Hallo allerseits,

mehrere Kunden die Windows Mobile 6 einsetzen haben inzwischen von Problemen beim Verbindungsaufbau zur Bank berichtet. Es wird die Fehlermeldung "Verbindung zur Bank nicht möglich" angezeigt. Das Problem betrifft nicht alle Banken, sondern nur die Sparkassen in Westfalen (DNS-Name hbci-pintan-wf.s-hbci.de) und Hessen (DNS-Name hbci-pintan-he.s-hbci.de).

(Achtung jetzt wird's sehr technisch. Problemlösung findet Ihr weiter unten)

Bei genauer Untersuchung habe ich herausfinden können, dass das Problem mit der neuen AES-SSL-Implementierung in Windows Mobile 6 zu tun hat. Bei manchen Banken scheint eine AES-SSL-Verbindung zu funktionieren, bei anderen wieder nicht. Die beiden problematischen Systeme sind die einzigen getesteten Server welche die so genannten SSL Cipher-Suites DHE-RSA-AES256-SHA und DHE-RSA-AES128-SHA (neben vielen anderen Cipher-Suites) unterstützen. Und genau das ist vermutlich das Problem. Mit dieser ganz speziellen SSL-Cipher-Suite kommt Windows Mobile 6 nicht zurecht.

Ich glaube kaum, dass ich die Rechenzentren davon überzeugen kann, diese beiden SSL-Cipher-Suites einfach zu deaktivieren. Was für die eigentlich kein Problem wäre, es sind ja noch viele andere da, auch welche mit AES Verschlüsselung. Ich werd es dennoch versuchen - in der kleinen Hoffnung dort jemanden zu finden der überhaupt Ahnung von SSL-Cipher-Suites und deren Implikationen hat.

(Jetzt kommt die Lösung)

Bleibt noch die Alternative die SSL-AES-Verschlüsselung in Windows Mobile 6 selbst zu deaktivieren. Auch das ist nicht schlimm. Unter Windows Mobile 5 gab es diese sowieso nicht und es sind noch etliche andere starke SSL-Verschlüsselungen im Angebot. Eigentlich geht das ganz leicht, man braucht nur einen Registry Editor dafür. Dann kann man folgende Einträge ändern:

[HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL \Ciphers\AES 128/128]
Enabled=0

[HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL \Ciphers\AES 256/256]
Enabled=0

Der Enabled-Wert steht normalerweise auf 196. Wird er auf 0 gesetzt ist die entsprechende Verschlüssel deaktiviert und es wird auf eine andere Verschlüsselung ausgewichen. Zumindest im Emulator hat das geklappt. Wichtig: Nach der Änderung alle betroffenen Programme (IE, FinPocket, ...) komplett beenden und neu starten.

Ich hoffe es findet sich noch eine elegantere Lösung...

Hallo Andreas,

wow, Respekt für die Analyse. Ich bin etwas neugierig: Wie lange hast du gebraucht, um dahinter zu kommen?

Ist das eigentlich nur ein "kleines" Problem unter Windows-Mobile oder gibt es auch unter anderen Systemen Schwierigkeiten?

Gruß
Raimund

Guten Morgen,

hat mich schon ein paar Stunden gekostet. Übrigens sehr hilfreich bei SSL-Problemen ist die Analyse des Servers über http://serversniff.de/content.php?do=ssl. Da sieht man dann übrigens auch, dass fast alle HBCI PIN/TAN Server noch 40 Bit SSL-Verschlüsselung erlauben. D.h. ein (sehr) alter Client würde hier erfolgreich eine Verbindung mit nur 40 Bit Verschlüsselung aufbauen. Ich finde, gerade bei HBCI PIN/TAN sollten im Server alle SSL Cipher-Suites mit weniger als 128 Bit Verschlüsselung deaktiviert werden.

Unter Windows XP und älteren Windows Mobile Geräten gibt es kein Problem - das wäre sicher auch schon aufgefallen Auf anderen Systemen habe ich es noch nicht getestet.

Ich weiß auch nicht, ob der Fehler nun in Windows Mobile 6 oder im Server ist. Ich weiß nur, dass das SSL-Handshake zwischen beiden scheitert. Ich vermute das Problem aber eher in Windows Mobile 6 als im Server. Die problematischen SSL Cipher-Suites DHE-RSA-AES256-SHA und DHE-RSA-AES128-SHA sind ziemlich exotisch. Normalerweise finden sich bei SSL-Servern die AES unterstützen nur die einfachen AES256-SHA und AES128-SHA Cipher-Suites.

Aber hallo,

da bin ich doch über die Software gestolpert und bin davon erst gar nicht begeistert gewesen. Ich fand immer wieder die Nachricht "Verbindung zur Bank kann nicht hergestellt werden". So was frústet extrem.
Selbst die Mitarbeiter der Sparkasse konnten nicht genau helfen.
Aber nachdem ich eine Mail an den Support geschickt habe, bekam ich nur einen Hinweis auf dieses Thema.
Nachdem ich die Zeilen gelesen und mit meinem Reg-Editor die entsprechenden Änderungen vornahm. funktionierte das ganze schon wieder.
Wenn man dann aber auch noch liest, dass es nur die Sparkassen in NRW betrifft, denkt man tatsächlich nach, von PIN/TAN auf HBCI umzustellen.

MfG Nils Stanigel

Ja, aber die Frage ist ja was danach wirklich passiert. Mit der 40bit Verschlüsselung darf der Client trotzdem nicht an das Banking System heran.

Beispiel:
Die Internet-Banking Systeme erlauben auch erstmal den Aufbau einer Verbindung mit weniger als 128bit. Sobald das aber geschieht, überprüft das System zusätzlich die Browserkennung und leitet den Kunden auf eine Übergangsseite die ihn über die mangelhafte Verschlüsselung aufklärt und die notwenigen Patches zum Download anbietet, etwa das High Encryption Pack für W2000 ohne SP4.
Das ist doch wohl wesentlich besser, als die Verschlüsselung auszuknipsen und den Kunden mit einer Fehlermeldung im Regen stehen zu lassen.

Über HBCI-PIN/TAN kann das so natürlich nicht ablaufen, trotzdem wird es mit weniger als 128bit nicht zu einer erfolgreichen Übertragung kommen.

Hallo,

ich habe genau das beschriebene Problem mit der SSK Münsterland-Ost. Nun steht der Lösungsweg hier zwar beschrieben aber ich bekomme es dennoch nicht hin...

Ich bin einfach nicht in der Lage, den voreingestellten Wert (bei mir übrigens 192) dauerhaft zu ändern. Ich habe es mi dem Resco Registry Editior und dem Reg Editor des Total Commander probiert.

Zwar kann ich den Wert überschreiben, aber es wird nicht abgespeichert.

Wie muss ich da genau vorgehen ?

Marcus

Hallo,

auf Deinem Gerät ist der Zugriff auf die Registry vermutlich vom Operator gesperrt. Deshalb kannst Du darin nichts ändern.

Ich habe mal von einem "RegEdit" für Windows Mobile Smartphones gehört, das mit privilegierter Signatur ausgestattet ist und somit die Änderung dennoch ermöglicht. Leider kann ich Dir keinen Link dazu senden. Vielleicht findest Du mit Google etwas.

Noch ein Tipp, such nach "PHM RegEdit signed"

Kleiner Nachtrag noch: In den jetzt aktuellen Versionen von Subsembly FinPhone und Subsembly Banking ist ein Work-Around enthalten, so dass der Registry-Patch nicht mehr erforderlich ist.