Bitte wähle nachfolgend aus, welche Beiträge auf dieser Themenseite auf dem Ausdruck ausgegeben werden sollen. Um dies zu tun markiere bitte die Checkbox auf der linken Seite der Posts, die im Ausdruck berücksichtigt werden sollen und klicke anschließend ganz unten auf der Seite auf den Button "Drucken".

SFirm - Cipher Suites

Sebastian

Betreff:

SFirm - Cipher Suites

 ·  Gepostet: 08.03.2018 - 08:44 Uhr  ·  #137207
Hallo zusammen,

von einer Sparkasse werden Schreiben an SFirm-Kunden mit versendet, in denen erklärt wird das sog. Cipher Suites (Chiffrensammlungen die mehrere kryptografische Verfahren beinhalten) die Verschlüsselung zwischen dem Kunden und den Bankrechner festlegen. Nutzt der Kunde ältere Cipher Suites stellt dies ein Sicherheitsrisiko dar und daher wird diese Sparkasse SFirm-Versionen die diese alten Suites nutzen nicht mehr zulassen.

Leider ist keine genaue Version genannt, noch weitere Details was diese Cipher Suites tatsächlich sind.

Hat da jemand Details zu?

Grüße
Sebastian

Angel

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 08.03.2018 - 10:08 Uhr  ·  #137211
Hat das was mit EBICS zu tun? Ich hab noch nie was davon gehört, meine SFirm-Spezis sind im Moment leider nicht hier, aber Google bringt das hier (da taucht dieser ominöse Begriff "Cipher Suites" wenigstens mal auf):

https://www.bundesbank.de/Reda…cationFile

Kartenleser

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 08.03.2018 - 10:37 Uhr  ·  #137212

Raimund Sichmann

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 09.03.2018 - 18:59 Uhr  ·  #137233
Der Link oben ist wahrscheinlich dynamisch generiert und funktioniert wohl deshalb nicht immer/mehr.
Das Dokument unter http://www.ebics.de/spezifikation/
verweist auf das bsi:
https://www.bsi.bund.de/DE/Pub…x_htm.html
Die letzte Versionen sind von Januar, wie ich sehe, u.a. liest man dort, dass nur noch TLS 1.2 empfohlen wird. Die Nationalbank hatte geplant, TLS 1.0 bereits abzuschalten, hat den Termin aber auf Juni verschoben.
Gruß
Raimund

vdelf

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 11.03.2018 - 08:43 Uhr  ·  #137237
Zitat geschrieben von Raimund Sichmann

https://www.bsi.bund.de/DE/Pub…x_htm.html
Die letzte Versionen sind von Januar, wie ich sehe, u.a. liest man dort, dass nur noch TLS 1.2 empfohlen wird. Die Nationalbank hatte geplant, TLS 1.0 bereits abzuschalten, hat den Termin aber auf Juni verschoben.

Hallo,

die Empfehlungen der Technischen Richtlinie TR-02102-2 des BSI sollte man nicht so streng sehen. Dort wird die Verwendung von TLS 1.0 bei Bestandssystemen bis maximal 2014 angegeben (Tabelle 4).

Bis auf die NATIONAL-BANK (Wichtige Information zum ausschließlichen Einsatz des Sicherheitsprotokolls TLS 1.2 ab dem 30.04.2018) nutzen alle mir bekannten Banken noch den Verschlüsselungsstandard TLS 1.0.

Da es sicherlich noch viele Online Banker gibt, die eine Finanzsoftware unter Windows XP SP3 nutzen, das nur TLS 1.0 kann, wäre ein großer Aufschrei zu erwarten.

mfg Volker

Sebastian

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 12.03.2018 - 12:56 Uhr  ·  #137246
Vielen Dank! So ähnlich hatte ich schon gedacht. Hat das dann etwas damit zu tun welche EBICS-Version oder Unterschriftsversion genutzt wird? Rein Softwareabhängig ist das doch wohl nicht, oder?

