Hallo,

ein Kunde hat eine personalisierte HBCI-Karte unserer Genossenschaftsbank. Diese funktioniert problemlos ebenso wie die VR NetWorld-Software.

Nun hat er auch ein Konto bei der Haspa, die leider keine HBCI-Chipkarte anbietet, ihren Kunden aber auf Nachfrage eine HBCI-Benutzerkennung zukommen lässt.

Diese Benutzerkennung auf die VR NetWorld-Karte aufzubringen halte ich für nicht möglich - sollte ich falsch liegen bitte ich um eine Info.

Die Frage, die sich uns jetzt stellt: Auf was für eine Chipkarte kann die Benutzerkennung der Sparkasse aufgebracht werden und wo bekommen wir ggfs. so eine Karte ? Der Kunde möchte halt ungerne mit 2 unterschiedlichen Verfahren arbeiten.

Danke + Gruß

Stefan

Eigentlich währe es möglich, die Haspa auch auf die VR-NetWorld Card zu bringen, aber:
Die neue SECCOS Karte wird von der Haspa nicht unterstützt (und die VRNWS könnte dies derzeit nur, wenn die Haspa unsere Zertifikate akzeptieren würde...)
Auf der alten VR-NetWorld Card würde es gehen, aber die läuft Ende des Jahres aus und der Kunde müsste dann für die VoBa eine neue Karte erhalten.

Möglich ist aber die gemeinsame Nutzung einer VR-NetWorld Card basic. Hier gehen beide Kennungen drauf.

Gruß

Holger

Moin,

als einer, der sein Revier auch am Rande Hamburgs hat, kann ich das nur bestätigen. Mit der basic geht das wunderbar. Auch DeuBa und HVB sind damit kombinierbar.

Viel Erfolg

Od

Hi,

interessant... ich dachte immer alle Sparkassen würden ausschließlich und zu 100% DDV-Karten unterstützen... jetzt sehe ich, dass das wohl nicht so ist.
ZKA-Liste sagt: HASPA macht kein HBCI... wickeln die das dann über ein anderes Rechenzentrum ab?
Die haben doch bestimmt nicht für bevorzugte Kunden einen eigenen HBCI-Server da stehen...

Unterstützen die RDH-Schlüssel? Das wäre mir aus Sparkassen-Kreisen völlig neu... Wirklich gut zu wissen.

Gruss, Marcel

Die Haspa hatte bis letztes Jahr noch ein eigene RZ und hat sich dann der SFit angeschlossen, daher konnten und können sie noch RDH unterstützen...

lol... das heisst wohl auf dauer werden sie es nicht mehr?

Keine Ahnung, finde persönlich die DDV-Lösung allerdings auch um einiges besser als RDH Mehr Sicherheit, einfachere Einrichtung

@Stoney

Warum ist DDV sicherer als RDH ?

Gruß,
Vader

Sicherer dadurch, dass der Kunde selber keine Wahl hat welches Speichermedium er nutzt, sondern von Anfang an auf die Chipkarte festgelegt ist. So kommt die Schlüsseldatei dann auch nicht mal auf die Festplatte oder USB-Stick...

Moinsen,

also ich sehe das so: die Spk machen nur die Chipkarte, da beim DDV-Verfahren die Verschlüsselung symetrisch ist und deswegen
sichergestellt werden muß, dass die Zertifikate sicher gespeichert sind.

Bei RDH liegt das Geheimnis ja im privaten Teil des Schlüssels, den sich der Kunde (mit freundlicher Unterstützung der Software) ausdenkt. Aber auch hier können ja die Banken noch entscheiden was und wie angeboten wird.
Deine angespreochene Problematik betrifft ja die "Disketten-Variante". Es gibt ja aber auch RDH-Chipkarten...personalisiert oder auch blanco; je nach dem...

Also am Verfahren allein kann man das NICHT festmachen.


