Bei der Commerzbank wird die RAH Verschlüsselung für die HBCI-Schlüsseldatei bald zur Pflicht -> gegen Ende des Jahre wenn ich den Informationstext der Commerzbank richtig deute.
Im Wiki steht dazu: " Schlüsseldateien im RAH-Format unterstützt Hibiscus derzeit noch nicht. Es kann aber sein, dass ich das in den nächsten Wochen noch nachrüste. "
Ich wollte fragen, ob sich die Pläne dazu vielleicht schon etwas konkretisiert haben? Ist es ggf. nur eine Frage der Zeit? Ich kann leider überhaupt nicht einschätzen was diese Umstellung technisch bedeutet und ob es überhaupt möglich ist / sein wird.
Freuen würden wir uns sehr wenn's klappt!
VG

Lass mich erstmal die Flut an aktuellen PSD2-Problemen mit PIN/TAN lösen, bevor ich mir Gedanken um Probleme mache, die zum Jahresende vielleicht kommen.

Aber klar.. hätte auch nie mit einer so schnellen Reaktion gerechnet! Ich kann nur den Hut ziehen vor diesem Engagement - größter Respekt!

Hallo - ich wollte mich mal vorsichtig zurück melden. Der 31.12. kommt ja schon in großen Schritten näher und damit auch die Möglichkeit hibiscus weiterhin mit der gewohnten Schlüsseldatei-Methode zu nutzen. Ich habe entdeckt, dass es auf Github bereits eine erste Entwicklung im RAH10-Branch gibt.
Ich habe leider nur begrenzte Programmierkenntisse - würde aber gerne unterstützen, wenn irgendwie möglich? Falls das nicht möglich ist, gibt es ja
vielleicht eine finanzielle Möglichkeit? Ich hörte mal was von einem Amazon Wunschzettel - gibt es den noch? Ich würde mich sehr freuen, wenn ich auch im neuen Jahr hibiscus weiterhin nutzen kann. Mit der API ist es einfach ein ungeschlagenes Top-Produkt im Homebanking Bereich! VG

https://www.willuhn.de/wiki/do…es:spenden

Das Problem ist nicht fehlende Motivation oder ein Amazon-Wunschzettel sondern schlicht fehlende Testmoeglichkeiten. Ich habe selbst kein Konto, bei dem RAH moeglich ist. Ich muss die Tests aber selbst durchfuehren koennen. Tests durch User funktionieren hier nicht.

Hi! Ich hatte auf das Konto bei der Cronbank gehofft - wie hier zu lesen . Ich habe gerade mal bei der Commerzbank angefragt, ob es die Möglichkeit gibt im Zuge der Umstellung ein neues Testkonto anzulegen. Ich warte jetzt auf Rückmeldung von einem Online Banking Spezialisten, ob und wie das klappt. Wäre das evtl. eine Option, wenn ich das zur Verfügung stelle?

Von der Cronbank habe ich immer noch keinerlei Informationen erhalten. Laut BPD können die auch nach wie vor kein RAH.

Das wäre natürlich die beste Option. Allerdings mache ich dir wenig Hoffnungen. Es gibt so gut wie keine Banken mehr, die von aussen erreichbare Testkonten bereitstellen.

ich habe mit dem Spezialisten gesprochen: Ein Testkonto im klassischen Sinn gibt es nicht. Allerdings kann ich ein Tagesgeldkonto einrichten lassen und dorthin 1 Cent überweisen. Dann kann ich ein zweites HBCI-Konto (das ich derzeit noch nicht nutze) lesenden Zugriff - ausschließlich auf dieses neue Konto gewähren. Das würde ich dir dann gerne zur Verfügung stellen! Wäre das ok / ausreichend?
Dann hat der Kontakt bei der Commerzbank noch darauf hingewiesen, das die Banksoftware zukünftig von der Bundesanstalt für Finanzdienstleistungsaufsicht zugelassen sein sollte. Dort erhält die Software dann auch eine Kennung die bei der Übertragung mit eingereicht werden sollte. Derzeit wird diese Kennung wohl als weicher Validierungsfehler behandelt und es kommt nur zu einer Warnung und keinem Fehler. Allerdings konnte er mir nicht sagen, ob sich das in Zukunft nicht mal ändern wird.
Der 31.12. für die finale Umstellung wurde dann nochmal etwas aufgeweicht. Es ist wohl keiner da um den "Schalter" umzulegen - es wird dann aber zeitnah Anfang 2020 erfolgen.

