Hashfunktion bei Sammelüberweisungen mittels Begleitzetteln

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 145
Dabei seit: 12 / 2004
Betreff:

Hashfunktion bei Sammelüberweisungen mittels Begleitzetteln

 · 
Gepostet: 30.10.2022 - 09:53 Uhr  ·  #1
Hallo!
Für die Gehaltszahlungen wird immer vom DATEV-Rechenzentrum eine Sammelüberweisungsdatei direkt an die Bank gesendet, und ich gebe diese dann frei. Die Authentizität prüfe ich anhand eines Begleitzettels, den ich bekomme, und der mit den Daten der Bank identisch sein muss.
Dabei wird auch eine Hashsumme der Datei angegeben, was -nach meinem laienhaften kryptographischen Verständnis- wohl das stärkste Sicherheitsmerkmal sein dürfte.
Weder Steuerberater, noch Bank können mir allerdings sagen, welches Verfahren angewendet wird. Die schienen die Frage und überhaupt das Interesse daran eher absurd zu finden. Von Hash hätten sie noch nichts gehört und dieser Punkt würde von den Kunden nie beachtet, weil vergleichsweise komplex. Die Kunden gäben frei, wenn die Summe und die Anzahl passe.
Trotzdem interessiert es mich. Also, welche ist es? Anhand der Länge halte ich MD5 für wahrscheinlich.
Grüße und sonnigen Sonntag
A.Borque
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 136
Dabei seit: 03 / 2016
Betreff:

Re: Hashfunktion bei Sammelüberweisungen mittels Begleitzetteln

 · 
Gepostet: 30.10.2022 - 11:35 Uhr  ·  #2
Zitat geschrieben von a.borque

Trotzdem interessiert es mich. Also, welche ist es? Anhand der Länge halte ich MD5 für wahrscheinlich.

MD5 (16 Byte = 128 Bit)
SHA1 (20 Byte = 160 Bit)
SHA256 (32 Byte = 256 Bit)

Verifikation vernutlich mühsam mit OpenSSL.

mfg Volker
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 145
Dabei seit: 12 / 2004
Betreff:

Re: Hashfunktion bei Sammelüberweisungen mittels Begleitzetteln

 · 
Gepostet: 30.10.2022 - 13:03 Uhr  ·  #3
Hatte da einen Denkfehler mit der Zeichenkodierung gemacht… eher SHA256. Es sind 32 Buchstaben, also 256bit, das passt nicht zu MD5. Aber ist er es wirklich? Es gibt doch mehrere Hasfunktionen mit 256bit Ergebnissen
Wieso Verifikation mit OpenSSL? Ich ging davon aus, dass eine Hashsumme der Auftragsdatei bei der Datev erstellt wird und mir parallel zur Dateiübertragung an die Bank als Begleitzettel zugesendet wird. Dann berechnet die Bank erneut den Hash und wenn die übereinstimmen, passt es.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 136
Dabei seit: 03 / 2016
Betreff:

Re: Hashfunktion bei Sammelüberweisungen mittels Begleitzetteln

 · 
Gepostet: 30.10.2022 - 14:43 Uhr  ·  #4
Zitat geschrieben von a.borque

Wieso Verifikation mit OpenSSL? Ich ging davon aus, dass eine Hashsumme der Auftragsdatei bei der Datev erstellt wird und mir parallel zur Dateiübertragung an die Bank als Begleitzettel zugesendet wird. Dann berechnet die Bank erneut den Hash und wenn die übereinstimmen, passt es.

Dann hast du ja nichts zu befürchten.

Vorsicht! 32 Buchstaben/Ziffern sind 16 Byte = MD5.
2 Buchstaben/Ziffern = 1 Byte

mfg Volker
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: Hashfunktion bei Sammelüberweisungen mittels Begleitzetteln

 · 
Gepostet: 30.10.2022 - 15:06 Uhr  ·  #5
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Hashfunktion bei Sammelüberweisungen mittels Begleitzetteln

 · 
Gepostet: 31.10.2022 - 15:23 Uhr  ·  #6
Zitat geschrieben von infoman

Zurzeit muss der Hashwert mit
SHA 256 berechnet werden.

Die Antwort ist zwar richtig, aber der Verweis auf die Bundesbank ist unglücklich. Die Bundesbank trifft hierzu keine Entscheidung oder macht hier Vorgaben. Spezifiziert wird das Ganze in der DK. Die aktuellste Spezifikation (die der Bundesbank hat einen Stand von vor 4 Jahren) findet man daher immer unter https://www.ebics.de/de/datenformate.

Zitat geschrieben von a.borque

Von Hash hätten sie noch nichts gehört und dieser Punkt würde von den Kunden nie beachtet, weil vergleichsweise komplex. Die Kunden gäben frei, wenn die Summe und die Anzahl passe.

Vor SEPA waren das auch die einzigen Kontrolloptionen. Sicherheitstechnisch aber sehr fragwürdig, da ich die Datei natürlich jederzeit so manipulieren kann, dass quasi die ganze Summe auf ein von mir gewünschtes Zielkonto geht, und die Kontrollsummen trotzdem stimmen. Der Sicherheitsanker ist hier -wie richtig von Dir erwähnt- der Hash.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 145
Dabei seit: 12 / 2004
Betreff:

Re: Hashfunktion bei Sammelüberweisungen mittels Begleitzetteln

 · 
Gepostet: 01.11.2022 - 13:43 Uhr  ·  #7
Spannenderweise wird im TAN-Medium (egal ob ChipTAN-Generater oder Secure-Go-Plus-App) noch immer nur die Überweisungsanzahl, die Gesamtsumme und das Auftraggeberkonto (also das, wovon abgebucht wird) zur Kontrolle angezeigt...
Theoretisch wären die Manipulationen also noch immer möglich...
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 145
Dabei seit: 12 / 2004
Betreff:

Re: Hashfunktion bei Sammelüberweisungen mittels Begleitzetteln

 · 
Gepostet: 01.11.2022 - 15:20 Uhr  ·  #8
Kurzer Nachtrag noch zu meinem Post #3, ich hatte mich über @vdelfs nachfolgenden Kommentar gewundert und dann erst gesehen, dass ich da einen Typo habe: es sind 2*32 Zeichen (zwei Zeilen mit je 32 Zeichen), also 64 Zeichen auf dem Freigabezettel.
Gewählte Zitate für Mehrfachzitierung:   0