Od

Wodurch wird denn unterbunden, dass ich die Zugangsdaten für eine Blankochipkarte auf einer Diskette nutzen kann? Hatte da bis jetzt eigentlich noch nie Probleme mit...

Vielleicht ist die Unterscheidung personalisiert vs blanco treffender, da DDV-Karten aber immer personalisiert sind, bringt man die damit wahrscheinlich eher in Verbindung.

Frage mich nur gerade, welchen Vorteil dann personalisierte RDH-Karten gegenüber DDV-Karten haben, bis auf die Verschlüsselungsart hat man doch die selben Vor- und Nachteile...

Sorry Stoney,

aber Du vergleichst Äpfel mit Birnen.
Die DES Schlüssel müssen auf einer Chipkarte liegen, da ansonsten die Sicherheit sofort auf Null währe.

Vom Verfahren gilt DES als sicheres Verfahren, da von der Methode als nicht entschlüsselbar gilt. Angriffsziel ist hier daher der Schlüssel.

Beim RSA Verfahren weiß man sehr genau, wie die Verschlüsselung zu knacken ist. Der einzige Schutz ist hier die Verschlüsselungstiefe, bei der im Moment die Rechenkapazität nicht zur Entschlüsselung reicht.

Zusätzlich hat man durch das asymetrische Verfahren die Möglichkeit verschiedenen Leuten die Möglichkeit zu geben, die Eigene Nachricht zu entschlüsseln.

Von sicherer oder unsicherer kann man also nicht so einfach sprechen!

Gruß

Holger

Naja,
aber

1) DDV ist nur 128bit und beide Keys sind gleich.
2) RDH-1 = 768bit und die neuen Seccos Karten (RDH-3/5) haben 1024 (up to 2048) ausserdem wird private/public key verwendet.

Hi,



Von Bankseite sehe ich keinen Unterschied zwischen beiden Verfahren, jedoch halte ich RSA-Karten aus Kundensicht für sicherer.
Das Geheimnis heisst digitale Signatur und genau diese ist bei DDV leider nicht möglich. Da Bank und Kunde den gleichen symmetrischen Schlüssel benutzen, lässt sich hinterher nicht mehr erkennen, ob die Bank oder der Kunde die Nachricht verschlüsselt hat.
Eng genommen heisst das, daß ein Bankmitarbeiter theoretisch einen Kundenauftrag fälschen könnte. Realistisch betrachtet ist sowas natürlich nur ein äußerst theoretisches Szenario, weil sich Banken und Rechenzentren ebenfalls gegen solche Angriffe von intern absichern und sicherlich nicht jedem Bankmitarbeiter Zugang auf die hinterlegten Kundenschlüssel gewähren, aber rein rechtlich hat eine symmetrisch signierte Nachricht keine Belegkraft.
Bei asymmetrischen Verfahren wie RSA, kann klar unterschieden werden ob eine Nachricht von der Bank oder vom Kunden generiert wurde.

Gruss Marcel

:noidea: :noidea:

Ich nicht wirklich. die DES-Karten haben den großen Vorteil, daß der Kunde NUR diese Karte und nur den festgelegten Pin nehmen kann. Da es bei RDH prinzipiell vollkommen egal ist, wo der Schlüssel gespeichert wird und damit natürlich kopierbar ist, kommt der Faktor DAU bei RDH viel stärker zum tragen. Das von der GAD geforderte "sichere" Kennwort mit mind. acht Zeichen incl. einem Sonderzeichen kommt nicht von ungefähr.
Der Risikofaktor Bank- bzw. RZ-Mitarbeiter kann imho hier vernachlässigt werden. Weil wegen diese Leute könnten sich die Kohle der Kunden auf bei weitem einfacheren Wegen unter den Nagel reißen ...

Wir sind hier aber auch schon wieder mal in die Paranoia abgedriftet.


