Fehler bei der Signaturprüfung

Hallo,
ich richte gerade GnuCash 2.4.0 (aqhbci 4.2.4) ein und will mit meiner Volksbank (hbci.gad.de) via HBCI (Variante mit Schlüsseldatei) kommunizieren.
Dazu habe ich von der Bank Benutzerkennung und Hash-Werte bekommen.

Und jetzt beginnt das Abenteuer

Folgende Einstellungen habe ich durchgeführt:
Bankleitzahl: wie sie halt sein soll,
Bankname (automatisch),
Server (automatisch),
Name: halt meinen Namen
Benutzerkennung: nach Vorgabe
Kundennummer: bleibt frei
Erweiterte Einstellungen:
HBCI-Version: HBCI 3.0
RDh Version: 2
Bankschlüsselname: bleibt frei
Haken bei folgenden Optionen:
Bank signiert ihre Nachrichten
Nicht BASE64 kodiert (ohne hat es nicht funktioniert)

Diese Einstellungen wurden akzeptiert

Das abrufen der Schlüssel vom Server haben funktioniert
Der Hash-Wert passte mit dem INI-Brief der Bank zusammen

Jedoch bei der Übergabe des eigenen neu generierten Schlüssels an die Bank gab es folgende Fehlermeldung:

23:19:03
Locking users
23:19:03
Locking user [meine Benutzerkennung]
23:19:03
Executing HBCI jobs
23:19:03
AqHBCI gestartet
23:19:03
Mit Bank verbinden...
23:19:03
Ermittle Adresse von "hbci.gad.de" ...
23:19:03
Ermittelte IP Adresse ist 194.149.255.35
23:19:03
Verbunden.
23:19:03
Aufträge werden kodiert
23:19:03
Aufträge werden gesendet
23:19:03
Warte auf Antwort
23:19:05
Antwort erhalten
23:19:05
HBCI: 9800 - Abgebrochen - Signaturpruefung (M)
23:19:05
HBCI: 0020 - HBCI-Berechtigung ist OK (S)
23:19:05
HBCI: 9010 - Schlüssel wurde nicht entgegegenommen (S)
23:19:05
HBCI: 9340 - Die Signatur ist falsch (S)
23:19:05
Dialog-Abbruch durch den Server.
23:19:05
Verbindung von Bank trennen...
23:19:05
Getrennt.
23:19:05
AqHBCI abgeschlossen.
23:19:05
Auftrag enthält Fehler.
23:19:05
Abgeschlossen. Sie können dieses Fenster nun schließen.

Was kann hier schief gelaufen sein?????

Übrigens: Eine Wiederholung des ganzen Prozesses scheint nicht zu gehen, jeder Dialog mit der Bank wird per Timeout abgebrochen, egal welche Einstellungen gemacht werden. Vermutlich muss die Kennung wieder freigegeben werden
Werde das zu Wochenbeginn mit der Bank klären.

Bin für jeden Tipp dankbar
Gruß mariejo

Hallo,
hat etwas gedauert, aber ich hab erst mal ein ubuntu 10.10 eingerichtet, um über die Konsole arbeiten zu können (mein GnuCash läuft auf Windows)

Habe das ganze in 2 Varianten durchgespielt, deren Ergebnis ist reproduzierbar.

Variante 1: aqhbci-tool4 adduser ohne -c Option
Variante 2: adduser mit -c Option (= VR-Kennung)

Beide Varianten scheitern bei aqhbci-tool4 sendkeys mit unterschiedlichen Fehlermeldungen

Die Schritte im Einzelnen (Variante 1):

gct-tool create -t ohbci -n /home/bank/hbcikey.rdh

aqhbci-tool4 adduser -t ohbci -n /home/bank/hbcikey.rdh2 --context=1 -b 47860125 -u 672....... -s hbci.gad.de -N "mein Name" --rdhtype=2 --hbciversion=300

aqhbci-tool4 getkeys -c 672.......

wird mit Warnungen wegen nicht püfbarer Signatur ausgeführt, aber ansonsten ohne Fehlermeldungen

Prüfung des Hash passte auch

aqhbci-tool4 iniletter -B -c 672.......

aqhbci-tool4 createkeys -c 672.......

Dann kam der fehlerhafte sendkeys

aqhbci-tool4 sendkeys -c 672.......
Rückmeldung (Auszug):
Warte auf Antwort
Antwort erhalten
HBCI: 9800 - Abgebrochen - Dialog-Init (M)
HBCI: 9010 - Karte ungueltig (S)
Dialog-Abbruch durch den Server.

Die Rückmeldung bei der Variante 2:
HBCI: 9800 - Abgebrochen - Dialog-Init (M)
HBCI: 9010 - Berechtigung für diesen Geschäftsvorfall nicht ausreichend (S)


Hab die letztere auch zu meinem Bank-Berater geschickt, ob er was damit anfangen kann.

Kann denn mit dem eigenen Key noch was nicht passen?

Ich habe mir mit
gct-tool showkey -t ohbci -n hbcikey.rdh2

den Inhalt der key-Datei angeschaut:
Besetzt sind
Lokaler Signaturschlüssel
Lokaler Cryptoschlüssel
Signaturschlüssel des Servers
Cryptoschlüssel des Servers
Lokaler Authentifizierungsschlüssel

Nicht belegt ist:
Authentifizierungsschlüssel des Servers

Ich denke mal, die Antwort des Bank-Beraters wird lauten:
"Nehmen sie doch lieber VR-Networld"
Aber so schnell will ich nicht aufgeben.

Hast du noch eine Idee, Martin oder sollte ich es mit aqbanking 5 probieren?
Gibts da eigentlich irgendwo fertige Pakete für die 5er-Version zum Installieren auf ubuntu?

Gruß
mariejo

Der Bankberater hat mir jetzt gesagt, ich solle erst den unterschriebenen INI-Brief einreichen - kann ich ja gerne machen.

Aber zu welchem von mir erzeugten Schlüssel (einmal mit und einmal ohne VR-Kennung) soll ich denn den INI-Brief einreichen?

Der INI-Brief der Bank enthielt nur die Benutzerkennung 672....
Im Anschreiben hat der Kollege der Bank noch die VR-Kennung mit angegeben, "falls GnuCash das brauchen sollte".

Was schlägst Du vor Martin?

Gruß
mariejo

Das mit dem Ini-Brief bei der Bank einreichen hat auch nicht geklappt.
Ein wichtiger Hinweis von der Bank: Auf keinen Fall die VR-Kennung als Kunden-ID verwenden sondern sowohl Benutzerkennung als auch Kundennummer immer mit der übergebenen Kennung 672.... belegen.

Die Bank hat mir eine neue Benutzerkennung gegeben. Mit der haben ich dann das ganze Prozedere noch mal durchgeführt (Schlüsseldatei erstellt, Bank-Schlüssel geholt, eigenen Schlüssel gebildet, eigenen Schlüssel an die Bank geschickt)

Und diesmal hat alles wunderbar funktioniert

Auch der von mir erzeugte öffentliche Schlüssel wurde von der Bank akzeptiert!

Ich denke, dass jetzt auch die weiteren Schritte funktionieren werden (wenn nicht, melde ich mich noch mal). Ansonsten war's das.
Dir Martin einen herzlichen Dank für die Unterstützung und natürlich auch für deine Programmierung

Gruß
mariejo