Bitte wähle nachfolgend aus, welche Beiträge auf dieser Themenseite auf dem Ausdruck ausgegeben werden sollen. Um dies zu tun markiere bitte die Checkbox auf der linken Seite der Posts, die im Ausdruck berücksichtigt werden sollen und klicke anschließend ganz unten auf der Seite auf den Button "Drucken".

Was ist HBCI und was benötige ich für HBCI

Holger Fischer

Betreff:

Was ist HBCI und was benötige ich für HBCI

 ·  Gepostet: 11.05.2003 - 22:28 Uhr  ·  #332
Was brauche ich für HBCI?

Grundlage um HBCI mit Deiner Bank machen zu können ist eine Vereinbarung die Du mit der Bank unterschreibst. In Ihr werden die Rechte und Pflichten zum Online Banking geregelt.

Ab hier wird es schon differenzierter. Daher gliedere ich es mal nach den Verschlüsselungsverfahren.

DES Verfahren.

Beim DES Verfahren - kommt bei einem Großteil der Sparkassen zum Einsatz - ist der Einsatz einer Chipkarte (eine Chipkarte, die mit den DES Schlüsseln umgehen kann) zwingend vorgegeben. Bei der DES Karte benötigst Du keinen INI Brief, da die Bank und der Anwender die selben Schlüssel nutzen und somit bekannt sind. Aus diesem Grunde werden die Schlüssel schon vorher bei der Bank auf die Karte aufgebracht und verlassen diese nie bzw. sind nicht änderbar!

Zur Kommunikation mit der Bank benötigst Du noch eine Benutzerkennung und eventuelle eine KundenID. Wenn Du diese von Deiner Bank erhältst, musst Du Sie noch auf die Karte aufbringen (In dem Fall handelt es sich um eine unpersonalisierte DES Chipkarte). Benötigst Du diese Angaben nicht, sind Sie schon auf der Chipkarte gespeichert. (personalisierte Chipkarte)

Um hier mit der Bank arbeiten zu können, benötigst Du noch einen Chipkartenleser - zu denen später mehr.

Das DES Verfahren setzt übrigens symmetrische Schlüsselpaare mit eine Schlüssellänge von 128 Bit Länge ein. Hierbei bedeutet symmetrisch, dass der Schlüssel zum entschlüsseln der Gleiche ist wie zum verschlüsseln. Hier liegt ein theoretischer Schwachpunkt. Wenn ich im Besitz eines Schlüssels bin, kann ich entschlüsseln und verschlüsseln. Aus diesem Grunde verlässt der Schlüssel auch niemals die Chipkarte!


RSA (oder auch RDH) Verfahren.

Das RSA Verfahren ist ein asymmetrisches Verschlüsselungsverfahren. Dies bedeutet, dass der Schlüssel zum Entschlüsseln ein anderer als zum Verschlüsseln ist.

Der Anwender daheim generiert sich daher ein eigenes Schlüsselpaar! Ein Schlüssel zum verschlüsseln (der sogenannte "private Schlüssel" - "private key") und den dazu gehörenden Schlüssel zum entschlüsseln (der sogenannte "öffentliche Schlüssel" - "public key"). Dieses Schlüsselpaar wird nun entweder auf eine Diskette oder auf einer speziellen RSA fähigen Chipkarte gespeichert.

Wenn Du nun mit der Bank Daten austauschen möchtest, benötigt die Bank deinen Schlüssel zum entschlüsseln - den öffentlichen Schlüssel. Zusätzlich benötigst Du den öffentlichen Schlüssel der Bank, da Du sonst die Nachrichten der Bank nicht entschlüsseln kannst. Daher werden beim ersten Kontakt die öffentlichen Schlüssel elektronisch ausgetauscht!
Nun würdest Du und die Bank vor dem Problem stehen, dass Du nicht sicher sein kannst, dass es die Bank war, die Dir Ihren Schlüssel gesendet hat und umgekehrt. Aus diesem Grunde hat man den sogenannten INI Brief mit dem Hash-Wert erfunden.
Der Hash-Wert ist eine Prüfsumme, die eindeutig nur zu einem Schlüssel passt (Der Hash Wert ist praktisch der Fingerabdruck des Schlüssels - mit Ihm kann man die Echtheit des Schlüssels nachweisen, aber nicht wissen wie der Schlüssel aussieht). Die Bank hat also von Ihrem öffentlichem Schlüssel den Hash Wert gebildet und Ihn Dir als INI Brief unterschrieben zugeschickt. Wenn Du nun elektronisch den Öffentlichen Schlüssel der Bank erhältst, bildet deine Software die Prüfsumme des erhaltenen Schlüssels. Dieser wird dann mit dem Wert auf dem INI Brief verglichen. Sind die Werte identisch, ist der Schlüssel in Ordnung. Das gleiche macht dann die Bank auch mit dem INI Brief zu deinem öffentlichen Schlüssel.

