Hallo an alle!

Ich bin zur Zeit gebeutelt mit der Einrichtung meines Kontos bei der Deutschen Bank.
Eigentlich möchte ich nur eine HBCI-Chipkarte mit meinem ReinerSCT-Kartenleser nutzen können. Aber da läuft leider einiges schief (übrigens auch mit der DB-Hotline - mehr möchte ich dazu gerade lieber nicht sagen ...).

Aber vielleicht kennt ja hier jemand ein schlüssiges Verfahren, wie ich meinen Schlüssel auf die Karte bekomme und dann auch noch verlässlich mit der Bank kommuniziere.

Der derzeitige Stand ist, dass ich, wie auch immer, eine Schlüsseldatei angelegt habe (aber eben nicht auf dem Medium???). Ini-Brief wurde von der Bank bestätigt und der User frei geschaltet. Habe auch den User mit meinem Konto in GnuCash verknüpft, aber wenn ich eine Transaktion durchführe, bekomme ich nur folgende Ausgabe im Protokoll:

Dass ich den PIN über ein PopUp und über Tastatur eingeben muss, ist eher klar, weil mir schon klar ist, das die Chipkarte wohl nicht "betankt" ist - schulterzuck.

Der DB-Service hat mir übrigens unter anderem gesagt etnweder:
- ich hätte gar keine Verbindung (große Zweifel an der Aussage), oder
- es werden keine Transaktionen übertragen ...

Folgende Software wird verwendet:
- GnuCash 2.2.6
- AqBanking 3.7.2
- Ubuntu 9.10

Noch zu erwähnen wäre, dass ich keinerlei Probleme mit der Kommunikation hatte, als ich noch mit Sparkasse "verbandelt" war. Mit GnuCash arbeite ich schon ein paar Jahre.

Für weitere Infos stehe ich selbstverständlich gerne zur Verfügung.

Ganz herzlichen Dank im Voraus,

Penguin

Hallo Penguin,

leider kenne ich mich mit deiner Umgebung nicht aus, aber zum "Bespielen" der Chipkarte hätte ich schon Ideen.
Hast du einen Windows-Rechner zur Verfügung? Dann könntest du zum Aufbringen der Benutzerkennung auf die Karte und Einreichen der Schlüssel die ddbac von Datadesign nutzen: www.ddbac.de
Das Programm "Homebanking-Kontakte" findest du nach der Installation in der Systemsteuerung.

Moneyplex (moneyplex.de) sollte das natürlich auch können, wenn du auf Ubuntu bleiben möchtest.

Gruß
Raimund

Hallo Raimund,

ganz herzlichen Dank für Deine Rückmeldung.

Ja, ich habe auch Windows-Computer :roll:
Habe auch inzwischen meinen Chipkartenleser und die Software DDBAC erfolgreich installiert.

Also ich könnte dann wohl die Chipkarte "betanken", was wahrscheinlich die erneute Generierung eines INI-Briefes erforderlich machen würde?

Wie groß ist die Chance, dass ich dann mit dieser Chipkarte auch meinen User in GnuCash einrichten kann?

Die bereits generierte Schlüsseldatei, die ich mit DDBAC gecheckt habe, wird als nicht gültig angemeckert. OK, sie ist mit AqBanking erzeugt worden und die Schlüsseldateien werden ja zwischen verschiedenen Programmen nur selten akzeptiert.

Gruß,

Penguin

Hallo Penguin,

wichtig dabei ist: Du kannst deine Schlüssel pro Kennung nur ein einziges Mal bei der Bank einreichen. Also wenn das schon mal passiert ist, du also einen Ini-Brief erzeugt hast, der von der Bank freigeschaltet wurde/werden kann, dann darfst du nicht mehr neu initialisieren. Wenn du die Datei oder die Chipkarte nicht mehr hast, muss entweder die Bank die Schlüssel löschen (geht nicht bei allen Banken) oder du brauchst eine neue Kennung. Letzteres würde ich dir bei Schlüsseldateien empfehlen, dann kannst du mit mehreren Programmen arbeiten.

Schlüsseldateien der alten Generation sind untereinander häufig nicht kompatibel. Leider hat ja die Deutsche Bank da noch die älteste und schwächste Verschlüsselung im Einsatz, die z.B. die VR-Banken schon längst deaktiviert haben (läster... ) Die alten Formate werden da nicht kompatibel sein.