Das mit dem Zugang zu dem Konto wäre ne tolle Sache.

Die FinTS-Registrierung ist schon lange in Hibiscus enthalten. Ohne diese wuerde schon seit Mitte Sept. wegen PSD2 nichts mehr gehen. Die kommt aber nicht von der Bafin.
Von der Bafin gibt es Zertifizierungen für Drittanbieter, die die XS2A-Schnittstelle nutzen wollen. Das hat aber nichts mit FinTS zu tun.

Klasse - ich melde mich wieder, wenn ich alles zusammen habe!

Ich wollte mich nur kurz zurück melden: Ich bin hier immer noch dran. Leider ist die Commerzbank nicht so schnell, so dass ich bis jetzt gerade mal das Tagesgeldkonto eröffnen konnte. Jetzt fehlt noch der HBCI Zugang.

Ich habe inzwischen einen Testzugang von einem anderen User erhalten und alles gemäß Spezifikation implementiert. Leider funktioniert es nicht. Die Bank kann die Nachrichten nicht entschlüsseln. Ich weiss nicht, wo in meinem Code der Fehler ist. Ich habe mit der Analyse sicher schon eine Woche verbracht, finde aber den Grund für den Fehler nicht.

Ich breche das Thema RAH daher leider bis auf weiteres ab. Sorry.

Hallo Olaf,

das ist sehr bedauerlich. Aber verständlich.
Hast du denn von der Bank-IT Support erhalten, oder warst du auf dich alleine gestellt?

Vielleicht hast du später nochmal Muße dazu, es erneut zu probieren.
Der letzte Stand ist im Git?

Schöne Grüße & vielen Dank für den Versuch,
Maik

Von der Bank habe ich keinen Support erhalten. Die könnten mir da aber ohnehin nicht helfen. Vermutlich ist es nur ein winziges Detail, das ich bei der Verschlüsselung falsch mache (ich vermute, beim Padding in der AES-Verschlüsselung). Leider hab ich hier keinerlei Diagnose-Möglichkeiten. Wenn an der Verschlüsselung irgendwas nicht stimmt kommt Datensalat raus, wenn die Verschlüsselung richtig ist, kommtl auch Datensalat raus. An den verschlüsselten Daten kann man nicht erkennen, ob sie richtig oder falsch verschlüsselt sind. Da pro Nachricht auch noch ein dynamischer Schlüssel verwendet wird, kann man noch nichtmal mit den Daten eines anderen Banking-Programms vergleichen.

Wie gesagt - vermutlich fehlt nur ein winziges Detail. Unter Umständen könnte es helfen, wenn ich eine funktionierende RAH-Implementierung (auch in einer anderen Programmiersprache) sehen würde. Dann könnte man damit vergleichen.

Ja. In Hibiscus ist der Support dafür auch schon drin. Das heisst, man kann da einen neuen INI-Brief mit RAH erstellen. Leider kommt es beim verschlüsselten Versand des INI-Briefes an die Bank zu einem Fehler, weil die Bank die Daten nicht entschlüsseln kann.

Das klingt leider wirklich nicht gut. Ich habe die Daten jetzt auch zusammen - eine Mail ist unterwegs. Ich weiß nicht mit welcher Bank du Kontakt hattest - aber evtl. ist die Commerzbank ja kooperativer!? Ich habe mit den Daten auch den experimentellen RAH10 Modus getestet - das Ergebnis ist wohl der von dir beschriebenen Fehler:

