Tach zusammen,

kurze Frage zur EU mit sFirm32 über A004-Chipkarte (Seccos / Bankverlag):
- reicht "Schlüssel" auslesen, dann User initialisieren und Freischaltung anhand des Hash-Wertes?
- was muss ich evtl. noch beachten?
- Reicht die Änderung der PIN als Aktivierung der Transport-PIN?

Fragend guck...

Grüße, Thorsten

Moin,
genau die Karten haben wir auch bestellt, die vom S-Verlag sind viel zu teuer...
Funktionieren tun die Karten mit den Sparkassenkonten sehr gut (andere habe ich nicht testen können... ).
Vor der Initialisierung mußt du aber die Transport-PIN (5-stellig) in eine
persönliche PIN (6-stellige) ändern sonst gibt es nur Fehlermeldungen beim Initialisieren...
Danach nur auslesen, initialisieren und dann den Hash-Brief unterschrieben
an die Bank... et voila!
cu Gippy

und funktionieren nicht, da sie einen längeren Schlüssel im Chip haben! (ich meine 1536 Bit). A004 setzt aber 1024 Bit Schlüssellänge voraus....

Gruß
HL

Huh?

Und warum nutze ich meine STrust Reg-MA Karte für FTAM?

Sicher gehen die und haben 1024bit Schlüssel.

Moin HL,
also meine Karte hat "nur A004 / 1024 - Bit" und funktioniert bestens!!!,
Ein höherer Schlüssel ist mir auch nicht bekannt...
Auch die S-Trust-Card hat meines Wissens "nur"
einen 1024-Bit-Schlüssel...

cu Gippy

Sorry, da war ich nicht präzise genug.

Die STRUST Karten haben das Starcos 2.3 Dateisystem mit einem RSA-Schlüsselpaar von 1024 Bit Länge. Diese Karten funzen auch für A004 (ich habe auch eine). Aber die Karten werden ja nur mit einem echten Zertifikat rausgegeben, d.h. sie sind personengebunden und vergleichsweise.

Unsere Kunden wollen aber konto- und personenungebundene Chipkarten.

Und hier gibt es derzeit nur die kontoungebundene Geldkarten mit SECCOS Betriebssystem (ZKA-Karte). Bei der Chipherstellung wird festgelegt, wie lang das Schlüsselpaar sein soll. Beim Bankverlag sind die eben 1024 Bit (A004 funzt), bei Sparkassenverlag hat man sich jedoch auf 1356 (oder so ähnlich) festgelegt. Klassische Fehlentscheidung, den für A004 geht das halt nicht.

Fazit:
STRUST Starcos 2.3 ->O.K.
BV SECCOS mit 1024 Bit ->O.K.
SV SECCOS mit 1356 Bit -> keine Chance.

Gruß
HL

ganz genau, eine A004 darf auch nur ganz genau 1024 Bit lange Schlüssel verwenden, nicht ein Bit mehr oder weniger.

Auch in EBICS 1.0 ist diese Schlüssellänge fest vorgeschrieben.

Gruß
HL

Warte mal... ich kenne die Kartentypen nicht so genau.

Mit SV Seccos meinst du die signaturvorbereiteten Karten auf die man das Zerti nachladen kann?

Wir setzen die als kontoungebundene HBCI Karte ein, und haben extra die mit Signaturvorbereitung genommen. Allerdings nicht speziell wegen FTAM, das wäre nur eine nette Randerscheinung.

Ich bin bisher allerdings davon ausgegangen, das diese Karten auch für FTAM nutzbar wären, sobald das Zertifikat für die Signatur nachgeladen wurde.

hi,

lt. sparkassenverlag sollen die reinen chipkarten (analog der bankverlag-karten) im august/september verfügbar sein...
sie werden dann ein wenig teurer sein, haben aber ein sparkassen-
branding und das ist für die ein oder andere sparkasse ja doch recht wikchtig...

schaun wir mal welche schlüssellänge dann darauf verfügbar sit - genau konnte mir das keiner sagen.

bis denn dann

der "Don"

Ich kenne mich mit den Sparkassenverlag-Karten nicht so gut aus, aber bei den Bankverlagkarten ist bei Auslieferung schon ein Schlüsselpaar drauf. Ein echtes Zertifikat ist gar nicht nötig, es wird ja nur ein Schlüsselpaar für die EU gebraucht.


Die Karten kenne ich auch nicht, wie kommt das Zertifikat den drauf?

Du kannst in SFIRM bei SECCOS-Karten nämlich kein neues Schlüsselpaar erzeugen, es kommt die Meldung "Das Erzeugen eines Schlüsselpaares auf SECCOS Karten ist nicht nötig, wollen Sie stattdessen den öffentlichen Schlüssel auslesen?" Hast du es denn schon mal ausprobiert?

Gruß
HL

Jetzt verwirrst du mich

Es gibt vom S-Verlag mehrere Karten. 1. fertige Signaturkarten für Kunden, 2. signaturvorbereitete Karten die nachträglich durch Nachladen von Zertifikaten zu Signaturkarten werden (4 Typen, normale Sparkassen-Card, Geldkarte, Geldkarte HBCI, Blank nur Signatur) und eben 3. Registrierungs-Mitarbeiter Karten. Die Reg-MA Karten sind IMHO fertige Signaturkarten mit Sonderrechten.

So eine habe ich, die läuft über auslesen des öffentlichen Teils des Schlüssels 1a für FTAM, ist also 1024bit.

