Hallöchen,

unterscheiden sich eigentlich die Schlüssellängen bei HBCI 2.2 und FinTS 3.0, so dass man behaupten könnte, FinTS 3.0 sei sicherer als HBCI 2.2? Ich beziehe mich hier logischerweise nur auf die Varianten mit Schlüsseldatei, nicht auf das Pin/Tan-Verfahren.

Viele Grüße
Gizmo

Hallo Gizmo,

HBCI 2.x (egal ob 2.01, 2.10 oder 2.20) Schlüssellänge: 768 Bit
FinTS 3.0 Schlüssellänge 1024 - 2048 Bit

Damit theoretisch sicherer. Insgesamt macht es aber die Kombination aus Schlüssellänge und Algorithmus, mit dem die Hashwerte und Signaturen berechnet werden.
Beim BSI bzw. bei der RegTP gibt es jedes Jahr einen sogenannten Algorithmenkatalog, in dem die für elektronischen Signaturen sicheren Schlüssellängen und Algorithmen für die nächsten Jahre aufgezeigt sind.

Für 2007 steht dort:
Mindestschlüssellänge 1024
Empfohlen 2048

Hashfunktion
SHA-1
RIPEMD 160

Die Schlüssel aus HBCI 2.2 haben eine Schlüssellänge von 768 Bit und ein Hashwertverfahren RIPEMD 160. D.h. die Schlüssellänge wird nicht mehr empfohlen, das Hashwertverfahren aber durchaus noch.....

Gruß

Holger

Super Holger, vielen Dank für die Antwort!

Wichtig war mir vor allem das "theoretisch sicherer". Ein Kunde, der nur aufgrund der Tatsachse, dass wir bislang nur HBCI 2.2 anbieten, aus Sicherheitsgründen zu einer FinTS-Bank wechseln will, reagiert wohl in der Tat etwas "voreilig"...

Viele Grüße
Gizmo