Ist das RSA-Verfahren gängig? weil das DES ist ja eig. leichter zu knacken weil es symmetrisch ist?.

Ich weiß jetzt nicht ob ich das RSA-Verfahren richtig vertanden hab, aber ich versuch mal wiederzugeben was das ist.

Sicherheit beim HBCI erfolgt durch ein spezielles Verschlüsselungsverfahren. Dabei speichert/erstellt der Kunde mittels einer HBCI-fähigen Software 2 Schlüssel auf seine Chipkarte. Einen öffentlichen und einen privaten. der private ist der 5-stellige Pin mit dem der kunde seine Transaktion signiert. Die Bank benötigt den öffentlichen SChlüssel des Kunden um Transaktionen zu öffnen und der Kunde ´braucht den öffentlichen Schlüssel der Bank um nachrichten der Bank zu öffnen

Im Prinzip ist da was dran aber es muss nicht auf einer Chipkarte passieren.

Aber bis jetzt hast du eigentlich nur die Unterschrift erklärt, die eigentliche Verschlüsselung fehlt: Die Bank benötigt den öffentlichen Schlüssel des Kunden auch dazu, um die Nachrichten an den Kunden zu verschlüsseln, der wiederum seinen geheimen Schlüssel hat, um diese wieder zu entschlüsseln. Genauso umgekehrt.

Damit das ganze noch komplizierter wird: Es wird das RDH-Verfahren eingesetzt. Also ein Hybridverfahren Kombi aus RSA und DES

Wenn dich der Hintergrund sehr interessiert:
RDH: http://www.itwissen.info/defin…ybrid.html

http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
http://de.wikipedia.org/wiki/RSA-Kryptosystem
und genauso:
http://de.wikipedia.org/wiki/S…%BCsselung
http://de.wikipedia.org/wiki/Data_Encryption_Standard

Gruß
Raimund

Hallo,


das halte ich für groben Unfug.

Du musst bei DES nur absolut sicherstellen, dass der Schlüssel nur da ist, wo er hingehört. Einmal auf dem Chip der Karte beim Kunde (von wo er nicht ausgelesen werden kann und durch die HBCI-PIN und deren Fehlbedienungszähler gesichert ist) und einmal bei der Bank (wo er auch nicht für deren Mitarbeiter zugänglich ist).

Ansonsten ist man beim RSA-Verfahren im Moment ständig dabei, die Schlüssellängen zu erhöhen, weil RSA durch entsprechende Rechenpower (die von Jahr zu Jahr steigt) bei entsprechend kurzen Schlüsseln prinzipiell überwindbar ist (Brute-Force-Angriff).

Die Schlüssellängen bei DDV-Karten (DES-Verfahren) dagegen konnten seit Jahren gleich bleiben, da es hier das o.g. Problem nicht gibt.

Darf ich nach dem Hintergrund Deiner Frage fragen? Weil: Du kannst bankseitig eh nicht wählen, ob Du das eine oder das andere Verfahren nutzen möchtest, da eine Bank nur entweder das eine oder das andere, aber nicht beide Verfahren gleichzeitig anbieten.

Otto

ich soll ne html seite machen, wo stehen soll was HBCI ist und ich wollte DES weglassen, falls es denn nicht mehr benutzt wird.

Ich hab mal nen Text verfasst aber ich kriegs irgendwie nicht gebacken dieses RSA-Verfahren zu verstehen. Irgendwie: Der Kunde meldet sich bei der Bank an und sagt, ICH WILL HBCI haben. Dann installiert er die software. Erstellt nen Account und macht sich nen privaten Schlüssel in form eines 5 stelligen PINS, dann mach er sich einen öffentlichen SChlüssel mit dem Programm. Der Kunde erhält einen Brief wo der öffentliche Schlüssel der Bank steht. Diesen SChlüssel tippt er wahrscheinlich irgendwo ein. Dann schickt der Kunde seinen öffentlichen Schlüssel an die Bank und dann haben beide Parteien den öffentlichen Schlüssel des anderen.

Dann kommt ne Überweisung. Der Kunde füllt das Formular aus und gibt dann seinen privaten schlüssel bzw. seinen PIN ein. Dann stellt das Programm eine Internetverbindung mit der Bank her. Der Pc vom Kunden schickt der Bank seinen öffentlichen Schlüssel und die Bank ihren öffentlichen SChlüssel dem Kunden. "Passen" die beiden schlüssel , wird die Überweisung vollzogen? Wie kann ich mir so nen Schlüssel vorstellen, einfach so ne mehrstellige Zahl (beim privaten Schlüssel 5stellig) die niemand knacken kann?


Mein Text über HBCI , ich habs probiert.

Homebanking Computer Interface ist neben dem PIN/TAN ein weiterer Standard im

Online Banking. Das herausragende Merkmal von HBCI ist die Bankenunabhängigkeit,

die Providerunabhängigkeit und die öffentliche Verfügbarkeit des Standards.