Zu den Speichermedien beim RSA-Verfahren:

Diskette:

Damit der Schlüssel nicht offen auf der Diskette liegt, wird er je nach Software unterschiedlich "verpackt" auf der Diskette abgelegt. Um Ihn entpacken zu können, benötigst Du ein Passwort welches Du selber vor der Schlüsselerstellung gewählt hast.

Bei der Diskette besteht der Unsicherheitsfaktor z.B. darin, dass deine Passwort Eingabe an der PC Tastatur mitgelesen werden kann, dass Dein Schlüssel kopiert wurde und das Passwort durch versuchen gefunden werden könnte. Da die Diskette keine eigene Logik besitzt, sperrt sie sich auch nicht selber.


RSA Chipkarte:

Die Schlüssel werden gesichert auf der Chipkarte gespeichert. Die Chipkarte besitzt eine eigene Schlüsselverwaltung und eine Zugriffskontrolle. Um auf die Chipkarte zugreifen zu können, benötigst Du eine PIN, mit der Du dich bei der Chipkarte legitimierst. Ist die PIN in Ordnung, erlaubt Dir die Chipkarte den Zugriff auf die Schlüssel. Ist die PIN falsch, wird Dir der Zugriff verboten! Bei fast allen Chipkarten ist es so, dass sich die Chipkarte nach dem dritten Fehlversuch hintereinander (nach jeder richtigen Eingabe hast Du wieder drei Versuche!) selber sperrt und die Schlüssel und die Chipkarte nicht mehr zu nutzen sind.

Um das auf den ersten Blick sehr komplizierte Verfahren mit dem Austausch der INI-Briefe zu vermeiden, bieten inzwischen einige Banken auch vorpersonalisierte RSA-Chipkarten an.

Hierbei gibt es unterschiedliche Methoden der Vorpersonalisierung.
Eine der Methoden arbeitet mit sogenannten Zertifikaten.
Hierbei werden in einer hochsicheren Umgebung die Schlüssel auf die Chipkarte aufgebracht. Zusätzlich zu den Schlüsseln kommt nun noch ein elektronisches Zertifikat (meisten von dem, der die Schlüssel auf die Karte aufbringt) auf die Chipkarte. Dieses Zertifikat (vom Prinzip her ist dieses Zertifikat ein Beglaubigungsschreiben von jemanden, dem Du vertraust, der Dir bestätigt, dass die mitgesendeten Daten echt sind)
Bei dem ersten Schlüsselaustausch wird nun zusätzlich zum öffentlichen Schlüssel auch dieses Zertifikat an die Bank gesendet. Da die Bank dem Aussteller des Zertifikat vertraut und dieser die Echtheit der Schlüssel bestätigt, werden die Schlüssel sofort, ohne Austausch eines INI-Briefes freigeschaltet.

Übrigens, die geplanten Signatur-Karten für die elektronische Unterschrift arbeiten nach dem selben Prinzip.

Bei der RSA Verschlüsselung werden zur Zeit Schlüssel mit einer Schlüssellänge von 768 Bit eingesetzt. Mit der HBCI Version 3.0 wird die Schlüssellänge auf mindestens 1024 Bit erhöht.

Die RSA Verschlüsselung gilt derzeit als einer der sichersten Verschlüsselungen die es gibt. (Die drei Entdecker haben hierfür den Nobelpreis erhalten!)


Auch für die RSA Chipkarte benötigst Du einen Kartenleser.

