Hallo zusammen,

ich hatte in den letzten Tagen einigen Stress mit der HBCI Karte der Commerzbank. Ich hatte hier gelesen, dass es für meinen ReinerSCT Cyberjack Komfort ein neues Treiberpaket gibt. Nicht mehr diese "Base Components" sondern die hochmodernen "DriverPackage" Treiber. Gesagt getan und die alten Treiber deinstalliert und die neuen Treiber mit Admin Rechten installiert.

Gleichzeitig muss es bei der Commerzbank irgendeine Änderung des Schlüssels gegeben haben RDH-9 in RAH-9 ... War natürlich ein super Effekt, da Alf Banco noch lief aber Moneyplex und Banking 4W mit einem Fehler:



Nun hatte ich als erstes einmal eine Imagesicherung mit den alten ReinerSCT Treibern zurückgespielt. Problem blieb aber weiterhin bestehen. Der Subsembly Support hatte einen Fehler im Hash analysiert und diesen in einer Betaversion bereitgestellt. Problem blieb aber. Nach einigen Synchronisationsversuchen und letztendlich einer versehentlich begonnenen "Erstinitialisierung" hatte ich wohl die Schlüssel auf der Karte kaputt gemacht. Auch Alf Banco lief nicht mehr ...

Nach Schlüssel sperren, Erstinitialisierung und hinterlegen der neuen Hash funktionieren alle drei Programme wieder.

Jetzt aber einmal die Frage(n):

• Liegen bei euch schon Erfahrungen mit dem neuen "DriverPackage" vor? Kann/soll man dies bedenkelos einsetzen?
  
  
• Das neue Schlüsselpaar der Commerzbank ist ein RAH-9 Schlüssel. In den Homebanking Programmen wird der genaue
  Schlüsseltyp nur recht unzureichend angezeigt. Moneyplex schreibt: Sicherheitsmodus RDH/RAH, Banking 4 bringt Licht
  ins Dunkel: RAH-9, Alf Banco schweigt sich aus und erst wenn ich das Sicherheitsmedium wechsel (und den Schlüsseltyp
  angebe, sehe ich den Typ im Programm ... Aber Wissen ist das nicht ...
  
  
• Ich nutze ab und zu das Uraltprogramm "Chipcardmaster", der aber wirklich nicht mehr aktuell zu sein scheint. Mit welchem Tool kann ich Chipkarten wirklich auslesen und welches kann diese Daten in gut lesbarer Form aufbereitet anzeigen?
  
  
• Ich habe im Matrica Wiki gelesen, dass es möglich sein soll die VR Bank HBCI Karte auch für die Commerzbank zu nutzen. Ich hatte es so verstanden, dass die Schlüssel der Commerzbank zusätzlich mit auf diese Karte geschrieben werden. Funktioniert das wirklich? Zerstöre ich nicht die Schlüssel der VR Bank? Oder ist das ganz anders gemeint?
  

Freue mich auf eure hilfreichen Kommentare und Meinungen ...

Viele Grüße
Michael

Ich nutze seit der Beta die neuen Treiber und hatte keine Probleme.

Die Hypovereinsbank hatte ja auch so ein Wechsel und ich hatte gerade (weil oben erw.) auch dies hier gefunden:
https://www.alf-banco.de/forum/viewtopic.php?t=7431 Thematik also nicht ganz neu.
Evtl kam halt jetzt nur die Abschaltung.

Die Kommunikation der Banken ist hier immer etwas dünn.

Da jetzt alles wieder funktioniert, nutzen bis die nächste Überraschung kommt - weil unsere Glaskugeln wissen auch nicht was noch kommt. (evtl. komplette Abschaltung der Karten oa.)

@pingpong
Das mit den den Schlüsseln der Volksbankkarten für die Commerzbank hat mal funktioniert, das bis vor noch nicht so langer Zeit die CoBa auch RDH-Schlüssel eingesetzt hat. Seit der Umstellung der CoBa von RDH auf RAH sollte das nicht mehr funktionieren, habe ich aber noch keine Erfahrungswerte zu.
Grundsätzlich ist der Schlüssel selber fest auf der Karte und es können (bei den aktuellen SECCOS-Karten) bis zu 5 Benutzerkennungen auf der Karte eingetragen und dadurch mit dem Schlüssel der Karte verknüpft werden.

