Hallo liebe Forenmitglieder,

ich hatte mich in der folgenden Angelegenheit bereits an Olaf gewendet, der mir freundlicherweise einige Hinweise geben konnte. Allerdings ist das Thema wahrscheinlich auch für andere Nutzer interessant, weswegen ich hier im Forum weiter nachfragen möchte.

Konkret geht es darum, dass Ich gerne sicherstellen möchte, dass meine Bankingsoftware über ein (wahrscheinlich) sicheres Verschlüsselungsverfahren mit der Bank kommuniziert. Dazu müsste ich natürlich erst mal feststellen, welches Verfahren Java für die Kommunikation überhaupt verwendet.

Laut Olaf speichert Hibiscus in der DEBUG-Einstellung diese Informationen im Log mit ab. Leider muss ich zugeben, dass ich die entsprechende Zeile im Log nicht finde. Versteckt sich das Verfahren womöglich hinter einer der lagen Zahlenreihen? An diesem Punkt würde ich mich freuen, wenn ihr mir weiterhelfen könntet.

Da ich die Gepflogenheiten hier im Forum noch nicht kenne, frage ich vorher sicherheitshalber nochmal nach: Soll die Log-Ausgabe hier in einen Code-Block oder lieber nach nopaste?

Ich hoffe, dass ihr etwas Licht ins Dunkel bringen könnt.

Viele Grüße

Das sollte im Logfile mit dem Stichwort "cipher" auftauchen.
Aber wofür möchtest du das wissen, wenn du dich damit nicht auskennst?


Sehr lange Logs bitte nach nopaste verlinken.
Ansonsten in Code Blöcke, damit die Forensoft nichts interpretiert.

Seltsame Doppelung: http://www.onlinebanking-forum…hp?t=16430

Danke! Genau das moechte ich auch nochmal ausdruecklich unterstreichen!

Und zum konkreten Fall: Bevor man anfaengt, an den Crypto-Algorithmen von Java zu drehen, sollte man *sicher* sein, dass man vorher alle anderen erheblich wahrscheinlicheren Risiken ausgeschlossen hat. Und da steht auf Platz 1 immer noch der eigene PC, das eigene WLAN, der eigene Router. Andernfalls ist das aus meiner Sicht Paranoia an der falschen Stelle.

Ich meine, auf welchem Level bewegt man sich denn, wenn man fuer sich selbst RC4 als Gefahr einstuft? Ein Stream-Cipher, von dem man derzeit davon ausgehen kann, dass die NSA den in Echtzeit knacken kann. Die NSA! Die, die es geschafft haben, das Merkel-Handy zu hacken! Vermutlich ist es fuer die NSA erheblich einfacher, nen Bank-Mitarbeiter zu bestechen und die Daten direkt in der Bank abzugreifen.

Entschuldigt bitte. Da dieses in einem anderen Unterforum eröffnet wurde, habe ich es nicht gesehen.


Leider finde ich da immer noch nicht die Bezeichnung für den Verschlüsselungsalgorithmus. Soweit ich es aus den FinTS-Dokumenten herauslesen konnte, stehen die langen Zahlenreihen ja allein für den Zahlungsverkehr und die dabei verwendeten Einstellungen, jedoch nicht für die darüber liegende https-Verschlüsselung.

Hier eine Log-Datei: http://sprunge.us/NLfU
In welcher Zeile müsste ich da weiter suchen?


Da hast du natürlich vollkommen recht. Über WLAN würde ich kein Online-Banking machen, PC läuft mit einem Debian, auf dem sich keine sonderbaren Repositories tummeln. Was bei mir anfällig ist, ist der Router - auf den habe ich leider keinen Einfluss.

Primär geht es mir ja nur erst mal darum festzustellen, welchen Verschlüsselungsalgorithmus mir meine Bank vorgibt, danach kann man sich dann weitere Gedanken machen. Und was man natürlich nicht vergessen darf: Mit Hibiscus und der darunter liegenden Software ist man überhaupt in der Lage, diese Einstellungen zu beeinflussen. Mit einem proprietären Programm wie StarMoney hat man da, soweit ich weiß, keine Möglichkeit der Einflussnahme.

Ich danke euch schon mal für eure Hilfe.
Viele Grüße

> In welcher Zeile müsste ich da weiter suchen?

Ggf. musst du die Nightly-Builds installieren und dann das Loglevel auf "TRACE" stellen, damit das SSL-Debugging aktiviert wird.

Okay, finde ich da die Verschlüsselung im Klartext (sprich AES, RC4, ...) oder ist das ebenfalls in Code-Blöcken (ähnlich zum eigentlichen Zahlungsverkehr) kodiert?

Viele Grüße

Da sollte dann eigentlich einigermassen lesbar im Log erscheinen, welche Cipher der Server anbietet, welche der Client kann und auf welche sich der Client daraufhin festgelegt hat.

Dann werde ich mich mal ransetzen. Vielen Dank für eure Hilfe.

Hallo ihr,

zuerst möchte ich euch noch eine frohes neues Jahr wünschen!

Mein letzter Beitrag ist zwar schon länger her, aber ich hatte vorher leider nicht so richtig Zeit, das Thema abzuschließen.

Jedenfalls habe ich mir die Nightly-Builds installiert und dann die Logs im Trace-Modus aufgezeichnet. Das gab zwar eine schön lange Log-Datei, aber schlau bin ich trotzdem nicht daraus geworden

Ich bin dann auf die wesentlich einfachere/logische Lösung gekommen und habe Wireshark angeworfen - und siehe da:
Apo-Bank und DiBa: Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA

Viele Grüße