Wie unterscheiden sich die Kartenleser?
Für den "normal" Anwender gibt es drei Sicherheitsklassen:

Klasse 1 Leser - eigentlich nur ein Stückchen Draht, welches den elektronischen Kontakt zum PC herstellt. Die Gefahr hierbei liegt darin, dass die PIN Eingabe ungesichert über die PC Tastatur erfolgt. Die bekanntesten Vertreter dürften die Chipdrives von Towitoko sein.

Klasse 2 Leser - bei den Klasse 2 Lesern erfolgt die PIN Eingabe gesichert entweder über eine eigene Tastatur am Chipkartenleser oder der Kartenleser wird zwischen dem PC und der Tastatur "eingeschliffen". Hier wird die Verbindung der Tastatur zum PC während der PIN Eingabe getrennt, so dass nur noch der Kartenleser Zugriff auf die Tastatur hat.

Achtung : PC-Tastaturen, die einen Kartenleser eingebaut haben, ermöglichen seltsamer Weise in fast 100% der Fälle keine gesicherte PIN Eingabe!!
Klasse 2 Leser, die ein Display besitzen, zeigen in dem Display meistens nur die Aufforderung zur Pineingabe im Display an.

Klasse 3 Leser: - Entgegen der weit verbreiteten Meinung, benötigt man den Klasse 3 Leser nicht für Signaturanwendungen! Der Klasse 3 Leser unterscheidet sich zum Klasse 2 Leser nur im zusätzlichem Display, in dem das angezeigt wird, was signiert werden soll. (z.B. Ladebetrag bei einer Geldkarte). Für die Anzeige im Display gilt "What you see, is what you sign" Also, dass was im Display angezeigt wird, ist dass was signiert (unterschrieben) wird.
Für die Signatur von Dokumenten benötigt man daher auch nur einen Klasse 2 Leser! (Wenn man sich den Zweck des Displays anschaut, wird einem sehr schnell deutlich, dass die Anzeige eines zwölfseitigen Vertrages in einem dreizeiligen Display keinen Sinn macht.)
Auch beim Homebanking wird der Klasse 3 Leser wie ein Klasse 2 Leser genutzt!

Wie Sicher ist HBCI?
Im Verfahren ist der eigentliche HBCI Dialog sicher! Die größte Gefährdung geht von der PIN bzw. vom Passwort für die Diskette aus. D.h. also niemals PIN/Passwort zusammen mit dem Sicherheitsmedium aufbewahren. Die Sicherheitsmedien gehören nach dem HBCI Dialog aus dem Diskettenlaufwerk bzw. aus dem Kartenleser entnommen.

Dies sind schon die wesentlichen Punkte zur Absicherung der HBCI Sicherheitsmedien.
Wenn Du dann noch dafür sorgst, dass Du eine Firewall laufen hast, einen aktuellen Virenscanner einsetzt, ist dein System schon mal soweit abgesichert, dass sich ein gezielter Angriff eigentlich nicht lohnt. 100%ge Sicherheit gibt es nie.
Aber Du gehst wahrscheinlich ja auch trotzdem mit einer gefüllten Brieftasche am Samstag mal vor die Tür!? Hier ist die Gefahr das Geld ungewollt abzugeben wesentlich höher!

So ich hoffe, die wichtigsten Fragen sind beantwortet?
Wenn nicht, werden wir alle bemüht sein, Deine Fragen hier zu beantworten

Viel Vergnügen mit HBCI

Gruß

Holger



<!--EDIT|Holger Fischer|12.05.2003-->
/edit Raimund Sichmann: Beitrag auf wichtig umgestellt

Raimund Sichmann

Betreff:

Re: Was ist HBCI und was benötige ich für HBCI

 ·  Gepostet: 12.05.2003 - 18:21 Uhr  ·  #339
eine kleine Bemerkung zum Klasse 3 Leser:
Geräte diesen Typs sind grundsätzlich updatefähig.

D.h. es kann neue Software in die Kisten eingespielt werden und wer in Zukunft sicher ist, Funktionen wie "GeldKarte laden über das Internet" zu nutzen oder damit eventuell auch online bezahlen möchte, der sollte über einen Klasse 3 Leser etwas intensiver nachdenken.