CU

Frank

Ich habe ja gesagt: "Nur sehr theoretischer Ansatz", aber das ist halt der entscheidende Punkt, der für asymmetrische Kryptographie und gegen symmetrische Spricht. Einen anderen Vorteil sehe ich nicht.



Bei DES ist es auch im Prinzip egal wo der Schlüssel liegt. Ein Schlüssel ist eine ziemlich lange Zahl. Mehr nicht.
Beim DDV-Verfahren ist es nur rechtlich vorgeschrieben, dass der Schlüssel auf einer Chipkarte liegen muss!

Bei modernen RSA-Chipkarten kann der Schlüssel genauso sicher hinterlegt werden, wie bei DDV-Karten. Nämlich so, dass sichergestellt ist, dass der Schlüssel die RSA-Karte nicht verlässt. Wird der Schlüssel auch noch vom Seccos-Betriebssystem der RSA-Karte generiert, kann der Kunde sogar sicher sein, dass nichtmal der Bankmitarbeiter seinen privaten Schlüssel kennt.



Die Schlüssellänge macht aber keinen Unterschied. RSA ist mit 640 Bit bereits geknackt (allerdings mit einer großen Zahl Rechner, die über mehrere Monate beschäftigt waren)... 768 Bit ist davon nicht mehr so weit entfernt. Deshalb wird die Schlüssellänge alle paar Jahre einfach angehoben, so daß der Aufwand zum Brechen nicht mehr vertretbar wird.

http://www.heise.de/newsticker/meldung/65957

Bei Tripple-DES wird eine Nachricht mit 3 verschiedenen Schlüsseln hintereinander verschlüsselt. Würde man eine solche Verschlüsselung ebenfalls mit 1024 Bit ansetzen, würde das Ver- und Entschlüsseln der Nachrichten extrem lange dauern. 128 Bit sind also bei DDV sicherheitstechnisch absolut vertretbar, während ein RSA-Schlüssel mit 128 Bit dies nicht mehr wäre.

Hehe, aber wir ich vermute fast dass wir diese Diskussion besser im internen Forum weiterführen sollten

Gruss, Marcel

Muß mich nochmal eben korrigieren

Meinte eigentlich "Frage mich nur gerade, welchen Unterschied dann personalisierte..."

Denn wenn man RDH-Karten personalisiert, könnte ich auch gleich DDV anbieten Bei personalisierten Karten besteht dann natürlich auch das von tuxbanker angesprochene "Paranoiaproblem" das ein Mitarbeiter mit der Kenntnis/Zugriff auf den Personalisierungsprozeß an den Kundenkey gelangt



Wo wird sowas den rechtlich vorgeschrieben bzw. wo steht es ?

Moin,

nur so eine qualifizierte Vermutung:

ich könnte mir aber vorstellen, dass sich auch die verwendeten oder verwendbaren Chips auf den Karten unterscheiden. Es werden bei den Verfahren doch unterschiedliche Dinge vorausgesetzt. Und da könnte ich mir auch deutliche Preisunterschiede vorstellen. Diese gibt es bestimmt auch bei den Backend-Systemen: mit der Zertifikatsverwaltung gibt es bestimmt unterschiede...

Vielleicht weiß noch einer mehr?

Von wegen Paranoia: Woher weiß ich eigentlich, dass das Bargeld, das ich mir natürlich nur am Tresen hole auch echt ist? Also ich laß mir immer einen Bundesbankscheck von der Bank ausstellen und gehe dann zur nächsten Filiale der Bundesbank und hole mir dann dort das Geld ab. Oder, macht das jemand hier anders? Sicherheit geht doch vor Vertrauen, oder?
Wie war der alte Slogan der DeuBa? Vertrauen ist der Anfang... oder war es das Ende...?

Bis demnächst

Od

Und ???
Arbeiten bei der bundesbank keine Menschen ???

Nein, Beamte...

Und die Kernaussage ist doch die, ohne Vertrauen geht nichts :!:

Od