Dadurch ist es prinzipiell jedem Programmierer oder Softwarehersteller möglich,

einen Client für HBCI zu implementieren und damit auf alle HBCI-fähigen Banken

zuzugreifen.

Der Grund der Entwicklung war, dass jede Bank ihre eigene Software für das

Onlinebanking programmiert hat. Die Benutzer müssen sich bei jeder Bank an eine

andere Bedienung und Benutzeroberfläche gewöhnen und permanent während der

Durchführung der Bankgeschäfte online sein. Dies wollte T-online vehindern und

man konnte seine Geschäfte offline bearbeiten und die Benutzeroberfläche war für

jede Bank gleich. Das Problem war jedoch, dass nicht jeder Computer eine

installierte T-Online Software zur Hand hatte. HBCI sollte dieses Problem

beseitigen und einen Standard für das Homebanking schaffen. Beim HBCI fällt auch

die TAN-Liste weg. Um HBCI nutzen zu können braucht der Kunde eine HBCI-Fähige

Software. Aufgrund der Vielfalt der HBCI-fähigen Programme kann der Kunde nun

sich für ein Lieblingsprogramm entscheiden. Der Kunde kann Konten verschiedener

Banken mit ein und derselben Software verwalten.


Sicherheit bei HBCI wird durch ein spezielles Verschlüsselungsverfahren

gewährleistet, dem sog. RSA-Verfahren.

Kurz formuliert funktioniert es so: Wenn der Nutzer mit dem Banking-Programm

eine Überweisung an seine Bank sendet, schickt er ihr zeitgleich mit dem Auftrag

einen digitalen Schlüssel – eine Zahlenreihenfolge, die nur die Bank

entschlüsseln kann. Auch die Bank sendet während der Transaktion dem Kunden

einen Schlüssel, so dass sich beide Partner gegenseitig als vertrauenswürdig

authentifizieren. Erst wenn dies gewährleistet ist, wird der Auftrag ausgeführt.

Bestätigt wird die Überweisung mit einem 5-Stelligen PIN.Beim Kunden ist der

Schlüssel entweder in einer Datei oder auf einer Chipkarte, gespeichert. Auch

wenn, jemand die Chipkarte finden sollte, so müsste er außer einer HBCI-fähigen

Software auch die PIN-Nummer kennen um etwas auszurichten und umgekehrt.

Im Jahre 2002 wurde die Weiterentwicklung von HBCI als FinTS Version 3.0

veröffentlicht. Der FinTS 3.0 Standard enthält gegenüber den HBCI-Vorläufern zusätzlich das Sicherheitsverfahren PIN/TAN. FIN/TS wird oft mit HBCI/PIN/TAN verwechselt. Jedoch benutzt FIN/TS andere Protokolle und Sicherheitsverfahren, wie z.b. erhöhung der SChlüssellänge


Vorteile

-Mutibankfähigkeit
-Man muss nicht auf potentiell gefährliche Internetseiten gehen.
-Tan-Liste fällt weg

Nachteile

-Kosten
-Nur zu Hause möglich

Hi,

dass ein symmetrisches Verfahren "unsicherer" ist als ein asymmetrisches Verfahren, ist natürlich Blödsinn (eine beliebte Fangfrage beim MCSE ...). Zumal fast alle Verfahren, (bei denen wirklich Mengen an Daten übertragen werden) Hybridverfahren sind, bei denen die eigentliche Datenverschlüsselung symmetrisch erfolgt und nur der Sessionkey asymmetrisch verschlüsselt wird.
Das hat einfach etwas mit der wesentlich größeren Geschwindigkeit der symmetrischen Verfahren zu tun.
(Es ging mir hier um die gesicherte Übertragung von Massendaten, also was mein eigentliches "Geschäft" ist, weniger ums "Banking", davon habe ich keine oder zumindest wenig Ahnung ... .)

Aber meine Frage:
Es wird wirklich DES eingesetzt? Nicht 3DES?
Ist damit wirklich das "gute alte" DES von 1976 mit einer Schlüssellänge von 56 Bit gemeint?
Mir wird ganz kalt bei dem Gedanken ... .

MfG Peter
edit: habe gestern vor Schreck die beiden Zahlen vertauscht, sollte sie eigentlich sicher kennen ... .

irgendwo kopiert, weil schreibfaul

DES beim Online-Banking
HBCI, das Homebanking Computer Interface, und seine Weiterentwicklung FinTS (Financial Transaction Services) verwenden 3DES im Rahmen des sog. DES-DES-Verfahrens (DDV)

OK, dann waren wohl andere zu faul, die "3" vor das DES zu setzen.
Es gibt schon einen "kleinen Unterschied" zwischen DES mit 56 bit und 3DES mit 168 bit ... .
Mein Seelenfrieden ist wieder hergestellt
Danke.