Die Commerzbank liefert im Segment HNSHK für die RAH-7/9 Banksignaturen für manche BLZ leider falsche Werte. In der neuen Version 7.8.8 von Banking4/ZV haben wir hierfür einen Work-Around eingebaut.

PS: Falls Jemand einen guten Kontakt zur Commerzbank IT hat, bitte melden. Unseren Fehlerbericht an info@commerzbank.de zu schicken halte ich für sinnlos.

Zu Deinen Fragen ein paar Antworten und ein paar Hintergründe:
Die Schlüssel auf der Karte waren nicht defekt, er die dort hinterlegten Statusinformationen
Die Schlüssel auf den heutigen SECCOS Karten sind nicht änderbar, sprich Du nimmst für alle Banken mit denen Du die Karte nutzt die gleichen Schlüssel.
In einem beschreibbaren Bereich, gibt es dann das EF_Notepad, in dem werden bis zu 5 Parameter anderer Banken gespeichert, die aber alle den gleichen Schlüssel dann verwenden. Wenn das Programm das EF_Notepad sauber schreibt, geht da nix kaputt, aber es hat in der Vergangenheit mit ein paar Anwendungen da schon mal Probleme gegeben.

RAH 9 ist ein Profil für die Verwendung der Schlüssel. Es gibt dabei eine definierte Range für die Schlüssellänge und dann noch ein paar Vorgaben, wie eine Signatur und ein Hash gebildet werden. RDH9 und RAH9 unterscheiden sich aus Sicht der Chipkarte nicht. In FinTS wird die einzelne Session mit einem symmetrischen Schlüssel verschlüsselt. beim bisherigen RDH mit einem DES Verfahren und bei den RAH mit einem AES Verfahren. Diese Schlüssel werden bei jeder Dialoginitialisierung ausgehandelt und verfallen daher nach der Übertragung.

Chipkardmaster ist das einzige Programm (am freien Markt) das ich kenne, mit dem man Chipkarten so detailliert auslesen kann. Da Spezifikation der SECCOS Karten sich länger nicht geändert hat (ich glaube erst mit der 8er gibt es da wieder was), gibt es auch keinen echten Grund das Programm zu aktualisieren, zumal programmieren und das Programm "nur" ein Hobby des Entwicklers ist

Das Driverpackage selber hat auf die Nutzung der RSA Chipkarte keinen Einfluss. Schon eher mal die Firmware, für deren Aktualisierung Du das brauchst Ansonsten ist das Package für den Standardzugriff auf den Leser und der Pflege und Support der Komponenten gedacht. Beim Komfort müssten Anwendungen die das können, den auch komplett ohne Treiber ansprechen können, wenn ich das noch richtig im Kopf habe.

Hallo zusammen,

herzlichen Dank für die ausführlichen und wirklich hilfreichen Informationen. Leider habe ich erst heute Zeit gehabt mich dafür bei euch zu bedanken!

Das mit den HBCI Schlüsseln war mir absolut nicht klar. Bei der Sparkasse und den VR Banken wusste ich, dass die Schlüssel sich schon auf den neueren SECCOS Karten befinden. Aber bei der Commerzbank Karte nahm ich an, dass dieses Schlüsselpaar z.B. bei Moneyplex durch die "Erstinitialisierung" erzeugt werden und dann aufdie Karte geschrieben werden. Hintergrund: Bei der Commerzbank Karte, vertrieben durch ReinerSCT, soll es sich um eine "Blancokarte" handeln.
Die habe ich zumindest einmal bei der Bestellung gelesen. Und da die Erstinitialisierung schon recht lange dauerte, ging ich felsenfest davon aus, dass hier diese Schlüssel (einmalig) auf die Karte geschrieben werden.