---

[Fri Jan 03 10:42:03 CET 2020][ERROR][main][de.willuhn.jameica.hbci.passports.rdh.keyformat.HBCI4JavaFormat.createKey] unable to create key /home/**.rdh
org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Erzeugen eines HBCIHandler Objektes
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:141)
at de.willuhn.jameica.hbci.passports.rdh.keyformat.HBCI4JavaFormat.createKey(HBCI4JavaFormat.java:131)
at de.willuhn.jameica.hbci.passports.rdh.RDHKeyFactory.createKey(RDHKeyFactory.java:192)
at de.willuhn.jameica.hbci.passports.rdh.Controller.startCreate(Controller.java:672)
at de.willuhn.jameica.hbci.passports.rdh.View$2.handleAction(View.java:56)
at de.willuhn.jameica.gui.parts.Button$1$1.run(Button.java:174)
at org.eclipse.swt.custom.BusyIndicator.showWhile(BusyIndicator.java:72)
at de.willuhn.jameica.gui.GUI$6.run(GUI.java:908)
at org.eclipse.swt.widgets.Synchronizer.syncExec(Synchronizer.java:236)
at org.eclipse.swt.widgets.Display.syncExec(Display.java:5941)
at de.willuhn.jameica.gui.GUI.startSync(GUI.java:904)
at de.willuhn.jameica.gui.parts.Button$1.widgetSelected(Button.java:168)
at org.eclipse.swt.widgets.TypedListener.handleEvent(TypedListener.java:252)
at org.eclipse.swt.widgets.EventTable.sendEvent(EventTable.java:89)
at org.eclipse.swt.widgets.Display.sendEvent(Display.java:5797)
at org.eclipse.swt.widgets.Widget.sendEvent(Widget.java:1374)
at org.eclipse.swt.widgets.Display.runDeferredEvents(Display.java:5051)
at org.eclipse.swt.widgets.Display.readAndDispatch(Display.java:4583)
at de.willuhn.jameica.gui.GUI.loop(GUI.java:925)
at de.willuhn.jameica.gui.GUI.init(GUI.java:328)
at de.willuhn.jameica.system.Application.init(Application.java:145)
at de.willuhn.jameica.system.Application.newInstance(Application.java:87)
at de.willuhn.jameica.Main.main(Main.java:75)
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Fehler beim Registrieren der Nutzerdaten
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:169)
at org.kapott.hbci.manager.HBCIHandler.<init>(HBCIHandler.java:132)
... 22 more
Caused by: org.kapott.hbci.exceptions.HBCI_Exception: Übermitteln der neuen Nutzerschlüssel abgebrochen
at org.kapott.hbci.manager.HBCIUser.sendAndActivateNewUserKeys(HBCIUser.java:355)
at org.kapott.hbci.manager.HBCIUser.generateNewKeys(HBCIUser.java:376)
at org.kapott.hbci.manager.HBCIUser.register(HBCIUser.java:701)
at org.kapott.hbci.manager.HBCIHandler.registerUser(HBCIHandler.java:167)
... 23 more
Caused by: org.kapott.hbci.exceptions.ProcessException: Fehler beim Übermitteln der öffentlichen Schlüssel des Nutzers; Schlüssel zurückgesetzt
at org.kapott.hbci.manager.HBCIUser.sendAndActivateNewUserKeys(HBCIUser.java:241)
... 26 more

[Fri Jan 03 10:42:03 CET 2020][ERROR][main][de.willuhn.jameica.hbci.passports.rdh.RDHKeyFactory.createKey] Fehler beim Erstellen des Schlüssels: Fehler beim Erzeugen eines HBCIHandler Objektes

---

Es war die Commerzbank. Die Bank spielt aber keine Rolle. Selbst wenn die da die besten Entwickler sitzen hätten, könnten die auf ihrer Seite nicht erkennen, was der Fehler in Hibiscus ist. Das geht nur durch Quellcode-Analyse der RAH-Implementierung in HBCI4Java.

Wenn der Fehler bei Dir ist, stimmt das schon, aber wenn die selber ein paar Besonderheiten haben, könnten die den entscheidenden Hiwneis geben. Ich meine auch, dass die CoBa da wie einige anderen Großbanken etwas anders macht. Kann es sein, dass die die Schlüssel falsch verwenden. Mit dem öffentlichen Kundenschlüssel ihre Nachrichten signieren und mit ihrem eigenen öffentlichen Schlüssel die Nachricht signieren?

Beim Signatur-Check war ich noch gar nicht. Ich bin daran gescheitert, dass die Bank die von mir verschlüsselte Nachricht nicht entschlüsseln kann.
RDH und RAH sind ja sehr ähnlich. Im Prinzip ist alles identisch - lediglich die Transport-Verschluesselung basiert nicht mehr auf 3DES sondern auf AES.

Ja, aber der Transportschlüssel wird ja mit dem Signaturschlüssel verschlüsselt. Wenn die CoBa die beiden Schlüssel getauscht hat, kommt beim Entschlüsseln immer ein falscher Schlüssel raus. Wäre eine Erklärung.