Hibiscus und cyberjack e-com bzw. Kontoauszüge

Hallo,

ich hab mir den cyberjack e-com gekauft und nutzte Hibiscus als Software. Das ganze verwende ich auf einem Ubuntu 7.10. Dabei sind mir zwei Sachen aufgefallen, zu denen ich dringend eine Erklärung bräuchte.
Ich habe mir extra den cyberjack e-com gekauft, weil man da angeblich das Zielkonto und den Betrag von den Überweisungen sieht, die man per PIN bestätigt. Ich habe jetzt eine Testüberweisung gemacht, und nichts davon gesehen. Der Kartenleser wolle einfach nur die PIN. Liegt das jetzt an Hibiscus, am Kartenleser, oder bedeutet Sicherheitsklasse 3 gar nicht, dass man die Zieldaten noch mal auf dem Gerät sieht? Letzteres wäre echt schlecht, da ich gerade deswegen das Gerät gekauft habe.

Die zweite Sache sind die Kontoauszuüge. Angeblich kann Hibiscus ja die Kontoauszüge online abrufen. Und zwar welche, die dann auch als echte Belege gelten. Ich habe bisher aber nur die Syncronisationsfunktion gefunden. Damit konnte ich mir zwar die Umsäzte seit Anfang des Jahres anzeigen lassen, aber damit habe ich doch noch keinen Kontoauszug, oder doch? Soweit ich verstanden habe, handelt es sich dabei um ein Dokument, welches man herunterladen kann.

Gruß

Jörg

Der nach dem ganzen Einrichtungskampf extrem gefrustet ist.

Hallo Jörg,

Sicherheitsklasse 3 bedeutet, dass der Leser ein Display hat, auf dem er etwas anzeigen könnte. Der Sinn des von Dir gewünschten Szenarios wäre ja der, dass Du auf dem Leser siehst, was du "signierst". Im Falle von PIN/TAN wäre das ganze wenig sinnvoll, weil Du mit einer TAN eine HBCI-Nachricht zumindest im technischen Sinne nicht "signierst".

Dieses Feature wäre prinzipiell nur in Verbindung mit "echter Kryptographie" (DDV- oder RDH-Verfahren) sinnvoll. Aber zumindest im Moment nicht im Falle von HBCI. Denn: damit Du Dir sicher sein könntest, dass Du das signierst, was Du tatsächlich signieren willst, müsste der Klartext der HBCI-Nachricht an den Leser geschickt werden. Dieser müsste die relevanten Auftragsdaten extrahieren, anzeigen, bestätigen lassen und diese Nachricht anschließend signieren.

Im Moment ist es allerdings so, dass die Software nur einen schon berechneten Hashwert zum Leser sendet - zumindest bei DDV ist das so. Daraus kann der Leser aber keine Auftragsdaten herausrechnen, die er bestätigen lassen könnte. Im Falle von RSA-Chipkarten wäre das theoretisch möglich, weil man dort die gesamte Klartext-HBCI-Nachricht zum Leser schicken kann, der dann seinerseits den Hashwert berechnet. Allerdings müsste der Leser (bzw. die Software auf der Chipkarte) in der Lage sein, HBCI-Nachrichten zu dekodieren, um die relevanten Auftragsdaten anzeigen zu können - und das geht AFAIK im Moment noch nicht.

Falls Du jetzt den Einwand erhebst, warum nicht einfach die Anwendungs-Software die relevanten Auftragsdaten an den Leser schickt, damit dieser sie anzeigen kann: Damit wäre das gesamte Prinzip an sich wieder ausgehebelt, denn wer garantiert Dir dann, dass die Anwendungssoftware tatsächlich die Auftragsdaten SIGNIEREN lässt, die sie ANZEIGEN lässt?

Ergo: Klasse-3-Leser nützen Dir im Zusammenhang mit HBCI im Moment nicht mehr als Klasse-2-Leser (außer den hübschen Meldungen, bitte Karte einzulegen, PIN einzugeben etc...

Zu den "echten Kontoauszügen": diese werden von der zugrundeliegenden HBCI-Bibliothek noch nicht unterstützt, deswegen kann auch Hibiscus noch keine "echten" Kontoauszüge abholen. Wäre auch für mich interessant, woher Du diese Information hast...

Grüße
-stefan-

LOL. Welche Sparkasse empfielt denn Hibiscus?

Vermutlich haben die Umsatzabruf mit Kontoauszügen gleichgesetzt, sprich aneinander vorbei geredet?!?

Hylli