Zitat geschrieben von hochexplosiv
Nach meinem Verständnis handelt es sich bei der Aussage auf Kobils Webseite um eine theoretischer Möglichkeit, die beim User jedoch den Anschein erweckt, dass diese Möglichkeit (HBCI-Überweisungsdaten im Display anzeigen) tatsächlich existiert.
Diese Moeglichkeit existiert zwar, aber dass sie nicht genutzt wird hat einen einfachen Grund: Der Kartenleser kann diese Daten nur vom Programm erfahren. Daher muss das Programm also diese Daten an den Leser senden, und wenn ein Programm das kann, dann kann das auch ein Virus, Trojaner, etc. Daher gewinnt man hierdurch keine zusaetzliche Sicherheit.
Anders waere es natuerlich, wenn man die komplette zu signierende Nachricht an den Leser senden wuerde, dieser die Daten extrahiert, anzeigt und die fertig signierte/verschluesselte Nachricht zurueckgibt.
Das ist aber bisher nicht der Fall, und dazu muesste der Leser auch etwas mit HBCI-Nachrichten anfangen koennen.
Bisher wird ja vom Leser/der Karte nicht die Nachricht verschluesselt, sondern ein DES-Schluessel, mit dem wiederum von der Anwendung die Nachricht verschluesselt wurde.
Ausserdem signiert die Karte/der Leser nicht die Nachricht, sondern nur dessen Hash. Daher hat der Leser/die Karte gar keine Gelegenheit, anzeige-relevante Daten zu extrahieren. Ergo ist eine sichere Anzeige der Daten nicht moeglich.
Gruss
Martin