Hallo @ all

Ich habe mir die ganze Beschreibung der Verschlüsselung (HBCI mit RSA) durchgelesen. Anschließend habe ich noch mal in ruhe über alles nachgedacht. Dabei sind mir so einige Zweifel aufgekommen ob es wirklich so sicher ist.

1. Es mag zwar sein das des Schlüssel, mit dem die Daten verschlüsselt an die Bank übertragen werden, sicher sind, aber was passiert, wenn der Auftrag voher schon von einem Trojaner geändert wurde. Die Softwarehersteller schreiben zwar das die Userdaten verschlüsselt sind, aber über Details schweigen sie. Und darin liegt doch eine gewaltige schwäche. Jetzt werden sicherlich einige sagen, das die Programme nicht so einfach geknackt werden können, da viele User unterschiedliche Programme benutzen. Aber ich denke das sehr viele Menschen bei der Spakasse Kunde sind und demnach Starmoney benutzen. Wie sicher ist Staremoney wirklich? Gibt es dazu Erfahrungen?

2. Kann der Key, mit dem die Daten verschlüsselt werden, nicht durch einen Trojaner abgefangen werden? (der Key wird ja über USB an den PC übertragen, damit Starmoney diesen Key verwenden kann)

Ohne auf technische Details einzugehen denke ich, es ist zwar interessant über die Sicherheit von FinTS-Chipkarte zu debattieren. ABER: Kriminelle sind an schnelle und leicht-durchführbare Hacks interessiert. Solange es noch PIN/TAN und browserbasiertes Internet-Banking gibt, sehe ich kaum ein flächendeckendes Angriffsszenario auf Software und Chipkarte.

Gegen Manipulationen des Auftrages innerhalb der Software ist kein System sicher. Im Zweifel unterschreibt der Inhaber der Chipkarte einen gefälschten Auftrag.

Das der RSA-Schlüssel auf der Chipkarte allerdings via USB oder sonstiger Schnittstelle an den PC Richtung Starmoney (oder andere Programme) übertragen wird ist nicht korrekt.

Die Karte (egal ob RSA oder DDV) übernimmt die Verschlüsselung und gibt den Schlüssel auch nicht raus.

Die Softwarebasierte Verschlüsselung (Programm verschlüsselt selber, Trojaner, Hauptspeicher....) existiert nur im Zusammenhang mit der RSA-Sicherheitsdatei, landläufig als das Disketten-Verfahren bezeichnet.

Aber der irgendwie muss doch der Schlüssel vom USB Gerät (Gerät wo die Karte mit dem Key drauf ist) übers Internet übertragen werden. Damit die Bank weiß ob der Auftrag gültig war. Demnach muss doch der Key über die USB-Schnittstelle eingelesen werden.

Nicht der Key geht über USB, sondern die fertige Signatur! Die Karte rechnet selbst.
Also ( leicht vereinfacht - Spezis erschlagt mich nicht):
1. Du erstellst den Auftrag im Programm und sagst "senden".
2. Prog erstellt einen Hash der zu sendenden Daten und und schickt den Auftrag (Ohne Unterschrift!) an die Bank.
3. Prog schickt Hash an Chipkarte
4. Chip rechnet und gibt Signatur zurück.
5. Prog sendet Signatur an Bank.
6. Bank vergleicht Hash aus Auftrag und Signatur und antwortet entwerder mit stillem Kopfnicken oder auch nicht...

Cu

Frank

Ah

Aber kann man das nicht super einfach umgehen.

z.B. macht ein Trojaner folgendes:

Er Erzeugt einen Auftrag (Überweise 10.000 Euro an die Kontonummer X) erzeugt aus diesem Auftrag einen Hash und sendet den an das Kartenlesegerät. Außerdem wird der Auftrag an die Bank gesendet. Die Karte sendet den verschlüsselten Hash-Wert an die Bank und schon hat man das System umgangen.

Versteht mich nicht falsch ich will das System nicht schlecht machen. Ich möchte mich einfach nur Informieren wie gut es wirklich schütz. Denn ich möchte auf das neue System umsteigen. Die Bank wird mir sicherlich erzählen wie toll das neue System ist, aber ich mache mir lieber selber einen Eindruck davon, denn was hilft es mir von einem unsicheren System zum nächsten zu wechseln.

Der Auftrag muß aber zwingend aus der Bankingsoftware kommen und du musst zwingend zu Fuß den Kartenpin am Leser eingeben. Der Trojaner müsste also zuerst dein Bankingprogramm knacken und die daten in seinem Sinne verändern und dann noch den Leser richtig ansprechen. Der Aufwand ist einfach zu groß. Da baut der findige Computerbetrüger lieber eine Phishingseite ....

Bei einem Klasse 2 Leser gehört immer der User dazu, der die Karte aktiviert. Das ist das wichtigste Sicherheitskriterium.

Natürlich wird es immer auch Leute geben, die auf Tricks reinfallen: "Bitte Du senden uns die HBCI-Karte zur Überprüfung an die technische Institut von deutscher Bank in Laboratorium in Ukraine. Bitte nicht schreiben PIN auf Karte sondern in Formular in PDF, weil gefährlich. Die Institut."

Ihr habt recht. Ich muss ja per hand den Code am Kartenlesegerät eingeben. Die Software muss nicht gehackt werden. E ist doch ein 2 Zeiler der einen Auftrag erstellt und daraus einen Hash-Wert bildet. Da muss man doch nicht erst die Software hacken, sondern nimmt lieber die vom Hacker selbst geschriebene. Er braucht lediglich die Bankverbindung, die bekommt man aber sicherlich durch das ständige mitlesen der Tastatureingabe heraus.

Na gut dann werde ich mal zu meiner Bank und versuche HBCI zu beantragen

Na dann mach doch aml... Nein, So einfach ist es nicht. Außer du folgt der Anforderung "Karte einstecken und Pin eingeben während du gerade Solitiare spielst. Ist ja klar, daß deine Züge per Chipkarte unterschrieben werden müssen. Will sagen, der Trojaner muß die Software abfangen. Auf dem Bildschirm soll ja wieterhin stehen, daß du 100 Euronen an Tante Erna schickst und nicht 5000 an den netten Mann aus Lettland. Dafür muß auf jeden Fall das Prog geknackt werden. Auch dieSoftwareprogrmmierer sind nicht ganz blöd und habe das System entsprechend geschützt.

Gute Idee !!!