem herraus bestellt und dem Kunden zugestellt. Das war es in der Regel. Die andere Karte muss manuell bestellt werden, die Karte muss im System dem Kunden zugeordnet werden und die Schlüssel müssen anhand des Ini-Briefs frei gegeben werden.
Der eigentliche Grund dürfte aber ein anderer sein:
Die Chipkartentechnologie schreitet in den letzten Jahren rasant vorran, was hete ausgegeben wird, ist vielleicht in 3 - 4 Jahren nicht mehr "state of the art". Die Karten mit Zertifikat, haben aufgrund der Lebensdauer des Zertifikates ein Laufzeitende. Nach diesem Ende, werden die Karten automatisch ausgetauscht und man erhält dann wieder den aktuellen Stand der Technik. Bei den Karten ohne Zertifikat müssen alle Karten manuell ausgetauscht werden, wenn diese Technik nicht mehr verwendet werden sollte.
Um auf deinen anderen Thread auch hier einzugehen:
Die Definition der Sicherheit der zugrundeliegenden Technik ist nicht willkürlich! Die Bundesnetzagentur veröffentlicht jedes Jahr einen Katalog, in dem Sie anführt, welche Signatur- und Verschlüsselungsverfahren und welche Schlüssellängen Sie für Signaturen als geeignet ansieht.
Mit welcher Begründung möchte man den die Ausage tätigen: Für Signaturen im normalen Leben werden die Verfahren nicht mehr als geeignet eingestuft, aber für Bankgeschäfte reichen die noch. ..
Die Schlüssel mit 768 Bit und 1024 Bit werden da übrigens bereits nicht mehr aufgeführt..........
Gruß
Holger