MfG Peter

Meine Frage ist, ob mein TExt bis dahin inhaltlich richtig ist, ob ihr noch was hinzufügen würdet was unbedingt nicht fehlen DARF, ob das RSA wie ich es beschrieben habe wirklich so abläuft, ich selber benutze ja kein HBCI (kann es also nicht wissen), und ob es zu den Vorteilen und Nachteilen was hinzuzufügen gibt und ob dieser kleine Abschnitt über FINTS reicht?

Hallo PNT,

ehe ich da jetzt viel zu schreibe, verweise ich für Historie von HBCI/FinTS und Abgrenzung zu T-Online/BTX etc. einfach auf das wirklich gute
FinTS-Kompendium von Herrn Haubner.

Prinzipiell kannst du das Kapitel über Sicherheit auch für deinen Aufsatz nutzen, allerdings finde ich die Erklärung in einer Vorgängerversion noch besser, vor allem, da dort mit mehr Graphiken erläutert.

Bitte beachte, dass das Kompendium mit einem Copyright versehen ist - für eine Arbeit in Schule, Studium etc. kannst du es sicher verwenden, für eine Webseite solltest du unter der dort angegebenen Mail-Adresse eine Genehmigung einholen.

Gruß
BW

Hallo zusammen,

"Beim HBCI fällt auch die TAN-Liste weg."

Das ist so nicht richtig. Das HBCI-Verfahren heißt nicht immer Chipkarte, Schlüsseldatei.... sondern kann genauso auch PIN/TAN bedeuten und dann benötigt er trotzdem die TAN-Liste um einen Auftrag zu senden.

Grüßle

Hallo Sabine,

so ganz richtig ist deine Aussage nicht. Unter HBCI versteht man klassisch die Absicherung mit DES oder RDH. Für HBCI 2.2 gibt es dann noch eine properitäre Erweiterung mit der PIN und TAN auch zugelassen sind.

Besser sieht man es in der FinTS Spezifikation, die modular aufgebaut ist.
Hier gibt es ein Modul PIN/TAN Absicherung und ein Modul HBCI Absicherung.

Für einen Laien reicht aber sicher die Erklärung, das auch PIN und TAN möglich ist.

Gruß

Holger

Hallo Holger,

das stimmt schon, dass ursprünglich nur DES und RDH eingesetzt wurde. Ich fand den Satz von PNT

"Der FinTS 3.0 Standard enthält gegenüber den HBCI-Vorläufern zusätzlich das Sicherheitsverfahren PIN/TAN. FIN/TS wird oft mit HBCI/PIN/TAN verwechselt."

nicht klar formuliert. Hier spricht er HBCI PIN/TAN an, aber davor sagt er, dass die TAN-Liste beim HBCI-Banking nicht gebraucht wird.

Grüßle

Dann sollte ich den satz, dass die Tan-Liste wegfällt, wohl besser weglassen. Könnte man eig. noch was bei FINTS hinschreiben, weil des is ein bisschen mager^^

Noch eine Frage: Wieso sagen so ziemlich alle banken sätze wie: Sie können auch HBCI mit CHipkarte statt PIN/TAN nutzen!

Wieso sagen sie nicht: Sie können auch FINTS mit Chipkarte statt PIN/TAN benutzen!

ICh mein FINTS wurde vor 5 JAhren rausgebracht aber alle sprechen immernoch von HBCI???

HBCI war als "Marke" schon eine bescheuerte Bezeichnung, hat sich aber inzwischen einigermaßen festgesetzt. Jetzt wieder die Bezeichnung zu wechseln, hieße die babylonische Sprachverwirrung wieder von vorn zu beginnen. Das scheuen die meisten.

Was bedeutet eig dieser satz: das besondere merkmal an hbci ist, dass es so gut "programmierbar" ist. ist damit gemeint, z.b ich hab nen emailaccount bei gmx und kann dann per Microsoft-outlook die emails bei gmx abrufen? i

Ist das das gleiche mit HBCI? Wie kann man sich das vorstellen und gibt es da noch andere beispiele, wahrscheinlich das Internet mit den unterschiedlichen Browsern.

Also allgemein gefragt: Ist HBCI, bildlich gefragt, wie ein öffentliches gebäude, wo man mit allen möglichen mitteln hinkommen kann?

Der Vergleich ist ziemlich treffend. HBCI ist wie Mail ein Standard-Beschreibung, das i am Ende steht ja für Interface. Genau wie bei Mail kann eigentlich jeder ein Programm dafür schreiben und auch hier gibt es unterschiedliche Versionen (pop3, imap..). Und auf der Gegenseite - E-Mail Provider oder Bank hängt es davon ab, welche Angebote wie erreichbar sind.
Schau mal hier: http://www.hbci-kernel.de/fints.htm

Gruß
Raimund