Verständnisfrage zur Sicherheitsklasse 3

 
Pat
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 03 / 2007
Betreff:

Verständnisfrage zur Sicherheitsklasse 3

 · 
Gepostet: 14.03.2007 - 11:17 Uhr  ·  #1
Hallo allerseits!

Nach einigem Wühlen hier im Forum und im Netz ist mir nun bekannt, dass ein Leser der Klasse 3 mir keinen Zusatznutzen gegenüber der Klasse 2 bringt (ich will nur ein normales Konto online verwalten, also Kontostand, Überweisung, etc.).

Allerdings waren mir die gefundenen Ausführungen WARUM man keinen Zusatznutzen hat bislang zu schwammig (wobei ich sicher den ein oder anderen Thread übersehen habe).

Damit man mit einem Display einen wirklichen Sicherheitsgewinn erzielt, müssen z.B. bei einer Überweisung die Transaktionsdaten im Display angezeigt werden. Damit aber wirklich nur genau diese Daten signiert werden, müsste der Hash der Transaktion im Leser (oder in der Chipkarte) generiert werden. Ansonsten könnte eine manipulierte Anwendung dem Leser einen anderen Hash unterschieben. Liegt das Problem also darin, dass der Leser selbst keine Generierung von Hashwerten unterstützt?

In manchen Threads wurde geschrieben, dass das einzeilige Display das Problem wäre. Mir persönlich wäre es allerdings immer noch lieber, viel zu scrollen (mir würden die kritischen Daten wie Empfänger-Kontonr., BLZ und Betrag schon reichen) als auf die zusätzliche Sicherheit zu verzichten. Es wäre also ein reines Bequemlichkeitsproblem, dass man, wie von vielen auch angemerkt, durch ein größeres Display lösen könnte.

Ist es also die Banking-Software, die vorhandene Funktionen im Leser nicht nutzt? Oder ist es der Leser (bzw. seine Firmware) der entsprechende Funktionen (noch) nicht anbietet?
Das Format einer HBCI-Überweisung ist AFAIK doch spezifiziert, so dass der Leser keine proprietären Formate parsen muss.

Wer also genaues weiss (bitte keine Vermutungen), möge mich bitte erhellen 😉
vader
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 977
Dabei seit: 12 / 2004
Betreff:

Re: Verständnisfrage zur Sicherheitsklasse 3

 · 
Gepostet: 14.03.2007 - 11:22 Uhr  ·  #2
Hallo,

Klasse 3 wird nur für Zahlung mit Geldkarte benötigt (existiert momentan nicht wirklich)

Im normalen Hombanking verhalten sich beide gleich.

Gruß,
Vader
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: Verständnisfrage zur Sicherheitsklasse 3

 · 
Gepostet: 14.03.2007 - 11:31 Uhr  ·  #3
Hallo Pat,

eigentlich hast Du fast alles schon richtig geschrieben, zusammengefasst aber noch mal:

- Die Signatur erfolgt in der Chipkarte
- Die Pin wird sicher über die Tastatur eingegeben.
Das gilt aber alles auch für Klasse 2 Leser.
Damit der Klasse 3 Leser einen Mehrwert für das Onlinebanking haben könnte, müßen auftragspezifische Informationen gesichert auf dem Kartenleserdisplay angezeigt werden.

Die zusätzliche Sicherheit entsteht durch die Visuelle Kontrollmöglichkeit über einen zweiten gesicherten Kanal. Dies ist in den Onlinebankingverfahren - noch - nicht spezifiziert. Wie es gehen könnte, hat Reiner SCT auf der letzten CeBIT demonstriert.

Gruß

Holger
Pat
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 03 / 2007
Betreff:

Re: Verständnisfrage zur Sicherheitsklasse 3

 · 
Gepostet: 14.03.2007 - 12:49 Uhr  ·  #4
Danke für die schnelle Antwort, aber leider geht sie nicht wirklich auf meine Fragen ein.