Ich bin natürlich kein Cryptologe. Aber wird wirklich bei einem Tausch des Verschlüsselungsverfahrens RDH => RAH wirklich kein neues Schlüsselpaar erzeugt. Das müsste doch ein komplett neues Schlüsselpärchen sein.

Siehe auch hier: Link

Wie gesagt, ich will nicht darauf herumhacken. Aber es ist bei einer Fehlersuche wirklich von Vorteil das Verfahren mindestens einmal im Grundsatz verstanden zu haben ...

Viele Grüße
Michael

@pingpong

Bei HBCI-Karten, egal ob personalisiert (also mit Logo der Bank und Name drauf) oder unpersonalisiert, ist der Schlüssel schon von Anfang an auf der Karte. Der Unterschied ist, das bei einer perosnalisierten Karte vor Ausgabe an den Kunden bereits durch die Bank die Benutzerkennung auf die Karte aufgebracht wird, bei einer unpersonalisierten Karte wird diese Kennung erst durch das Programm des Kunden auf die Karte geschrieben. In beiden Fällen aber ist diese Benutzerkennung im Banksystem mit der Chipkarten-ID der verwendeten Karte verknüpft. Diese ID ist einmalig und sorgt dafür, das keine andere Karte mit der gleichen Benutzerkennung verwendet werden kann.
Was den Unterschied zwischen RDH und RAH angeht, so ist die auf der Karte gespeichert Schlüsselkomponente bei beiden Verfahren meines Wissens nach gleich.

Bei den alten Karten RDH1 mit z.B. Starcos Betriebssystem war das auch so. Theoretisch kann man auch heute noch Karten ausgeben, bei denen das auch mit größeren Schlüssellängen so möglich ist. Da SECCOS Karten aber derzeit die einzigen, sich wirklich im Umlauf befindlichen Karten sind, ist das bei denen wie beschrieben.


RDH bedeutet RSA DES Hybrid. Mit den RSA Schlüsseln werden die Aufträge signiert. Für die eigentliche Verschlüsselung des Dialoges, ist diese Verschlüsselung viel zu aufwändig und es würde bedeuten, dass alle verschlüsselten Daten immer durch die Chipkarte gehen müssten. Daher werden die eigentlichen Daten mit einem DES Schlüssel verschlüsselt. Dieser DES Schlüssel wird bei jedem Dialog neu erzeugt, mit dem RSA Schlüssel verschlüsselt und signiert und an die Bank gesendet. Damit nutzen beide Partner temporär immer den gleichen Verschlüsselungsschlüssel.
RAH bedeutet RSA AES Hybrid. Es wird also zum RDH Verfahren nur die Crypto für den temporären Verschlüsselungsteil ausgetauscht.

Natürlich könnte eine Bank hingehen und sagen, ich akzeptiere für ein neues Profil die alten Schlüssel nicht, aber
1. In der Spezifikation für den Wechsel von RDH auf RAH ist das extra wie oben beschrieben definiert worden
2. Schlüssel und Karten bei Kunden auszutauschen ist richtig Aufwand (die Kosten für eventuell neue Karten spielen dabei keine Rolle), daran hat keine Bank Interesse.

Trotzdem ist das tatsächlich bei einer der Banken passiert, die von RDH auf RAH umgestellt haben. Die wollten tatsächlich neue Schlüssel haben. Hier war aber eine Historie vermutlich die Ursache. Man wollte auf RAH9 und RAH10 gehen und musste vorhandene alte Profile mit alten Schlüssellängen damit bereinigen. Das hat am Anfang dazu geführt, dass man neue Schlüssel braucht und ggf. eine neue Karte (da die Schlüssel ja fest drauf sind). Das hat sich nach meinem Stand aber bereits seit längerem erledigt.


Der Link enthält auch keinen Widerspruch zu meinen Ausführungen RDH1 und RDH2 unte3rscheiden sich alleine schon von der RSA Schlüssellänge deutlich von einem RDH10 Profil, dazu kommen weitere Merkmale bzgl dem Bilden von Signaturen und Hashwerten.