RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert? · homebanking-hilfe.de / onlinebanking-forum.de

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8117
Dabei seit: 08 / 2002

Betreff:

RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 19.11.2004 - 12:07 Uhr · #1

An die Karten-Hardwarespezialisten unter uns: Wo wird bei der Blankokarte der öffentliche Schlüssel der Bank abgelegt?

Wird bei Profi cash eine bereits freigeschaltete HBCI-Blankokarte neu angemeldet und ein Umsatzabruf gestartet, dann wird als erstes der öffentliche Schlüssel der Bank abgeholt und überprüft (Hash wird angezeigt und muss bestätigt werden, genau wie bei einer Diskette).

Ich gehe deshalb davon aus, dass der Schlüssel der Bank auf der Festplatte abgelegt wird.

aktueller Grund für das Problem:

Wir haben einen Kunden mit einer freigeschalteten Blankokarte (VRNWcard basic) nebst Klasse 3 Kartenleser (Reiner) versorgt, leider scheitert die erfolgreiche Datenübertragung an der u.a. Fehlermeldung. Wie gesagt: Die Karte ist bei uns bereits unter Proficash einwandfrei eingesetzt worden und aktiv.

MacGiro setzt allerdings normalerweise den öffentlichen Schlüssel auf der Karte voraus, lt. Aussage eines Spezialisten der Firma aus Hamburg - dieses vermute ich als Ursache für das Problem.

Die Fehlermeldung bei der Datenübertragung lautet:

Zitat

Erzeuge Nachrichten
Nachrichten werden signiert und verschlŸsselt
Verbindungsaufbau zu HBCI.GAD.DE bei 42461435 fŸr 67264xxxxxx
Dialoginit-Nachricht wird versandt
Warte auf Antwortnachricht
-9900 ACHTUNG: SIE HABEN GERADE EINE UNVERSCHL†SSELTE NACHRICHT ERHALTEN, DIE EIGENTLICH VERSCHL†SSELT SEIN SOLLTE. SIND IHRE SCHL†SSEL NOCH NICHT FREIGESCHALTET, DANN K…NNEN SIE DIESE MELDUNG IGNORIEREN. ANSONSTEN KANN ES AUF EIN SICHERHEITSPROBLEM HINDEUTEN;
-9900 ACHTUNG: SIE HABEN GERADE EINE UNSIGNIERTE NACHRICHT ERHALTEN, DIE EIGENTLICH SIGNIERT SEIN SOLLTE. SIND IHRE SCHL†SSEL NOCH NICHT FREIGESCHALTET, DANN K…NNEN SIE DIESE MELDUNG IGNORIEREN. ANSONSTEN KANN ES AUF EIN SICHERHEITSPROBLEM HINDEUTEN;
9800 Abgebrochen;
9160 F0003 HBCI-Segment-Fehler; Signaturkopf-Hashalgorithmus = 999
-----------------------------------------------------------------

Erzeuge Nachrichten
Nachrichten werden signiert und verschlŸsselt
Verbindungsaufbau zu HBCI.GAD.DE bei 42461435 fŸr 672640xxxxxxxxx
Dialoginit-Nachricht wird versandt
Warte auf Antwortnachricht
-9900 ACHTUNG: SIE HABEN GERADE EINE UNVERSCHL†SSELTE NACHRICHT ERHALTEN, DIE EIGENTLICH VERSCHL†SSELT SEIN SOLLTE. SIND IHRE SCHL†SSEL NOCH NICHT FREIGESCHALTET, DANN K…NNEN SIE DIESE MELDUNG IGNORIEREN. ANSONSTEN KANN ES AUF EIN SICHERHEITSPROBLEM HINDEUTEN;
-9900 ACHTUNG: SIE HABEN GERADE EINE UNSIGNIERTE NACHRICHT ERHALTEN, DIE EIGENTLICH SIGNIERT SEIN SOLLTE. SIND IHRE SCHL†SSEL NOCH NICHT FREIGESCHALTET, DANN K…NNEN SIE DIESE MELDUNG IGNORIEREN. ANSONSTEN KANN ES AUF EIN SICHERHEITSPROBLEM HINDEUTEN;
9800 Abgebrochen;
9160 F0003 HBCI-Segment-Fehler; Signaturkopf-Hashalgorithmus = 999