Raimund Sichmann

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 13.03.2018 - 08:03 Uhr  ·  #137263
Ich würde eher nur indirekte Zusammenhänge vermuten. DIe meisten EBICS-Clients könnten je nach Versionsstand unterschiedliche Verschlüsselungen des Betriebssystems "anfragen".

vader

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 13.03.2018 - 08:33 Uhr  ·  #137264
Hallo,

bei den Ciphersuites muss man beachten, dass Anwendungen die vom Betriebssystem bereitgestellten Cipher nutzen können, oder die Anwendung Eigene mitbringen, dann ist die Anwendung unabhängig vom OS.

Bsp:
IE unter XP, nutzt die XP Cipher, siehe https://www.ssllabs.com/ssltes…XP&key=101
Firefox under XP nutzt die Eigene, siehe https://www.ssllabs.com/ssltes…P3&key=137

Im Falle von XP wäre es also irrelevant ob die Bank TLS 1.0 abschaltet, da:

Wenn die Software die Betriebssystem Ciphers benutzt, funktioniert das ganze mit XP eh schon länger nicht mehr,
da alle von XP unterstützen Cipher veraltet und unsicher sind und von den Bankservern idR schon länger nicht mehr unterstützt werden.
Bsp.: https://www.ssllabs.com/ssltest/analyze.html?d=sparkasse.de
TLS 1.0 wird unterstützt, aber keine XP kompatiblen Chiphers, daher "IE 8 / XP = Server sent fatal alert: handshake_failure"

Wenn die Software eigene Cipher nutzt, ist das Betriebssystem egal (solange die Software sich noch darauf installieren lässt) und die Software natürlich aktuelle Ciphers unterstützt.

Ich weiß nicht wie SFirm das handhabt.

vdelf

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 13.03.2018 - 09:56 Uhr  ·  #137268
Zitat geschrieben von vader

Wenn die Software die Betriebssystem Ciphers benutzt, funktioniert das ganze mit XP eh schon länger nicht mehr,
da alle von XP unterstützen Cipher veraltet und unsicher sind und von den Bankservern idR schon länger nicht mehr unterstützt werden.
Bsp.: https://www.ssllabs.com/ssltest/analyze.html?d=sparkasse.de

Hallo,

das betrifft das Webbanking vieler Banken, die Finanzsoftware nutzt das HBCI/FinTS-Banking mit einer anderen Serveradresse, und da ist der Verschlüsselungsstandard TLS 1.0 noch durchaus üblich, auch unter Windows XP SP3.

Langfristig geht aber kein Weg an TLS 1.2 vorbei.

mfg Volker

vader

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 13.03.2018 - 10:38 Uhr  ·  #137269
Hi

TLS 1.0 nützt aber nichts wenn kein XP kompatibler Chipher mehr vom Server unterstützt wird.

vdelf

Betreff:

Re: SFirm - Cipher Suites

 ·  Gepostet: 13.03.2018 - 11:43 Uhr  ·  #137273
Zitat geschrieben von vader

TLS 1.0 nützt aber nichts wenn kein XP kompatibler Chipher mehr vom Server unterstützt wird.

Da muss man etwas genauer hinschauen:

Der Verschlüsselungsstandard TLS 1.0 in der ursprünglichen Spezifikation (rfc2246) kann nur maximal die symmetrische Verschlüsselung TripleDES (3DES), und die kann IE8/XP. Erst im Update (rfc3546) wird die symmetrische Verschlüsselung AES ergänzt, und die kann IE8/XP nicht.

Die NATIONAL-BANK bietet noch TLS 1.0 an, aber kein 3DES (www.bv-activebanking.de).

Finanzsoftware, die auf die Krypto-Komponenten von IE8/XP zugreift, kann daher kein HBCI/FinTS-Banking mit der NATIONAL-BANK.

mfg Volker