Hallo!
Für die Gehaltszahlungen wird immer vom DATEV-Rechenzentrum eine Sammelüberweisungsdatei direkt an die Bank gesendet, und ich gebe diese dann frei. Die Authentizität prüfe ich anhand eines Begleitzettels, den ich bekomme, und der mit den Daten der Bank identisch sein muss.
Dabei wird auch eine Hashsumme der Datei angegeben, was -nach meinem laienhaften kryptographischen Verständnis- wohl das stärkste Sicherheitsmerkmal sein dürfte.
Weder Steuerberater, noch Bank können mir allerdings sagen, welches Verfahren angewendet wird. Die schienen die Frage und überhaupt das Interesse daran eher absurd zu finden. Von Hash hätten sie noch nichts gehört und dieser Punkt würde von den Kunden nie beachtet, weil vergleichsweise komplex. Die Kunden gäben frei, wenn die Summe und die Anzahl passe.
Trotzdem interessiert es mich. Also, welche ist es? Anhand der Länge halte ich MD5 für wahrscheinlich.
Grüße und sonnigen Sonntag
A.Borque

MD5 (16 Byte = 128 Bit)
SHA1 (20 Byte = 160 Bit)
SHA256 (32 Byte = 256 Bit)

Verifikation vernutlich mühsam mit OpenSSL.

mfg Volker

Hatte da einen Denkfehler mit der Zeichenkodierung gemacht… eher SHA256. Es sind 32 Buchstaben, also 256bit, das passt nicht zu MD5. Aber ist er es wirklich? Es gibt doch mehrere Hasfunktionen mit 256bit Ergebnissen
Wieso Verifikation mit OpenSSL? Ich ging davon aus, dass eine Hashsumme der Auftragsdatei bei der Datev erstellt wird und mir parallel zur Dateiübertragung an die Bank als Begleitzettel zugesendet wird. Dann berechnet die Bank erneut den Hash und wenn die übereinstimmen, passt es.

Dann hast du ja nichts zu befürchten.

Vorsicht! 32 Buchstaben/Ziffern sind 16 Byte = MD5.
2 Buchstaben/Ziffern = 1 Byte

mfg Volker

https://www.bundesbank.de/reso…e-data.pdf

Seite 24
Zurzeit muss der Hashwert mit
SHA 256 berechnet werden.

Die Antwort ist zwar richtig, aber der Verweis auf die Bundesbank ist unglücklich. Die Bundesbank trifft hierzu keine Entscheidung oder macht hier Vorgaben. Spezifiziert wird das Ganze in der DK. Die aktuellste Spezifikation (die der Bundesbank hat einen Stand von vor 4 Jahren) findet man daher immer unter https://www.ebics.de/de/datenformate.


Vor SEPA waren das auch die einzigen Kontrolloptionen. Sicherheitstechnisch aber sehr fragwürdig, da ich die Datei natürlich jederzeit so manipulieren kann, dass quasi die ganze Summe auf ein von mir gewünschtes Zielkonto geht, und die Kontrollsummen trotzdem stimmen. Der Sicherheitsanker ist hier -wie richtig von Dir erwähnt- der Hash.

Viele Grüße

Holger

Spannenderweise wird im TAN-Medium (egal ob ChipTAN-Generater oder Secure-Go-Plus-App) noch immer nur die Überweisungsanzahl, die Gesamtsumme und das Auftraggeberkonto (also das, wovon abgebucht wird) zur Kontrolle angezeigt...
Theoretisch wären die Manipulationen also noch immer möglich...

Kurzer Nachtrag noch zu meinem Post #3, ich hatte mich über @vdelfs nachfolgenden Kommentar gewundert und dann erst gesehen, dass ich da einen Typo habe: es sind 2*32 Zeichen (zwei Zeilen mit je 32 Zeichen), also 64 Zeichen auf dem Freigabezettel.