Hallo zusammen,

ich möchte hier eine ganz einfache Frage stellen die mich die letzen Tage rumtreibt: War meine gesendeten Transaktionen mit Pecunia vom SSL Bug in OS X betroffen ?

Mir ist bekannt dass Pecunia auf der hbci4java Bibliothek aufbaut, aber verwendet diese eine eigene SSL Impelementierung oder die System-eigene ? Was ich in diesem Kontext auch nicht verstehe ist, wie die Verwendung einer Java Bibliothek App-Store konform ist, aber ok.

Das Zweite das ich nicht verstehe ist warum die Pecunia Macher, sofern ihr Produkt nicht betroffen ist, hierzu keinen Blogpost verfassen. Das wäre doch ein klarer Mehrwert im Vergleich zu Konkurrenzprodukten welche oft nur die Web-View der Bankportale scrapen.

Viele Grüße

Andy

Zwar verwendet die FinTS Kommunkation mit der Bank https (also auch SSL), aber die Details können noch einmal extra abgesichert (verschlüsselt) werden, mittels spezieller Signiermechanismen, wie Chipkarten. Ohne diese schützen nur PIN und TAN die Transaktionen (siehe auch http://de.wikipedia.org/wiki/Financial_Transaction_Services).

Ich kenne mich nicht in hbci4java aus, vermute aber mal, dass diese Bibliothek keine eigen SSL Implementation hat, also jene des Betriebssystems mit nutzt.

Update:

Meine Vermutung war falsch! Wie Olaf ganz schnell im hbci4java Forum als Antwort schrieb ist Java gar nicht von diesem SSL Problem betroffen.

Mike

Hallo Mike,

um das nochmal etwas klarzustellen, wie und wo bei FinTS verschlüsselt wird:

* Beim Einsatz von beliebigen PIN/TAN-Verfahren erfolgt die Verschlüsselung einzig und alleine über SSL. Es ist nicht so, dass die Details (welche eigentlich?) extra verschlüsselt werden können.

* Beim Einsatz von FinTS mit anderen Sicherheitsverfahren (DDV-Chipkarte, RSA-Chipkarten, RDH-Sicherheitsmedium, SECODER) erfolgt die Verschlüsselung der Nachrichten nicht auf Transportebene mit SSL sondern mit einem symmetrischen (DDV) bzw. hybriden Verfahren (symmetrisch/asymmetrisch) beim Rest. Ein solcher FinTS-Zugang ist prinzipiell nicht von dem SSL-Bug betroffen.

Noch ein paar grundlegende Gedanken zu der Problematik: Auch wenn so ein Bug unschön ist, sollte er nicht dazu verleiten zu glauben eine eigene Implementierung von kryptographischen Routinen würde hier mehr Sicherheit bringen. Im Gegenteil, eine selbstgestrickte SSL-Implementierung hätte sicher noch mehr Bugs wie bekannte, fertige Libs (z.B. OpenSSL, oder eben die von Java oder MacOs X).
@Andy: Wenn hbci4java tatsächlich eine eigene SSL-Implementierung mitbringen würde und nicht die von Java nehmen würde, würde mich das viel nervöser machen als das warten auf den Bugfix für ein bekanntes Problem.

schönen Gruß

Christian

chrissi, danke für die Klarstellung. Ich habe mich unklar ausgedrückt, wohl auch, weil ich mit dieser Materie nicht sonderlich bewandert bin.

Mike