leider kriege ich die Mac-Texte nicht vernünftig angezeigt, sorry

Gruß
Raimund

/edit: ich habe gerade noch einen Rückruf erhalten: MacGiro bietet auch das erneute Abholen des Bankschlüssels an und speichert diesen dann auf der Karte.
Dazu muss man in der Ktoeinrichtung (Ini-Brief der Bank) die bisherige Ktoverbindung löschen und dann ein neues Kto mit der richtigen HBCI-Version neu anlegen.
Dann kann man auswählen, ob der Bankschlüssel online abgeholt werden soll.
pps: Vielen Dank an Herrn K. aus HH

(wir suchen weiterhin Mac-Spezialisten!)

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 19.11.2004 - 12:24 Uhr · #2

Beide Schlüssel müssen eigentlich auf der Karte liegen.

Ich arbeite mit einnem eigentlich für HBCI erzeugten RSA Key auf ner Chipkarte auch für FTAM. In SFirm32 kann ich, wenn ich mich für FTAM neu initialisieren will, entweder nen Key neu erzeugen oder aber nur den öffentlichen Key von der Karte lesen.
Ergo muss er auch dort gespeichert sein....

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6115
Dabei seit: 02 / 2003

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeicher

· Gepostet: 19.11.2004 - 13:10 Uhr · #3

Hallo Raimund,

alle Schlüssel werden auf der Karte gespeichert.

Gruß

Holger

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8117
Dabei seit: 08 / 2002

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 19.11.2004 - 13:26 Uhr · #4

ah, schade, da hatte ich (wieder) Unrecht. Hm, ich frag mich dann, warum zeigt Proficash den HASH erneut an?
Wird da etwas zusätzlich verglichen?

Eric Walter

Benutzer

Geschlecht: keine Angabe
Herkunft: Hamburg
Homepage: med-i-bit.de
Beiträge: 27
Dabei seit: 03 / 2004

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 24.11.2004 - 15:48 Uhr · #5

Wir hatten mittlerweile Gelegenheit, das Problem mit HOMEcash Light nachzuvollziehen. HOMEcash sowie auch vermutlich PROFIcash schreiben die Angaben für Schlüsselnummer und Schlüsselversion von Bank- und Kundenschlüsseln in einem nicht korrekten Format auf die Karte. Laut Spezifikation der HBCI-Anwendung für RSA-Chipkarten sind die Daten linksbündig in den entsprechenden Feldern zu speichern. In einer mit HOMEcash Light initialisierten Karte sind die Daten dort rechtsbündig eingestellt. Ich habe das bereits PPI mittgeteilt, deren Kernel ja in HOMEcash Light verwendet wird.

Für MacGiro-Anwender besteht derzeit die Lösung darin:

- Bei der Bank den Schlüssel zurücksetzen zu lassen.
- Falls der Zugang in MacGiro bereits eingerichtet wurde: Im Assistenten zur HBCI-Zugangsverwaltung "Zugangsdaten löschen" aufzurufen.
- Im Assistenten zur Kontoeinrichtung bei der Auswahl des Zugangs auf der Karte "Bankverbindungen verwalten", dann die Bankverbindung löschen. Dabei werden auch die Schlüssel im falschen Format gelöscht.
- Den Zugang auf der Karte neu eintragen und normal einrichten, incl. Schlüsseleinreichung und Ini-Brief.

Eric Walter

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8117
Dabei seit: 08 / 2002

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 24.11.2004 - 16:41 Uhr · #6

hallo Eric,
das ist ja interessant, Danke dafür!

möglicherweise erklärt sich damit auch die Inkompatibilität bei einigen anderen Programmen...