Zitat
Die zusätzliche Sicherheit entsteht durch die Visuelle Kontrollmöglichkeit über einen zweiten gesicherten Kanal.

Was genau ist mit einem zweiten gesicherten Kanal gemeint?

Zitat
Dies ist in den Onlinebankingverfahren - noch - nicht spezifiziert.

Was genau meinst du mit "den Onlinebankingverfahren"? Die HBCI-Spezifikation ist AFAIK völlig unabhängig von den Sicherheitsklassen. Das Problem liegt am Zusammenspiel von Software und Leser.

Zitat
Wie es gehen könnte, hat Reiner SCT auf der letzten CeBIT demonstriert.

Da war ich leider nicht dabei 😉
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: Verständnisfrage zur Sicherheitsklasse 3

 · 
Gepostet: 14.03.2007 - 13:46 Uhr  ·  #5
Hallo Pat,

also:

Der zwete gesicherte Kanal bedeutet:
Du gibst z.B. eine Überweisung im Internet ein. Wenn Du diese jetzt mit der Chipkarte unterschreiben möchtest, hast Du keine Möglichkeit zu kontrollieren, ob Du jetzt wirklich die Daten unterschreibst, die Du vorher eingegeben hast. Es wäre ja möglich, dass ein Angreifer Dir eine andere Maske vorgeblendet hat und in Wirklichkeit ein ganz anderer Auftrag ausgefüllt und unterschrieben wird. Jede Information, die dort im Internet zur Kontrolle angezeigt wird, könnte ja genau so manipuliert worden sein. Also solltest Du eine Möglichkeit erhalten über einen anderen Weg die Daten, die Du unterschreiben möchtest, mit denen Deiner Eingaben zu vergleichen. Dazu wäre es z.B. möglich die Daten per SMS zu schicken oder dein Bankberater sagt Dir welche Daten zur Unterschrift vorliegen. Diese Wege sind alle unabhängig von der Anzeige im Internet.

So ein Weg ist auch mit einem Kartenleser mit Display möglich, wenn sicher gestellt wird, dass die Daten auf dem Weg in den Leser nicht manipuliert werden. (Wie das gehen könnte, lassen wir mal aussen vor....)
D.h. es muss irgendwie defineirt werden, dass der Chipkartenleser in seinem Display nicht irgend welche Daten anzeigt, sondern aussschliesslich die Daten, die jetzt signiert werden sollen. Damit kommen wir dann zum Onlinebankingverfahren, wie Du schon geschrieben hast, ist z.B. HBCI/FinTS unabhängig vond er Sicherheitsklsse der Kartenleser! Genau das ist das Problem! Es gibt derzeit keinen spezifizierten/genormten Weg wie dem Chipkartenleser mitgeteilt werden kann, welche Daten angezeigt werden müssen und wie der Chipkartenleser weiß, dass die zu signierenden Daten Teil der angezeigten Daten sind...
Wie Du an meinem Versuch schon siehst, ist das Thema sehr komplex un d nur schwer ohne Bilder und direkten Nachfragen zu erklären. Im Grunde lässt sich das problem aber auf einen Satz reduzieren:

What you see ist what you sign. Was Du siehst, ist dass, was Du signierst. Nur dann ist das Unterschreiben manipulationssicher. Und genau das ist derzeit beim OnlienBanking mit der Chipkarte nicht spezifiziert. Daher wird der Klasse 3 leser nur als Klasse 2 leser genutzt und bringt keinerlei Mehr an Sicherheit. Da aber genau daran gearbeitet wird und ein Klasse 3 Leser von der Firmware her upgradefähig ist, kann es also sein, dass Du diese zusätzliche Möglichkeit in absehbarer Zeit nutzen kannst. Dann wäre die Investition in einen Klasse 3 leser eine in die Zukunft........

Gruß

Holger
Pat
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 03 / 2007
Betreff:

Re: Verständnisfrage zur Sicherheitsklasse 3

 · 
Gepostet: 14.03.2007 - 14:22 Uhr  ·  #6
Hallo Holger,

danke für die Ausführungen, ich denke, ich habe verstanden was du meinst.

