Hallo allerseits!
Nach einigem Wühlen hier im Forum und im Netz ist mir nun bekannt, dass ein Leser der Klasse 3 mir keinen Zusatznutzen gegenüber der Klasse 2 bringt (ich will nur ein normales Konto online verwalten, also Kontostand, Überweisung, etc.).
Allerdings waren mir die gefundenen Ausführungen WARUM man keinen Zusatznutzen hat bislang zu schwammig (wobei ich sicher den ein oder anderen Thread übersehen habe).
Damit man mit einem Display einen wirklichen Sicherheitsgewinn erzielt, müssen z.B. bei einer Überweisung die Transaktionsdaten im Display angezeigt werden. Damit aber wirklich nur genau diese Daten signiert werden, müsste der Hash der Transaktion im Leser (oder in der Chipkarte) generiert werden. Ansonsten könnte eine manipulierte Anwendung dem Leser einen anderen Hash unterschieben. Liegt das Problem also darin, dass der Leser selbst keine Generierung von Hashwerten unterstützt?
In manchen Threads wurde geschrieben, dass das einzeilige Display das Problem wäre. Mir persönlich wäre es allerdings immer noch lieber, viel zu scrollen (mir würden die kritischen Daten wie Empfänger-Kontonr., BLZ und Betrag schon reichen) als auf die zusätzliche Sicherheit zu verzichten. Es wäre also ein reines Bequemlichkeitsproblem, dass man, wie von vielen auch angemerkt, durch ein größeres Display lösen könnte.
Ist es also die Banking-Software, die vorhandene Funktionen im Leser nicht nutzt? Oder ist es der Leser (bzw. seine Firmware) der entsprechende Funktionen (noch) nicht anbietet?
Das Format einer HBCI-Überweisung ist AFAIK doch spezifiziert, so dass der Leser keine proprietären Formate parsen muss.
Wer also genaues weiss (bitte keine Vermutungen), möge mich bitte erhellen
Nach einigem Wühlen hier im Forum und im Netz ist mir nun bekannt, dass ein Leser der Klasse 3 mir keinen Zusatznutzen gegenüber der Klasse 2 bringt (ich will nur ein normales Konto online verwalten, also Kontostand, Überweisung, etc.).
Allerdings waren mir die gefundenen Ausführungen WARUM man keinen Zusatznutzen hat bislang zu schwammig (wobei ich sicher den ein oder anderen Thread übersehen habe).
Damit man mit einem Display einen wirklichen Sicherheitsgewinn erzielt, müssen z.B. bei einer Überweisung die Transaktionsdaten im Display angezeigt werden. Damit aber wirklich nur genau diese Daten signiert werden, müsste der Hash der Transaktion im Leser (oder in der Chipkarte) generiert werden. Ansonsten könnte eine manipulierte Anwendung dem Leser einen anderen Hash unterschieben. Liegt das Problem also darin, dass der Leser selbst keine Generierung von Hashwerten unterstützt?
In manchen Threads wurde geschrieben, dass das einzeilige Display das Problem wäre. Mir persönlich wäre es allerdings immer noch lieber, viel zu scrollen (mir würden die kritischen Daten wie Empfänger-Kontonr., BLZ und Betrag schon reichen) als auf die zusätzliche Sicherheit zu verzichten. Es wäre also ein reines Bequemlichkeitsproblem, dass man, wie von vielen auch angemerkt, durch ein größeres Display lösen könnte.
Ist es also die Banking-Software, die vorhandene Funktionen im Leser nicht nutzt? Oder ist es der Leser (bzw. seine Firmware) der entsprechende Funktionen (noch) nicht anbietet?
Das Format einer HBCI-Überweisung ist AFAIK doch spezifiziert, so dass der Leser keine proprietären Formate parsen muss.
Wer also genaues weiss (bitte keine Vermutungen), möge mich bitte erhellen
