Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

Signaturdatei und Chipkarten

 
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8229
Dabei seit: 08 / 2002
Betreff:

Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 29.03.2025 - 18:24 Uhr  ·  #1
Die Atruvia beginnt chargenweise am 07. Mai mit dem Austausch der öffentlichen Bankschlüssel (RDH-7, RDH-9 und RDH-10, also Chipkarten und Signaturdateien). Man folgt damit den Sicherheitsempfehlungen des BSI.
In den meisten Programmen muss man den neuen Schlüssel der Bank einmal bestätigen, danach kann die Verbindung wieder genutzt werden.

Je nach Bank wurden unterschiedliche Termine vergeben, drei Wochen vor den Termin werden Banknachrichten über HBCI verschickt.

Die Kundenschlüssel sind frühestens irgendwann in 2026 dran.

PIN und TAN-Verfahren sind nicht betroffen!

Gruß
Raimund
Heart
Benutzer
Avatar
Geschlecht:
Beiträge: 349
Dabei seit: 11 / 2003
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 31.03.2025 - 16:59 Uhr  ·  #2
Zitat geschrieben von Raimund Sichmann
Die Kundenschlüssel sind frühestens irgendwann in 2026 dran.

Hallo Raimund, was ist genau mit diesem Satz gemeint?
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8229
Dabei seit: 08 / 2002
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 01.04.2025 - 01:10 Uhr  ·  #3
Schlüssel und damit auch Karten mit 1984 Bit Schlüsselstärke müssen dann gewechselt werden.
Bei EBICS wird es demnächst akut, das genaue Datum habe ich gerade nicht im Kopf.
subsembly
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4573
Dabei seit: 11 / 2004
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 01.04.2025 - 09:41 Uhr  ·  #4
Wäre super, wenn die Atruvia eine komplette Liste der neuen Bankschlüssel-Hashwerte zur Verfügung stellen würde, dann könnte man die Umstellung automatisieren ohne den Anwender damit belästigen zu müssen.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8229
Dabei seit: 08 / 2002
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 01.04.2025 - 20:53 Uhr  ·  #5
Du hast doch sicherlich den Newsletter für Entwickler, sprich doch den Autor mal an, ob das eine Möglichkeit ist.

Ich frag mich auch, warum der Schlüsselwechsel nicht per se automatisierbar ist, der Profilwechsel auf RDH10 war ja seinerzeit aus Anwendersicht ja auch online möglich, alte Unterschrift unterschreibt neue Signatur. Das ist im Verfahren wohl nicht vorgesehen, nehme ich an.
subsembly
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4573
Dabei seit: 11 / 2004
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 02.04.2025 - 08:38 Uhr  ·  #6
Hatte ich vergessen, es ist möglich, dass der neue Bankschlüssel mit dem alten Bankschlüssel signiert wird und somit automatisch übernommen wird. Nur wenn der alte Bankzugang nicht mehr vorhanden ist, oder der Kunde einen neuen Bankzugang einrichtet geht das nicht.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8229
Dabei seit: 08 / 2002
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 16.04.2025 - 13:45 Uhr  ·  #7
Die Atruvia verschickt pünktlich seit heute (drei Wochen vor dem Tausch) die ersten Infos per Institutsnachricht bei den betroffenen Banken und Zugängen.

Da Chipkarten in jedem Fall eine Bestätigung benötigen, wird dies bei den meisten Banken lediglich bei RDH-7 (personalisierte Karte) oder RDH-9 (sogenannte basic-Karte ohne Namensaufdruck) erfolgen.
vader
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 972
Dabei seit: 12 / 2004
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 29.04.2025 - 11:01 Uhr  ·  #8
Gerade von meiner Voba bekommen

Zitat

Um auch zukünftig höchste Sicherheitsstandards im Onlinebanking zu gewährleisten,
passen wir unsere Systeme laufend an die technischen Entwicklungen und die
Anforderungen des BSI an.

Zum 14.05.2025 werden wir in einem ersten Schritt die Länge des Öffentlichen
Bankschlüssels auf 2048 Bit erhöhen.

Bei der ersten Datenübertragung in Ihrem Zahlungsverkehrsprogramm ab dem
14.05.2025 kann es aus diesem Grund zur Anzeige neuer, sogenannter "Hashwerte"
kommen. Es handelt sich hierbei um eine Art "Fingerabdruck" des öffentlichen
Bankschlüssels.

Bitte bestätigen Sie diesen neuen Hashwert / Schlüssel, da anderenfalls keine
Kommunikation mehr mit Ihrer Bank möglich ist.

Für weitere Rückfragen wenden Sie sich bitte an Ihre Bank.
vader
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 972
Dabei seit: 12 / 2004
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 29.04.2025 - 11:18 Uhr  ·  #9
Zitat geschrieben von Raimund Sichmann

Die Kundenschlüssel sind frühestens irgendwann in 2026 dran.

Zitat geschrieben von Raimund Sichmann

Schlüssel und damit auch Karten mit 1984 Bit Schlüsselstärke müssen dann gewechselt werden.

Wie sieht es denn bei denn bei bestehenden "Basic" Karten aus. Können die auch längere (2048) Schlüssel speichern?
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6201
Dabei seit: 02 / 2003
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 29.04.2025 - 12:35 Uhr  ·  #10
Zitat geschrieben von vader

Wie sieht es denn bei denn bei bestehenden "Basic" Karten aus. Können die auch längere (2048) Schlüssel speichern?