Ich habe mir allerdings eine viel einfachere Variante vorgestellt:

1. Du erstellst am PC eine Überweisung, diese wird in einem Standardformat kodiert. (Frage: ist dieses Format nicht im HBCI-Standard schon definiert?)
2. Diese Überweisung wird an den Leser übertragen.
3. Der Leser kennt das Standardformat und zeigt alle relevanten bzw. gewünschten Felder am Display an (notfalls mit Scrollen, besser auf einem größeren Display).
4. Ist der Benutzer einverstanden, gibt er seine PIN am Leser ein.
5. Der Leser hasht und signiert die Überweisung.
6. Der Leser schickt die Signatur zurück zum PC.
7. Der PC überträgt die Überweisung inklusive Signatur zur Bank.

Auf diese Weise bräuchte man keinen 2. Kanal, der Vorgang ist relativ simpel. Habe ich einen Denkfehler gemacht?

Gruß
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: Verständnisfrage zur Sicherheitsklasse 3

 · 
Gepostet: 14.03.2007 - 14:46 Uhr  ·  #7
Hallo Pat,

Du hast wieder das eigentliche problem sehr schön erkannt.. 😉
1. Der Leser kennt das Standardformat nicht
2. Es gibt kein wirkliches Standardformat (Es gibt HBCI Eigenformate, in denen bestimmte Datenfelder geliefert werden, die von der Auftragsart und der HBCI bVersion abhängig sind und es gibt sogenannte Finanzdatenformate wie eine DTAUS Datei für Sammelaufträge)
3. Der Weg wie ein Standardformat in den Kartenleser kommt ist nicht definiert.
4. Welche Daten möchtest Du Anzeigen? Bei einem Einzelauftrag ist das recht einfach. Aber wie sieht es mit einem Sammelauftrag und 600 Aufträgen die alle 14 Zeilen Verwendungszweck haben........

Das Thema wirkt im ersten Moment einfach, hat aber leider sehr viele Pferdefüße.....

Gruß

Holger
Pat
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 03 / 2007
Betreff:

Re: Verständnisfrage zur Sicherheitsklasse 3

 · 
Gepostet: 14.03.2007 - 15:34 Uhr  ·  #8
Hallo Holger,

nun sind wir letztendlich zum Kern des Pudels vorgedrungen und mein Wissensdurst wurde dank deiner Antwort gestillt :D

Vermutlich war aus meinem ersten Posting noch nicht so klar ersichtlich, wo meine Wissenslücken bestanden haben.

Zitat
Das Thema wirkt im ersten Moment einfach, hat aber leider sehr viele Pferdefüße.....

Ich habe ja schon vermutet, dass es nicht so einfach ist. Aber gerade in Deutschland werden die Dinge oft unnötig verkompliziert (spielt HBCI ausserhalb von D eigentlich eine Rolle?), da muss man schon mal sichergehen, dass es wirklich so ist 😉

Naja, heute ist meine HBCI-Karte gekommen und ich kann für 30 Euro einen Kaan Advanced USB bekommen. Da werde ich jetzt mal die ersten praktischen Schritte versuchen :roll:
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Verständnisfrage zur Sicherheitsklasse 3

 · 
Gepostet: 14.03.2007 - 15:38 Uhr  ·  #9
Zitat geschrieben von Pat
spielt HBCI ausserhalb von D eigentlich eine Rolle?


Zumindest bisher nicht. Es wäre übertragbar, doch der Wille müsste vorhanden sein.

In den Nachbarländern ist es oft so, das dort einfach keine Standards existieren. Mir bekannte Ausnahmen sind Österreich und Frankreich, teilweise ist die Zielgruppe der dortigen Verfahren aber auch noch eine andere. Bei uns wird ja HBCI primär nur für Privatkunden und Gewerbekunden eingesetzt, ein großes Unternehmen macht man mit anderen Sachen glücklich.
Gewählte Zitate für Mehrfachzitierung:   0