Mal sehen, was sich daraus noch ergibt.
Gruß
Raimund

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6115
Dabei seit: 02 / 2003

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 24.11.2004 - 17:40 Uhr · #7

Hallo Eric

Zitat geschrieben von Eric Walter

Laut Spezifikation der HBCI-Anwendung für RSA-Chipkarten sind die Daten linksbündig in den entsprechenden Feldern zu speichern. In einer mit HOMEcash Light initialisierten Karte sind die Daten dort rechtsbündig eingestellt. Ich habe das bereits PPI mittgeteilt, deren Kernel ja in HOMEcash Light verwendet wird.

Da muss ich Dir leider klar widersprechen!
Es gibt keine verbindliche Spec dafür, wie die Bankdaten auf HBCI RSA Karten geschrieben werden sollen! Das liegt ganz einfach daran, dass es auch noch keine spezifizierten RSA Chipkarten gibt.

Erst mit HBCI 3.0 sind RSA Chipkarten überhaupt vorgesehen! Und selbst hier laufen derzeit erst die Abstimmungen, wie ein Bankdatensatz in der Chipkartenanwendung aufgebaut sein soll.

PPI wird daher von dieser Seite sicherlich nichts unternehmen. Zumal andere Kernelhersteller anscheinend genauso Ihre Daten ablegen bzw. so tolerant sind, dass Sie mit eventuell vorhandenen Unterschieden klar kommen.

Gruß

Holger

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8117
Dabei seit: 08 / 2002

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 24.11.2004 - 18:11 Uhr · #8

Ist ja sehr interessant. Steckt böse Absicht dahinter oder wird wirklich nicht miteinander gesprochen?
Man könnte doch als technisch interessierter Laie meinen, dass sich die Entwickler zumindest am Telefon absprechen, ala: "Du, wie macht ihr das eigentlich mit den Schlüsseln, schreibt ihr die linksbündig oder rechtsbündig?"

Böse Leute würden denken, das Gespräch ginge dann so weiter: "aha, linksbündig. prima, dann nehmen wir rechtsbündig, unser Vorstand ist eh in der CDU..." :twisted:

Gruß
Raimund

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6115
Dabei seit: 02 / 2003

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 24.11.2004 - 19:52 Uhr · #9

Hallo Raimund

Zitat geschrieben von Raimund Sichmann

schön zu sehen, dass man in deinem Alter noch solche Träume haben kann

Im Ernst. natürlich gibt es Hinweise, wie die Chipkarte angesprochen werden sollte und natürlich gibt es auch Hinweise wo die Bankendaten abgelegt werden sollen. Nur vieles ist halt Interpretationssache.

Schau Dir doch mal an, wie unterschiedlich alleine schon eine echte Spec. wie die von HBCI teilweise interpretiert wird! Und Entwickler unterschiedlicher Konkurenzprodukte werden sich wohl kaum im Detail absprechen, wie Sie was umgesetzt haben. Da es aber richtlinien gibt, in denen sich die einzelnen Anwendungen Bewwgwn müssen, damit die Chipkarte grundsätzlich funktioniert, kann doch jeder Entwickler seine anwendung so tolerant gestalten, dass er solche Abweichungen abfangen kann.

Gruß

Holger

Gruß

Holger

Eric Walter

Benutzer

Geschlecht: keine Angabe
Herkunft: Hamburg
Homepage: med-i-bit.de
Beiträge: 27
Dabei seit: 03 / 2004

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 24.11.2004 - 19:53 Uhr · #10

Hallo Holger,

Zitat

Es gibt keine verbindliche Spec dafür, wie die Bankdaten auf HBCI RSA Karten geschrieben werden sollen! Das liegt ganz einfach daran, dass es auch noch keine spezifizierten RSA Chipkarten gibt.

Die Spezifikation von G&D ist zwar keine ZKA-Spezifikation und somit nicht verbindlich, dass HOMECash Light diese Spezifikation verwendet um mit der HBCI-Anwendung personalisierte Starcos SPK 2.3 Karten zu verarbeiten steht aber doch wohl ausser Zweifel?

