Commerzbank HBCI Karte, ReinerSCT neues DriverPackage Paket ... und ein paar Fragen

Ich nutze seit der Beta die neuen Treiber und hatte keine Probleme.

Die Hypovereinsbank hatte ja auch so ein Wechsel und ich hatte gerade (weil oben erw.) auch dies hier gefunden:
https://www.alf-banco.de/forum/viewtopic.php?t=7431 Thematik also nicht ganz neu.
Evtl kam halt jetzt nur die Abschaltung.

Die Kommunikation der Banken ist hier immer etwas dünn.

Da jetzt alles wieder funktioniert, nutzen bis die nächste Überraschung kommt - weil unsere Glaskugeln wissen auch nicht was noch kommt. (evtl. komplette Abschaltung der Karten oa.)

Die Commerzbank liefert im Segment HNSHK für die RAH-7/9 Banksignaturen für manche BLZ leider falsche Werte. In der neuen Version 7.8.8 von Banking4/ZV haben wir hierfür einen Work-Around eingebaut.

PS: Falls Jemand einen guten Kontakt zur Commerzbank IT hat, bitte melden. Unseren Fehlerbericht an info@commerzbank.de zu schicken halte ich für sinnlos.

Hallo zusammen,

herzlichen Dank für die ausführlichen und wirklich hilfreichen Informationen. Leider habe ich erst heute Zeit gehabt mich dafür bei euch zu bedanken!

Das mit den HBCI Schlüsseln war mir absolut nicht klar. Bei der Sparkasse und den VR Banken wusste ich, dass die Schlüssel sich schon auf den neueren SECCOS Karten befinden. Aber bei der Commerzbank Karte nahm ich an, dass dieses Schlüsselpaar z.B. bei Moneyplex durch die "Erstinitialisierung" erzeugt werden und dann aufdie Karte geschrieben werden. Hintergrund: Bei der Commerzbank Karte, vertrieben durch ReinerSCT, soll es sich um eine "Blancokarte" handeln.
Die habe ich zumindest einmal bei der Bestellung gelesen. Und da die Erstinitialisierung schon recht lange dauerte, ging ich felsenfest davon aus, dass hier diese Schlüssel (einmalig) auf die Karte geschrieben werden.

Ich bin natürlich kein Cryptologe. Aber wird wirklich bei einem Tausch des Verschlüsselungsverfahrens RDH => RAH wirklich kein neues Schlüsselpaar erzeugt. Das müsste doch ein komplett neues Schlüsselpärchen sein.

Siehe auch hier: Link

Wie gesagt, ich will nicht darauf herumhacken. Aber es ist bei einer Fehlersuche wirklich von Vorteil das Verfahren mindestens einmal im Grundsatz verstanden zu haben ...

Viele Grüße
Michael

Bei den alten Karten RDH1 mit z.B. Starcos Betriebssystem war das auch so. Theoretisch kann man auch heute noch Karten ausgeben, bei denen das auch mit größeren Schlüssellängen so möglich ist. Da SECCOS Karten aber derzeit die einzigen, sich wirklich im Umlauf befindlichen Karten sind, ist das bei denen wie beschrieben.


RDH bedeutet RSA DES Hybrid. Mit den RSA Schlüsseln werden die Aufträge signiert. Für die eigentliche Verschlüsselung des Dialoges, ist diese Verschlüsselung viel zu aufwändig und es würde bedeuten, dass alle verschlüsselten Daten immer durch die Chipkarte gehen müssten. Daher werden die eigentlichen Daten mit einem DES Schlüssel verschlüsselt. Dieser DES Schlüssel wird bei jedem Dialog neu erzeugt, mit dem RSA Schlüssel verschlüsselt und signiert und an die Bank gesendet. Damit nutzen beide Partner temporär immer den gleichen Verschlüsselungsschlüssel.
RAH bedeutet RSA AES Hybrid. Es wird also zum RDH Verfahren nur die Crypto für den temporären Verschlüsselungsteil ausgetauscht.

Natürlich könnte eine Bank hingehen und sagen, ich akzeptiere für ein neues Profil die alten Schlüssel nicht, aber
1. In der Spezifikation für den Wechsel von RDH auf RAH ist das extra wie oben beschrieben definiert worden
2. Schlüssel und Karten bei Kunden auszutauschen ist richtig Aufwand (die Kosten für eventuell neue Karten spielen dabei keine Rolle), daran hat keine Bank Interesse.

Trotzdem ist das tatsächlich bei einer der Banken passiert, die von RDH auf RAH umgestellt haben. Die wollten tatsächlich neue Schlüssel haben. Hier war aber eine Historie vermutlich die Ursache. Man wollte auf RAH9 und RAH10 gehen und musste vorhandene alte Profile mit alten Schlüssellängen damit bereinigen. Das hat am Anfang dazu geführt, dass man neue Schlüssel braucht und ggf. eine neue Karte (da die Schlüssel ja fest drauf sind). Das hat sich nach meinem Stand aber bereits seit längerem erledigt.


Der Link enthält auch keinen Widerspruch zu meinen Ausführungen RDH1 und RDH2 unte3rscheiden sich alleine schon von der RSA Schlüssellänge deutlich von einem RDH10 Profil, dazu kommen weitere Merkmale bzgl dem Bilden von Signaturen und Hashwerten.