Falsher Hash-Code

Bankserver liefert nicht den INI-Hash zurück, was tun?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 09 / 2005
Betreff:

Falsher Hash-Code

 · 
Gepostet: 02.09.2005 - 12:49 Uhr  ·  #1
Hallo,

ich habe ein Problem mit der Einrichtung von AqBanking mit dem aqhbci-tool. Ich führe folgende Schritte aus:

Code
gct-tool create -t ohbci -n /etc/hbci.rsa
aqhbci-tool addmedium -t file -m /etc/hbci.rsa
aqhbci-tool adduser -m 0 -s URL -u USER_ID -b BLZ
aqhbci-tool getkeys
aqhbci-tool iniletter -B


Wobei ich als URL den Zielserver angegeben habe, als USER_ID die 19-stellige Zahl des INI-Briefes und als BLZ die Bankleitzahl auf dem INI-Brief.

Das Problem: es kommt ein Hashcode vom Server zurück, den ich auf dem INI-Brief nicht verifzieren kann. Auch wenn ich andere Werte für USER_ID oder BLZ eintrage kommt immer ein bestimmter Hash-Wert zurück, der leider nicht mit dem des INI-Briefes von der Bank überein stimmt.

Ich verwende aqhbci:1.5.1.0beta mit gwenhywfar:1.18.0.0

Was mache ich falsch, wie kann ich dem Problem weiter auf die Spur kommen?

Herzliche Grüße und danke für jede Hilfe,
Oliver
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Falsher Hash-Code

 · 
Gepostet: 02.09.2005 - 13:33 Uhr  ·  #2
Hallo Oliver,

welche Bank ist das? Ggf. arbeitet die bereits mit FinTS 3.0 und dort gibt es mit der 1024 Bit-Verschlüsselung einen neuen Hash-Wert, der allerdings auf deinem Ini-Brief stehen sollte - wenn der jedenfalls neu ist.

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 09 / 2005
Betreff:

Re: Falsher Hash-Code

 · 
Gepostet: 02.09.2005 - 13:38 Uhr  ·  #3
Hallo Raimund,

der INI-Brief ist vom 26.08.05 von einer Volksbank angebunden über die Fiducia.

Liebe Grüße,
Oliver
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 202
Dabei seit: 10 / 2004
Betreff:

Re: Falsher Hash-Code

 · 
Gepostet: 02.09.2005 - 16:30 Uhr  ·  #4
Hm, kann jetzt sein, dass ich total falsch liege, da ich mich jetzt auf "Neuland" bewege. (Kenne AyBanking nicht)

Ich habe den Eindruck, Du hast von Deiner Bank einen INI-Brief erhalten, um Dir selber ein Sicherheitsmedium (z. B USB-Stick) zu generieren.

Du sagst, dass die Hash-Werte falsch sind. Meinst Du damit, die Hash-Werte, die Du evtl mit dem INI-Brief der Bank abgleichen musst oder die Hash-Werte auf dem INI-Brief, den Dein Programm ausdruckt?

Normalerweise werden ja beim Einrichten afaik 4 Schlüssel ausgetauscht. 1 öffentlicher Schlüssel der Bank (den INI-Brief, den Du von Deiner Bank bekommen hast)., 2 Private, und noch ein öffentlicher, den Dein Programm Dir ausdruckt, welchen Du unterschrieben bei Deiner Bank zur Freigabe einreichen musst. Dass die Hash-Werte auf diesem INI-Brief anders sind als auf dem, den Du von der Bank bekommen hast, ist eigentlich normal.

Ich fürchte nur, dass Du durch das mehrmalige Probieren Dir den INI-Brief gesperrt hast (wenn Du mindestens zweimal eine Verbindung zum Bankrechnerzur Initialisierung aufgebaut hast.). Das ist zumindest bei der Fiducia München so.

Aber vielleicht habe ich Dich auch total falsch verstanden...

Schönes Wochenende

Andy
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 09 / 2005
Betreff:

Re: Falsher Hash-Code

 · 
Gepostet: 02.09.2005 - 16:52 Uhr  ·  #5
Hallo Andy,

Du vermutest schon richtig. Ich habe den INI-Brief der Bank vor mir und will ein eigenes Sicherheitsmedium (hier: eine Datei mit dem Namen hbci.rsa) benutzen. Den Public Key der Bank holt sich das aqhbci-tool mit dem Parameter "getkeys", wenn ich das richtig verstehe. Dieses Kommando wird auch anstandslos ausgeführt. Nun müsste ich mit dem Kommando "iniletter -B" den Hash-Wert des Public Keys der Bank verifizieren können. Hier klemmt es, das stimmt einfach nicht mit dem überein, was ich per Briefpost bekommen habe.

