Hallo zusammen :winke:

hoffe ich bin im richtigen Unterforum gelandet. Habe vorher etwas hier gelesen und ich bin begeistert

Da ich nun einen Vortrag über Onlinebanking und die Verschlüsselung machen muss, habe ich mich in etwas eingearbeitet...
Nun merke ich, dass da viel mehr drin steckt, als man glauben mag.

HBCI/FinTs ist die Schnittstelle ja die Schnittstelle zwischen dem Kunden und der Bank. 1) Grundsätzlich ist es dem Interface doch egal, welche Verschlüsselung verwendet wird, oder?

Ein paar Sachen verstehe ich jedoch nicht... hier nun meine Fragen.
2) Wie ist das beim RSA und DES Verfahren, wird hier die Datenübertragung und die Authentifizierung verschlüsselt? Bei beiden braucht man ja ein "Sicherheitsmedium" wie eine Chipkarte oder ein signiertes Papierdokument.

Ich habe die Vr-Networld Software und nutze dort das Pin/Tan Verfahren. Habe also keine Chipkarte oder RSA-Key an die Bank geschickt.

3) Wie funzt das hier nun mit der Verschlüsselung? SSL/TLS dient ja nur als "Transport", wobei die Daten selbst nochmals verschlüsselt sind?

Habe viele Fragen und bin etwas verwirrt... danke schonmal vorab für konstruktive Antworten

Hallo,

HBCI bezeichnete früher bei einigen Banken, insbesondere Volksbanken, die Verschlüsselung mit RSA-Datei oder später mit Chipkarte. Bei Sparkassen war eher immer HBCI mit DES-Chipkarte gemeint. Deswegen wurde "HBCI" früher oft als Synonym für dieses Verfahren verwendet.

zu 1) im Prinzip schon, ich glaub nicht, dass das Interface eine eigene Meinung dazu hat
Es kann aber durchaus sein, dass die Banken je nach Zugangsart andere Leistungen anbieten. Z.B. bekommst du bei Volksbanken an der GAD nur eine UPD, wenn du mit der VR-Kennung arbeitest.

zu 2) eine komplette Erklärung, wie die Verfahren technisch funktionieren, würde hier sicherlich zu weit führen. Wenn du in die Tiefen der verschiedenen Krypotverfahren eintauchen möchtest, dann schau mal hier nach:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Data_Encryption_Standard
http://de.wikipedia.org/wiki/RSA-DES-Hybridverfahren (könnte mal von fähigen Leuten aktualisiert werden)

3) in deinem Fall reicht SSL/TLS als Verschlüsselungsverfahren aus.
mehr findest du hier:
http://de.wikipedia.org/wiki/Transport_Layer_Security
UPD

Gruß
Raimund

Hallo :winke:

danke für deine Antwort

Die Wikipedialinks kenne ich bereits. Auf Grund diesen kamen meine Fragen ja auf...

Also wird bei der SSL/TLS Verbindung quasi nur der "Tunnel" aufgebaut und die Daten werden dann in Cipher Suite selbst nicht mehr verschlüsselt?

Die technische Erklärung bei den Verfahren ist auch eher zweitrangig. Ich verstehe im Moment nur nicht ganz, ob der Key bei dem RSA bzw. DES Verfahren nur dazu verwendet wird, um den Benutzer zu identifizieren oder ob damit auch z.B. die Transaktion verschlüsselt werden.

gruß Patrick

Letzteres.

SSL/TLS kommt überhaupt nur in der Kombination FinTS mit PIN/TAN zum Einsatz, die Verschlüsselung ist also auf Transportebene.
Bei FinTS mit HBCI ist die Verschlüsselung immer Tripple-DES/DDV. Entweder werden dazu die vorhandenen DDV Schlüssel benutzt (DDV Verfahren) oder vorher temporär erzeugt und mittels RSA (RSA-DDV/DES Hybridverfahren) ausgetauscht. Reines RSA ist viel zu Performancelastig. Bei FinTS-HBCI kommt SSL somit nicht zum Einsatz.

Das ist jedenfalls das was ich im Hinterkopf habe.

Hallo Radioaktiv,

vielleicht hilft Dir ja dieser Link weiter:

http://www.zahlungsverkehrsfragen.de/download/hbcikomp.pdf

Gruss

Birgit

Dann lieber die aktuelle Version 4.0:

http://www.hbci-zka.de/dokumen…endium.pdf