Zitat

PPI wird daher von dieser Seite sicherlich nichts unternehmen. Zumal andere Kernelhersteller anscheinend genauso Ihre Daten ablegen

Ausser den von PROFIcash / HOMECash beschriebenen Karten habe ich in über drei Jahren noch keine gesehen. Die Spezifikation ist in diesem Punkt auch eindeutig. Liegt sie Dir vor?

Zitat

bzw. so tolerant sind, dass Sie mit eventuell vorhandenen Unterschieden klar kommen.

Da spricht natürlich nichts dagegen. Die nächste MacGiro-Version wird insofern auch diese Karten verarbeiten können.

Gruß, Eric

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6115
Dabei seit: 02 / 2003

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 25.11.2004 - 09:40 Uhr · #11

Hallo Eric,

erst Mal Hut ab! Da kennt sich jemand prinzipiell aus!

Zitat geschrieben von Eric Walter

Hallo Holger,
Die Spezifikation von G&D ist zwar keine ZKA-Spezifikation und somit nicht verbindlich, dass HOMECash Light diese Spezifikation verwendet um mit der HBCI-Anwendung personalisierte Starcos SPK 2.3 Karten zu verarbeiten steht aber doch wohl ausser Zweifel?

Ja, das steht ausser Zweifel (ich nehm den PPI Kernel einfach mal mit in diese Aussage). Ändert aber nichts daran, dass in der SPK 2.3 die genaue Belegung nicht vorgeschrieben ist

Zitat geschrieben von Eric Walter

Die nächste MacGiro-Version wird insofern auch diese Karten verarbeiten können.

Schön zu hören! Schau Dir auch mal die Belegungen durch die SM Produkte an. Die sollten eigentlich genau so verfahren.

Gruß

Holger

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8117
Dabei seit: 08 / 2002

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 25.11.2004 - 10:44 Uhr · #12

Wäre es eigentlich problemlos möglich oder sinnvoll, den Bankschlüssel bei der ersten Datenübertragung bewusst zu ignorieren und dann nach der Verifizierung des Hash erneut abzuspeichern?
Ich könnte mir einen Button vorstellen: Bankschlüssel erneut verifizieren, oder so.

Nur ein Gedanke,
Gruß
Raimund

ps: Wir würden wirklich gerne einen MacGiro Bereich eröffnen, wenn sich jemand bereit erklärt, den zu betreuen

..oder jemand schenkt mir nen Mac, das wäre auch ok... :roll:

Eric Walter

Benutzer

Geschlecht: keine Angabe
Herkunft: Hamburg
Homepage: med-i-bit.de
Beiträge: 27
Dabei seit: 03 / 2004

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 25.11.2004 - 10:59 Uhr · #13

Hallo Holger,

Zitat geschrieben von Holger Fischer

Ändert aber nichts daran, dass in der SPK 2.3 die genaue Belegung nicht vorgeschrieben ist

Die Spezifikation für die HCBI-Anwendung auf diesen Karten, aus der ich hier nicht zitieren darf, legt dies sehr wohl fest.

Zitat

Schau Dir auch mal die Belegungen durch die SM Produkte an. Die sollten eigentlich genau so verfahren.

Nein.

Gruß, Eric

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: RSA-Blankokarte - wo wird der öfftl. Bankschl gespeichert?

· Gepostet: 25.11.2004 - 11:04 Uhr · #14

Wenn die Chipkarten-Geschichte derzeit nur mit dem PPI Kernel auftritt, sind sowohl alle Starmoney Produkte (SM Pro rechne ich mal als Windata) und auch SFirm32 aussen vor. Die Starfinanz verwendet natürlich den eigenen Kernel (SIZ/Starfinanz) und SFirm32 verwendet bis einschliesslich Version 2.0i auch den SF Kernel, aber nur für Karten. Ab 2.0i SP1 wird auch dafür der PPI Kernel verwendet, die Version kommt wahrscheinlich in KW50, wer die Möglichkeit hat kann es dann ja mal testen und verifizieren.