Lange wird es hoffentlich nicht mehr dauern, die Zeit ist reif dazu und die Geräte sehen imo echt nach mehr aus :rolleyes:



<!--EDIT|Raimund Sichmann|12.05.2003-->

Guestuser

Betreff:

Re: Was ist HBCI und was benötige ich für HBCI

 ·  Gepostet: 13.05.2003 - 16:18 Uhr  ·  #340
Und um nochmal beim RSA-Verfahren (RDH) auf den Unterschied Diskette und RSA-Chipkarte hinzuweisen:

Unsicherheitsfaktor bei der Diskette ist nicht nur die PIN-Eingabe, sondern überhaupt daß die Verschlüsselung in der PC-Software stattfindet. Der geheime Schlüssel befindet sich während der Programmausführung also im Klartext im Speicher des PCs und könnte theoretisch von einem Virus/etc auch von dort ausgelesen werden.

Dagegen werden bei der RSA-Chipkarte die Schlüssel nicht nur auf der Chipkarte gespeichert, sondern auch überhaupt erst dort erzeugt! Außerdem findet bei der Programmausführung die Verschlüsselung nicht in der PC-Software statt, sondern im Mikroprozessor der Chipkarte. Der geheime Schlüssel verlässt somit niemals die Chipkarte und befindet sich daher auch nie im Speicher des PCs, kann also auch niemals von einem Virus/etc "erobert" werden. Dies gilt genauso auch für die DES-Chipkarten.

Jegliche Attacke gegen eine Chipkarte erfordert zwingend, daß der Angreifer auch die Chipkarte selber in die Hand bekommt -- was jawohl längst nicht so unbemerkt möglich sein sollte. Dagegen könnte ein Angriff gegen einen Disketten-Schlüssel auch durchgeführt werden, ohne daß ein Angreifer einen physikalischen Gegenstand des Opfers in seinen Besitz bringt. Daß das trotzdem sehr schwierig und daher IMHO unmöglich ist, steht aber bei HBCI außer Frage.

Holger Fischer

Betreff:

Re: Was ist HBCI und was benötige ich für HBCI

 ·  Gepostet: 13.05.2003 - 19:41 Uhr  ·  #344
Zitat geschrieben von Christian Stimming
Unsicherheitsfaktor bei der Diskette ist nicht nur die PIN-Eingabe, sondern überhaupt daß die Verschlüsselung in der PC-Software stattfindet. Der geheime Schlüssel befindet sich während der Programmausführung also im Klartext im Speicher des PCs und könnte theoretisch von einem Virus/etc auch von dort ausgelesen werden.

Hallo Christian,

vielen Dank für die Ergänzungen! Irgendwann, werde ich dank solcher Anmerkungen nichts mehr vergessen :-)))

Zu Deiner Anmerkung mit der Diskette: Der Zugriff auf die Schlüssel im Speicher benötigt schon verdammt viel know how über die eingesetzte Software. Diesen Angriff halte ich für relativ unwahrscheinlich. Die Wahrscheinlichkeit, dass sich Jemand bei einem ungesicherten PC einfach die Daten auf den eigenen Rechner kopiert und hier das Passwort der Diskette durch probieren (So ein Script zu schreiben erfordert deutlich weniger know how!) rausfindet ist wesehntlich größer.

So etwas ähnliches ist mir schon passiert. Mir ist auf meinem Router PC - damals noch Windoof - die Firewall abgestürzt. Irgendjemand hat das bemerkt und sich knapp 70 MB runtergeladen (ich habe bis heute keine Ahnung was!). Aufgefallen ist mir das nur, weil meine Internetverbindung plötzlich so langsam war. Nach dem neustart der Firewall hörte der Download sofort auf.

Gruß

Holger

Captain FRAG

Betreff:

Re: Was ist HBCI und was benötige ich für HBCI

 ·  Gepostet: 03.06.2003 - 16:30 Uhr  ·  #432
Hier mal was allgemeines zum Thema Verschlüsselung (DES/RSA), Signaturen und allgemeine Sicherheit in einer Gegenüberstellung. Es ist eine kleine Präsentation im PDF-Format. Insbesondere ist dort auch zu sehen, warum Banken allgemein bei RSA auf 1024 wechseln (HBCI und FTAM).

<a href='http://www.kryptocrew.de/archiv/hacking/unsortiert/sicherheit_im_internet2.pdf' target='_blank'>Verschlüsselung mit DES und RSA</a>
(Link funzt leider nicht mehr)


<!--EDIT|Captain FRAG|3.06.2003-->