Wenn der Hash stimmen würde, könnte ich ein eigenes Schlüsselpaar erzeugen, dessen Public Key an die Bank übermitteln (verschlüsselt mit dem Public Key der Bank, so viel ich weiss) und meinen Hash-Wert auf anderem Wege zwecks Verifizierung an die Bank schicken. Soweit mein Verständnis von dem Ablauf, es kann aber sein, dass ich damit daneben liege ...

Ich kann's mir ja kaum vorstellen, dass durch das Abholen des Schlüsselpaares der Bank, mein INI-Letter gesperrt werden sollte. Ich habe ja noch garkeinen Zugriff auf irgendein Konto gestartet, davon bin ich mangels passender Schlüssel leider noch weit entfernt.

Alles nicht so einfach, finde ich ... :-(

Ich bin totaler HBCI-Laie, wie man sicher merkt. Was könnte ich noch tun, um das Problem zu lösen?

Was ist eigentlich bei "aqhbci-tool adduser" mit den Parametern -u und -c gemeint? Ich habe eine 19stellige Zahl, eine Kontonummer, eine Bankleitzahl und eine Personennummer (5stellig)? Vielleicht habe ich die Parameter einfach falsch verwendet.

Bin für Tipps sehr dankbar,
Oliver
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Hamburg
Homepage: aqbanking.de/
Beiträge: 642
Dabei seit: 03 / 2005
Betreff:

Re: Falsher Hash-Code

 · 
Gepostet: 03.09.2005 - 14:23 Uhr  ·  #6
Zitat geschrieben von oliver
Kommando wird auch anstandslos ausgeführt. Nun müsste ich mit dem Kommando "iniletter -B" den Hash-Wert des Public Keys der Bank verifizieren können. Hier klemmt es, das stimmt einfach nicht mit dem überein, was ich per Briefpost bekommen habe.

Das war ein Problem im alten aqhbci-tool, probiere bitte mal das aktuelle (1.6.0beta), da wurde der Code gefixed. Offensichtlich hat das Tool den Hash nicht korrekt berechnet.

Bitte unbedingt um Rueckmeldung !!

Vielen Dank und Gruss
Martin Preuss
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 09 / 2005
Betreff:

Re: Falsher Hash-Code

 · 
Gepostet: 05.09.2005 - 07:57 Uhr  ·  #7
Lieber Martin,

vielen Dank für Deine Hilfe, mit der Version 1.6.0beta klappt es!

Eine Frage wäre noch offen: welchen Parametern entsprechen die Werte auf dem INI-Letter der Bank? Ich meine insbesondere die 19-stellige Benutzerkennung und die 5-stellig Personennummer, auch Kundennummer genannt. In der Doku habe ich leider kein Beispiel dafür gefunden (ich habe manchmal aber auch Tomaten auf den Augen).

Code
aqhbci-tool adduser -m 0 -s hbci.server.com -u 1234567890123456789 -b 12345678


Ist das hier richtig? Ich verwende keine Konto- oder Kundennummer mit dem adduser-Befehl.

Viele Grüße,
Oliver
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Falsher Hash-Code

 · 
Gepostet: 05.09.2005 - 08:33 Uhr  ·  #8
Hallo Oliver,

die beiden Werte die du von der Bank bekommst heissen Benutzerkennung und Kunden-ID. Jede BAnk hat hier eine eigenes Schema, man kann nicht allgmein sagen das die Benutzerkennung 19-stellig und und das überhaupt eine Kunden-ID existiert. Es ist Aufgabe der Bank dir genau das mit der Bereitstellung der Zugangsdaten zu sagen....

Das keine Konto- oder Kundennummer verwendet wird ist durchaus üblich! Eine Bank vergibt über die Benutzerkennung eine Art Alias für deine Zugriffsrechte. Der Alias ist notwendig, weil die meissten Banken für dich mehrere Berechtigungsprofile abbilden können (TAN-Liste 1 mit Konto A+B, TAN-Liste2 nur mit Konto C, Chipkarte 1 mit Konto D+E, Sicherheitsdatei 1 mit allen Konten...).

Eine kleine Übersicht gibt es hier:
http://www.onlinebanking-forum…php?t=2116
Gewählte Zitate für Mehrfachzitierung:   0