Bei einer lauffähigen und synchronisierten Chipkarte hast du aber gute Chancen, dass du die mit mehreren Programmen gleichzeitig verwenden kannst.
Laut http://linuxwiki.de/OpenHBCI/GetesteteBanken soll es mit der RSA1-Karte ja gehen.

Hast du für die Chipkarte eine eigene Kennung? Dann würde ich das an deiner Stelle mal erst mit dem Init unter der ddbac durchziehen und dann schauen, ob du die unter Ubuntu anmelden kannst.

Gruß
Raimund

Hallo Raimund,

vielen Dank für Deine Mühe.

Nachdem ich heute morgen bei meinem Kundenberater die Welle gemacht habe, meldete sich inzwischen ein DB-Techniker, der auch die Ressourcen hat, serverseitig Aktionen durchzuführen. Mit ihm habe ich mit Hilfe von DDBAC die Chipkarte betanken können. Laut DDBAC und dem Techniker ist auch alles so weit erfolgreich.

Mit dieser Chipkarte wollte ich nun bei GnuCash mit AqBanking einen neuen User generieren.
Scheitere aber nun an der Stelle "Systemkennung abrufen"

Bekomme:

Welcher Schlüssel das sein soll, bleibt mir aber schleierhaft. Laut dem Techniker ist doch alles OK.
Ich denke mal, an diesem Wochenende wird nicht mehr viel passieren. Anfang der nächsten Woche werde ich den Menschen noch mal kontaktieren, das Angebot steht zumindest.

Dennoch vielleicht aufgrund der Meldungen oben, bzw. für den Schritt irgendeine Idee, wo der Wurm steckt?

Grüße,

Penguin

Deine Version von AqBanking ist wesentlich zu alt. Es ist gut moeglich, dass die damalige Version da Probleme hatte, denn seitdem sind ja einige Bugs behoben worden.


Gruss
Martin

Hallo Martin,

vielen Dank für den Hinweis. Dem werde ich mal nachgehen. Ich hatte unter Ubuntu 9.10 diese Version nehmen müssen, da GnuCash 2.2.6 das so brauchte. Musste in der Paket-Verwaltung die Versionen gar sperren, damit mir Updates meine Konfiguration nicht regelmäßig zerschießen.

Werde das mal auf meinem Lappi mit Ubuntu 10.04 testen, dort sind GnuCash 2.2.9 und AqBanking 4.2.3 in den Standard-Repos. Wenn das das neue Dreamteam ist ...

Wäre nur gut, wenn meine Sparkassen-Konten dann auch noch funktionieren. Das klappt nämlich bislang mit der alten Kombi (obwohl meine Sparkasse eine Systemumstellung angekündigt hat, von der deren Hotline noch nicht mal weiß, was da geändert werden soll :roll: ).

Wenn es das sein sollte, wäre ich schon seeehr froh.

Ich werde berichten.

Gruß,

Ralf

Hallo,

hier die versprochene Rückmeldung:

Es hat sich nix geändert.

AqBanking in Version 4.2.3 und GnuCash in Version 2.2.9. Es treten die selben Fehlermeldungen auf.

Fazit: Die Verwendung der aktuellen AqBanking-Version behebt das Problem nicht.

Kann es sein, dass eine mit DDBAC unter Windows eingerichtete Karte nicht funktioniert?

Gibt es Linux Bordmittel, mit denen ich eine Karte kompatibel initialisieren könnte?

Oder gibt es eine Einstellung in den Tiefen der Konfiguration?

Grüße,

ein leicht verzweifelter Ralf

Eigentlich nicht. Wenn Du ueberhaupt soweit gekommen bist, konnte die Karte zumindest gelesen werden. Es koennte nun noch an den gesendeten Schluesselversionen haengen.

Was ergibt denn:


wenn es auf der Konsole eingegeben wird? Die Ausgabe solltest Du mir eher per privater Mail schicken, nicht hier posten.

Als naechstes waere hier ein Log interessant, am besten eine anonymisierte Version des letzten HBCI-Logs.

Das geht am besten mit dem aqhbci-debugger, auf meinem System zu finden unter "/usr/lib/aqbanking/plugins/32/debugger/aqhbci/aqhbci-qt3-debug".