Sagt die BIVG übrigens selber, das das 1a mit DSV und BV Karten geht...
Ich dachte du beziehst dich eber auf die signaturvorbereitete Karten, da ist das auslesen so nicht möglich, die Karte ist ja ab Werk auch erstmal unbrauchbar bis sie denn freigeschaltet wird. Ob das dann auch für FTAM geht ist die Frage die ich mir stelle. Der Rest ist klar, uns somit muss ich wohl deiner Aussage wiedersprechen

23.05.2004:
"SFIRM32 unterstützt sowohl die Version A003 als auch - ab der Version 2.0f – die Version A004 der Elektronischen Unterschrift auf Diskette und Chipkarte.

Es können dabei Chipkarten genutzt werden, die nach dem RSA - Prinzip arbeiten und somit Platz für asymmetrische Schlüsselpaare haben. Dabei ist es bei älteren Karten möglich, dass nur 768 Bit-Schlüssel unterstützt werden. Neue Modelle wie z. B. die -Trust-Karte unterstützen auch A004-Schlüssel."

17.11.2004:
"Ab der Version 2.0i SP1 von FIRM32 wird neben der S-Trust-Karte vom DSV auch die Banken-Signaturkarte vom bank-verlag Köln unterstützt. Es handelt sich um eine SECCOS-Karte."

Jetzt bin ich aber auch verwirrt, nicht dass wir aneinander vorbeireden...

Wir sind uns also über folgende Punkte einig:
S-Trust ->funktioniert problemlos
Bankverlag SECCOS -> funktioniert problemlos

Strittig sind demnach nur die anderen von dir genannten Karten des Sparkassenverlages (normale Sparkassen-Card, Geldkarte, Geldkarte HBCI, Blank nur Signatur)

Voraussetzung für EU A004 über Chipkarten sind RSA-Karten, die eine Schlüssellänge von 1024 Bit unterstützen und -zumindest bei SFIRM32- schon mit einem Schlüsselpaar ausgeliefert werden. Es können Karten mit Starcos 2.3 oder besser noch SECCOS (offizielle ZKA-Karte) Betriebssystem sein.

Ein echtes Zertifikat -wie bei der S-TRUST- Karte muss nicht vorhanden sein, da der Bankrechner es ohnehin nicht gegen ein Trustcenter prüft. Meine S-TRUST-Karte ist z.B. lange abgelaufen, A004 kann ich aber noch problemlos weitermachen.

Optimaler Weise sollte die Karte auch konto- und personenungebunden sein, damit sie den Teilnehmern des Kunden einfach aus dem Lager per Post zugeschickt werden kann.

Die Frage ist also, bietet der SV Karten an die:
-SECCOS BS haben
-ein fertiges Schlüsselpaar auf dem Chip haben
-einen 1024 Bit langen Schlüssel haben
-ZKA konform sind
-nach Möglichkeit konten- und kundenungebunden sind

Als wir im Oktober 2004 die ersten Karten beim Bankverlag bestellt haben, hatte der SV solche Karten noch nicht im Angebot.

Gruß
HL

P.S. wenn wir wirklich aneinander vorbeireden, sollten wir den Thread nicht weiter aufblähen und vielleicht lieber über PN oder Draht gehen?

Ok, wir reden nicht aneinander vorbei.

Die signaturvorbereiteten Karten laufen so erstmal nicht, ich habe so eine natürlich auch und sie wird von SF als ungültige Karte abgelehnt. Ich dachte mir daher, das mit dem Zertifikat auch die Schlüssel auf die Karte wandern.

Meine hat folgende DSV-Bezeichnung: Kontounabhängige Geldkarte mit SECCOS Chip und Signaturanwendung. Aber es gibt eben noch die andern Typen...
Der Verlag bietet die Funktion zum Nachladen der Zertifikate für die Sig-Anmwenung erst im Herbst an, ich kann also nicht testen ob es dann wirklich gehen würde.
Ich hoffe nicht das es wirklich am zu langen Schlüssel liegt, kann aber auch so nicht spezielles dazu finden.

Hi,

wir haben mehrere Kunden die sowohl S-Trust-Karten als auch die BV-Karten vom Bankenverlagen nutzen!

Mit den SV-KArten habt Ihr keine zur Zeit keine Chance, weil der Schlüssel zu lang ist!

Es gibt schon möglichkeiten Singaturen nachzuspeichern. Sind dann zwar noch nicht offiziell zugelassen aber für FTAM reicht es! Benötigt wird dazu die ZKA-Sig-APi!

Moin,

klingt interessant, kannst du das ein bischen ausführlicher beschreiben?

Danke!
HL

Was soll ich da genauer beschreiben? Es wird ein Schlüssel erstellt mit 1024bit länge und auf der Karte gespeichert! Also nichts wildes!

ISt zwar nicht anerkannt aber für Ftam reicht es!

Na ja, meine Frau beschwert sich immer, dass sie mir jedes Wort aus der Nase ziehen muss.

Ehrlich, ich habe es nicht verstanden. ops:

[Stichel-Modus]
Ich lege also meine Krankenkassenkarte neben die Tastatur, kopiere die ZKA-Sig-API in das Temp Verzeichnis, brülle in die Maus "Computer, Signatur erzeugen" und schon kann ich A004? Habe ich das richtig verstanden?
[/Stichel-Modus]

Gruß
HL

bitte bitte sagen klappt besser als anschreien! Solltest DU bei Deiner Frau auch schon bemerkt haben!

Upps...
Sorry, das war echt nicht böse gemeint, ganz ehrlich ops:

Entschuldige bitte, ich werde künftig wohl besser auf "Humor" verzichten.

*schäm*
Gruß
HL