Bitte wähle nachfolgend aus, welche Beiträge auf dieser Themenseite auf dem Ausdruck ausgegeben werden sollen. Um dies zu tun markiere bitte die Checkbox auf der linken Seite der Posts, die im Ausdruck berücksichtigt werden sollen und klicke anschließend ganz unten auf der Seite auf den Button "Drucken".

Beschränkte Authentizität bei DDV?

Kann der Kunde die HBCI-DDV-1 Geschäfte anfechten oder nicht

vivid.sam

Betreff:

Beschränkte Authentizität bei DDV?

 ·  Gepostet: 05.01.2006 - 16:31 Uhr  ·  #22582
Hallo zusammen,

ich beschäftige mich beruflich u.a. auch mit Verschlüsselungsalgorithmen (nicht unbedingt HBCI) und mir brennt schon seit längerem eine Frage unter den Nägeln...

Da bei dem HBCI-Sicherheitsverfahren DDV imho der MAC Schlüssel sowohl der Bank als auch dem Kunden bekannt ist, können beide davon ausgehen, dass die Nachricht vom jeweilig anderen geschickt worden ist und umgekehrt. Nennen wir die beiden mal Alice und Bob.

Da aber bei diesem synchronen Verfahren kein privater Schlüssel vorhanden ist, kann theoretisch ein Dritter (nenen wir ihn mal Trend) nicht beurteilen ob Alice sich nicht selbst eine Nachricht gesendet hat.

Wenn nun Bob Trend beweisen will, dass Alice niemals diese Nachricht von ihm erhalten hat, hätte er schlechte Karten.... oder? :roll:

Im Klartext: Kunde zieht vor Gericht, weil er diese Überweisung nie getätigt hat und will sein Geld zurück. Er behauptet, die Bank kennt schließlich seinen Signierschlüssel (MAC) und habe den Auftrag selbst erstellt.

Die Frage: In wie weit würdet ihr diese These unterstützen und / oder kennt ihr schon solche Fälle aus der Praxis?

Viele Grüße,
Sam

Captain FRAG

Betreff:

Re: Beschränkte Authentizität bei DDV?

 ·  Gepostet: 05.01.2006 - 16:37 Uhr  ·  #22583
Hallo Herr Nachbar :)

Das beschriebene ist in der Tat so.
Bei einem syncronen Verfahren kann alleine aufgrund der Signatur nicht gesagt werden ob Alice oder Bob der Signierende war.

Allerdings besteht zwischen Bank und Kunde ein Vertrauensverhältnis das das wieder ausgleicht. Wäre das nicht vorhanden, gäbe es noch ganz andere Probleme, oder?
Denk nur mal an das Thema PIN in der Kartenwelt, PIN/TAN als Legitimation, Wertstellungen, Zinsen u.v.m.
Jede Passwortgeschütze Anwendung hätte theoretisch das Problem.

Zudem könnte man in einem Steifall sicher noch auf sowas wie Kommunikationsdaten/IP Adressen oder ähnliches zurückgreifen.

Für Trend muss die Signatur nachg meier Meinung auch nicht prüfbar sein, es ist ein Verfahren das nur zwischen den beiden Partner, also Alice und Bob vereinbart ist. Also etwas völlig anderes als z.B. eine mittels pgp (also RSA) unterzeichnete Mail. Diese müsste ja für einen nicht in das Verfahren einbezogen prüfbar sein.