Log dann bitte ebenfalls per email.


Gruss
Martin

Hallo Martin,

Vielen Dank für Dein Angebot. Ich habe die Daten so weit vorbereitet. Nun muss ich wissen, wohin ich die senden soll.

Ich schicke Dir mal eine PN.

Ganz herzlichen Dank im Voraus!

Ralf

Hallo an alle!

Das Problem hat sich gelöst! 'aquamaniac' konnte mit den Daten was anfangen und hat mir den entscheidenen Tipp gegeben. Ganz herzlichen Dank noch mal an 'aquamaniac' an dieser Stelle!!!

Das möchte ich an dieser Stelle dann nun auch als Lösung schildern:

Hinweis! Ich übernehme keine Haftung für irgendwelche Schäden! Jeder, der dies hier nachvollziehen will, handelt auf eigene Verantwortung!

Zunächst einmal zusammenfassend war wohl bei einem Schlüssel auf der Karte die Schlüsselnummer (Key Number) und Schlüsselversion (Key Version) jeweils auf dem Wert 0 geblieben.

Laut Aussage von 'aquamaniac ' mögen das einige Banken nicht.

Ich gehe jetzt mal von meinen Beobachtungen aus: Auf meiner von der DB ausgelieferten Karte sind Plätze für bis zu 5 User. Für jeden User gibt es einen

- User Sign Key
- User Crypt Key
- Peer Sign Key
- Peer Crypt Key

Also insgesamt 20 Schlüssel. Da ich nur einen User habe, sind nur die Positionen 1, 6, 11 und 16 relevant.
Jeder Schlüssel hat eine eindeutige Nummer, "Key", bei mir aus 8 Stellen und wohl HexCode. (Das kann, denke ich mal, bei jedem anders sein.)

Mit dem Befehl

konnte ich mir den Zustand anschauen.

ACHTUNG! Das Tool ist während der Durchführung der Aktion zwar selbst erklärend, aber es wird der Pin der Karte abgefragt, und wenn der mehrfach falsch eingegeben wurde, ist die Karte wohl dauerhaft gesperrt!!!

Dabei stellte sich wohl heraus, dass der Schlüssel auf Position 16 (Peer Crypt Key) eben bei "Key Number" und "Key Version" den Wert 0 hatte.

Mit folgendem Algorithmus habe ich das gemäß der Anleitung von 'aquamaniac' gelöst:

1. Diesen Befehl ausführen: gct-tool setkey -t starcoscard -k 0x96 --keynum=1 --keyver=1
Hier ist der Parameter -k gleich dem Wert "Key 00000096", bei mir Position 16! Das muss klar sein, sonst ändert man wohl den falschen Schlüssel! Dieser Wert kann bei jedem anders sein!?!

2. Erstes mal Pin eingeben, um mich an der Karte anzumelden

3. Zweites mal Pin eingeben (Standardvorgabe?) Bei mir war das so.
Zitat von 'aquamaniac':


4. Diesen Befehl ausführen: gct-tool showkey -t starcoscard -k 0x96 und prüfen, ob Schlüsselnummer und Schlüsselversion auf 1 stehen

5. Mit Hilfe von DDBAC einen Anmelde-Versuch durchführen (Windows-Rechner!)

6. Wenn das erfolgreich war, wieder versuchen, den Benutzer im AqBanking einrichten

Schließlich sollte bei jedem der 4 Schlüssel für den jeweiligen User Key Version und Key Number auf 1 stehen!

Nun beim Import der Chipkarte noch darauf achten, dass Benutzerkennung und Kundennummer richtig gesetzt sind. Bei mir hatte AqBanking in beiden Feldern die Benutzerkennung vorgeschlagen, was zu korrigieren ist.

Unter "Erweitert" muss dann noch HBCI Version 2.2 eingestellt werden für Deutsche Bank.

So, ich hoffe, ich kann hiermit helfen, viele Nerven zu sparen

... und natürlich, dass ich so weit alles richtig geschildert habe. alles ohne Gewähr auf die vollständige Richtigkeit meiner Schilderungen.

Falls etwas zu ergänzen oder zu ändern ist, nehme ich das gerne auf.

Mit herzlichen Grüßen,

Ralf