Hallo, ich bin neu hier und hoffe einer von euch kann mir helfen.

Ich bin Student und beschäftige mich gerade mit dem Thema "Electronic Banking".

Von meiner Bank habe ich bereits erfahren, dass Sie Electronic Banking in Verbindung mit HBCI und HBCI PIN/TAN anbietet.

Soweit so gut.

Für mich wäre es wichtig zu wissen, wie sich die Verschlüsselung der einzelnen Standarts gestaltet.

HBCI mit den Möglichkeiten DDV (symm.) und RDH (asymm.). Soweit bin ich schon gekommen.
1. Frage: Bei "normal" HBCI ist immer eine Karte oder ein Datenträger im Spiel, um Schlüssel speichern zu können. Richtig?
2. Frage: Das HBCI mit Karte kann NUR über eine extra Softwarelösung genutzt werden (und nicht im Browser per Direkt Banking). Richtig?
3. Frage: Wie werden die Daten an den Server der Bank gesendet? Über eine SSL Verbindung oder?

Wie sieht die ganze Sache jetzt bei HBCI PIN/TAN aus?
Wo werden hier Schlüssel zum Verschlüsseln gespeichert, bzw. wie werden sie überhaupt generiert. Es gibt ja keine Karte auf der er gespeichert zum Kunden kommt (vgl. symm. Verschlüsselung) und auch keinen INI-Brief (asymm. Verschlüsselung).

Meine Frage ist: Kann ich das HBCI PIN/TAN nur im Browser benutzen (lediglich SSL verschlüsselt ohne weitere Verfahren wie DDV oder RDH, Kundenidentifikation lediglich über Kontonummer und PIN)?

Wenn eine Nutzung von HBCI PIN/TAN auch mit einer Software möglich ist, wie wird dann der "sichere" (also verschlüsselte) Datenverkehr realisiert?

Mal ein dickes Danke an alle die bis hierher durchgehlten haben.

Ich hoffe jemand kann mir weiterhelfen. Es ist sehr wichtig.

MfG Andi

Hallo Andi,

ich versuche einmal die Fragen (soweit mir möglich) zu beantworten.
zu 1.) ja
zu 2.) nein, Es gibt einige wenige Institute die zusätzlich einen sog. HBCI-Onlineclient anbieten. Mittels eines Java-Applet kann man dann auch HBCI mit Chipkarte bzw. Diskette per Browser nutzen. Dies ist jeodoch eine Ausnahme.
zu3.) beim PIN/TAN Interface erfolgt die Verschlüsselung per SSL

HBCI PIN/TAN Interface kann man auch per Onlinebankingsoftware nutzen. Der große Vorteil von HBCI per Chipkarte/Diskette besteht darin, dass keine Transaktionsnummern/TAN-Verzeichnisse erforderlich sind.

weitere Infos zur den Verfahren und dessen Verschlüsselung:
http://www.informatik.hu-berli…I/HBCI.pdf
phpBB2/topic,59,-was-ist-eigentlich-hbci-mit-pin-tan.html
http://www.hbci-zka.de/dokumen…m_v3.0.pdf

Gruß
Daniel

Hi Daniel, danke für die Antworten. Frage 1-3 hatte ich so vermutet wollte es nur nochmal bestätigt haben.

Damit wäre auch für HBCI PIN/TAN im Browser das mit der Verschlüsselung geklärt (--> Verschlüsselung nur per SSL, die Daten werden NICHT extra verschlüsselt und signiert <-- wird durch PIN erledigt).

EDIT: SSl verschlüsselt/sichert nur den Datenkanal zur Übertragung und verschlüsselt nicht die eigentlichen Daten/Nachrichten, oder?

Eine Frage bleibt mir dann aber noch.

Wie werden die Daten bei HBCI PIN/TAN unter Verwendung einer Bankingsoftware verschlüsselt und sicher an die Bank geschickt.

Wenn mir einer noch diese Frage beantworten kann bin ich 100% zufrieden.