Die Schlüssel des Kunden werden bei den Chipkarten bereits bei der Produktion auf die Karte aufgebracht und sind nicht änderbar. Bei den Bankschlüsseln wird "nur" der Hash auf der Karte gespeichert
.
vader
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 972
Dabei seit: 12 / 2004
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: 29.04.2025 - 14:08 Uhr  ·  #11
Hallo Holger,
danke, ich war der irrigen Annahme der Schlüssel selbst würde auf der Karte gespeichert. Dann sind nächstes Jahr wohl neue Karten fällig.
cyber
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: 05 / 2025
Betreff:

Hashwert vergleichen

 · 
Gepostet: 16.05.2025 - 22:37 Uhr  ·  #12
Zitat geschrieben von subsembly
Wäre super, wenn die Atruvia eine komplette Liste der neuen Bankschlüssel-Hashwerte zur Verfügung stellen würde, dann könnte man die Umstellung automatisieren ohne den Anwender damit belästigen zu müssen.
Ja.
Kann mir jemand den Hash-Wert (Prüfsumme) des neuen Bank-Schlüssels, der seit 14.05.2025 für fints2.atruvia.de:3000 FinTS 3.0 BLZ51390000 verwendet wird sagen?
Ich soll den Hashwert vergleichen oder den Vorgang aus Sicherheitsgründen abbrechen.
Die Experten von der Bank wussten den nicht.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8229
Dabei seit: 08 / 2002
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: Gestern um 19:42 Uhr  ·  #13
Zitat geschrieben von subsembly
Hatte ich vergessen, es ist möglich, dass der neue Bankschlüssel mit dem alten Bankschlüssel signiert wird und somit automatisch übernommen wird. Nur wenn der alte Bankzugang nicht mehr vorhanden ist, oder der Kunde einen neuen Bankzugang einrichtet geht das nicht.
ja genau, glücklicherweise unterstützen viele verbreitete Programme diese Methode.
Es ist wohl so, dass der neue Bankschlüssel nicht nur bei der Sicherheitsdatei, sondern auch bei der Chipkarte von der Software automatisch eingetragen werden kann, sofern der Schlüsselwechsel unterstützt wird. Die Testmöglichkeiten des Rechenzentrums waren sicherlich mangels Hardware eingeschränkt, deshalb war die Info zur Chipkarte nicht perfekt, sondern entsprach einer Neueinrichtung.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8229
Dabei seit: 08 / 2002
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: Gestern um 20:02 Uhr  ·  #14
Zitat geschrieben von cyber
Kann mir jemand den Hash-Wert (Prüfsumme) des neuen Bank-Schlüssels, der seit 14.05.2025 für fints2.atruvia.de:3000 FinTS 3.0 BLZ51390000 verwendet wird sagen?
Ich soll den Hashwert vergleichen oder den Vorgang aus Sicherheitsgründen abbrechen.
Die Experten von der Bank wussten den nicht.
oha, warst du da wirklich in der richtigen Abteilung? Die neuen Schlüssel sind ja vorbildlich vom Rechenzentrum Wochen vorher bereits den Banken zugänglich gemacht worden.
BLZ51390000, das ist die Voolksbank Mittelhessen eG, richtig?

Für RDH 9 (unpersonalisierte Chipkarte) lautet der neue 2048bit Hash:
99A93C75E4C922EB70A8AE37314B71EA25F1BB9C3C67E8638DC517F669F73DD9

Für RDH 7 (personalisierte Chipkarte mit Namensdruck):
04963AB7DD407C72A3AFE156DE2A6CB73EEDF9F472404D8A895BDC06E0ADC0F2

Für RDH 10 (Dateiverfahren):
1A52E5D86DC24A56F085AE73B2745B72397D4606F0EAFA1EAB229EF951FCA7F0

Selbst wenn ich "einfach so" den neuen Schlüssel bestätige, halte ich das Sicherheitsrisiko bei einem Bankschlüsselwechsel für extrem gering. Was kann passieren, wenn die richtige Serveradresse eingetragen ist?
Wäre die Bank oder der Weg dahin gehackt, könnte man z.B. Aufträge an die Hacker senden, aber was hätten die davon, außer ein paar ZV-Daten, die man auf anderem Wege wesentlich einfacher bekommen könnte.

Aus "echtem akademischem Interesse": Kennt jemand ein theoretisches Szenario, bei dem ein untergeschobener falscher Bankschlüssel zu einem echten Schaden beim Zahlungsverkehr führen könnte?

Gruß
Raimund
cyber
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: 05 / 2025
Betreff:

Danke

 · 
Gepostet: Gestern um 21:38 Uhr  ·  #15
Vielen Dank. Der Hashwert für RDH 10 stimmte überein.
Die Abteilung hatte nur die Mitteilung gefunden, dass es neue Schlüssel gibt. Angeblich ohne Hashwerte.
Das würde mich auch interessieren. Ein paar Daten werden im Klartext übertragenen.
Gruß
Daniel
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8229
Dabei seit: 08 / 2002
Betreff:

Re: Atruvia Banken bekommen neue öffentliche HBCI-Schlüssel

 · 
Gepostet: Heute um 11:30 Uhr  ·  #16
Hallo Daniel,
der Full-Quote ist nicht nötig, den habe ich deshalb gelöscht. Worauf bezieht sich deine Frage genau?
Gewählte Zitate für Mehrfachzitierung:   0