MfG Andi

P.S.: Wenn wer noch Änderungen zu den anderen Themen, hat immer her damit.

Hallo Andi,

dem umfassenden Beitrag von Daniel ist wenig hinzuzufügen.

Es gibt noch das HBCI-Kompendium, in dem auch sehr verständlich und recht ausführlich die Sicherheitsmechanismen (auch die neuen Sicherheitsklassen von FinTS 3.0) dargestellt werden.

Gruß
BW

Hi,

das mit dem Kompendium hab ich wohl gelesen und dort auch nachgeschaut. Allerdings steht da nur was über PIN/TAN bei Verwendung im Browser drin.
Da gibt es keine Verschlüsselung außer SSL. Soweit hab ich das auch verstanden.

Ich nehme jetzt halt an, dass bei Verwendung eines Progs ebenfalls keine Verschlüsselung vorgenommen wird, sondern die Daten lediglich mit PIN/TAN versehen und unverschlüsselt versendet werden.

Passt das dann so?

Nochmal zu SSL (steinigt mich nicht):

SSL verschlüsselt nur den Datenkanal, nicht die Daten, oder? UND: SSL wird zur Übertragung ALLER HBCI-Daten zwischen Kundenrechner und Bankserver verwendet, oder?

So long, mfG Andi

Hallo Andi,

wir steinigen niemanden


Du hast es etwas falsch verstanden. Der Satz in Kap 3.3 bedeutet, dass für das PIN/TAN-Verfahren die gleiche SSL-Verschlüsselung wie im Standard-Browser verwendet wird, egal ob in spezieller Homebanking-Software oder im Browser-Client.


Auch fast richtig: die Daten werden nicht irgendwie HBCI-mäßig oder sonstwie verschlüsselt, aber sie laufen natürlich auch nicht unverschlüsselt durch's Netz, sondern der Transportweg wird gesichert (eben durch SSL-Verschlüsselung).


Für PIN/TAN ist das korrekt, für die anderen Sicherheitsverfahren werden natürlich Chiffrierkeys benutzt.

Gruß
BW

Hi, dann sage ich mal 1000 Dank. Jetzt bin ich wunschlos glücklich .

MfG Andi

Nabend, ich präsentiere euch meine mit eurer Hilde gewonnenen Erkenntnisse:

HBCI Chipkarte (nur mittels Softwarelösung nutzbar):

Verschlüsselung: die gesamte HBCI Nachricht wird mittels DDV oder RDH verschlüsselt.

Authentifizierung Kunde <-> Bank: über keyverschlüsselte Signatur beim Verbindungsaufbau.

Herkunftsnachweis einer Nachricht: über keyverschlüsselte Signatur im HBCI Segment.

Integritätsprüfung: Kundensystem bildet Hashwert über die gesamte Nachricht
-> Verschlüsselung des Hashwertes (=Signatur)
-> Empfänger (Bank) bildet ebenfalls Hashwert über Nachricht und vergleicht empfangenen (kann mittels public/private key entschlüsselt werden) mit dem selbst erstellten
-> Gleichheit der beiden Hashwerte
-> Nachricht wurde nicht verändert

HBCI PIN/TAN (im Browser und per Softwarelösung):

Verschlüsselung: keine extra Verschlüsselung der Daten

Authentifizierung Kunde <-> Bank: Bank authentifiziert sich über Zertifikate, der Kunde über seine PIN.

Herkunftsnachweis einer Nachricht: ???

Integritätsprüfung: ???

Für alle HBCI Ausprägungen gleich:

Datenübertragung: durch SSL verschlüsselte Datenleitung.


Ich hoffe, dass diese Aufstellung uneingeschränkt richtig ist. Falls nicht .... :twisted:

Ich danke nochmal allen, die mir geholfen haben.

MfG der Andi

P.S.: Muss man sonst noch was wichtiges zu HBCI wissen? Zertifikate und der gleichen, oder spielt das bei HBCI keine Rolle?