Re: HBCI mit Freier Software

To: debian-user-german@lists.debian.org
Subject: Re: HBCI mit Freier Software
From: Christian Stubbs <usenetmuelltonne@nurfuerspam.de>
Date: Tue, 20 Sep 2011 16:53:11 +0200
Message-id: <[🔎] j5a9cn$a2u$1@dough.gmane.org>
References: <[🔎] E1R5Gy4-0000e3-S9@swivel.zugschlus.de> <[🔎] od9hk8xcmf.ln2@news.lan.robgri.de>

Robert Grimm <lists@news.robgri.de> writes:

> Marc Haber <mh+debian-user-german@zugschlus.de> wrote:
>
>> Gibt es Erfahrungen, was für einen Kartenleser man am besten kaufen
>> soll? In der Wikipedia steht, dass HBCI derzeit keinen Support für
>> Kartenleser der Klasse 3 bietet, man also darauf angewiesen ist, dass
>> der Rechner einem die korrekten Daten zeigt. Stimmt das? Oder kann man
>> unter gewissen Umständen auch Display und Tastatur eines
>> Klasse-3-Kartenlesers für Bankgeschäfte benutzen?
>
> Das Display bringt nichts, das liegt aber wohl an der Implementierung
> bei den Banken, wenn ich einen entsprechenden Artikel aus der c't noch
> richtig im Kopf habe.

Der HBCI-Standard sieht es nicht vor, dass die Überweisungsdaten direkt
an den Kartenleser übertragen werden, sondern nur ein Hash dieser
Daten. Deshalb kann der Kartenleser unabhängig von der Klasse die Daten
nicht anzeigen.

Es gibt allerdings eine relativ neue (Ende 2009...) Erweiterung namens
Secoder, die jetzt auch im HBCI-Standard ist, die das erlaubt. Die
Kartenleser dazu sind aber keine Klasse-3 Leser, obwohl sie auch
Tastatur und Display haben müssen, sondern müssen dem Secoder Standard
ensprechen. [1]

Die einzige Bank, die das meines Wissens bisher implementiert, sind die
VR-Banken und da auch nicht alle. Welche Software außer der VR-Eigenen
das unterstützt, weiß ich nicht. Und die will Windows.

Die anderen Banken bieten aber oft "smart-TAN" (Flickercode) an, das
eine vergleichbare Sicherheit bietet soll, da dort auch die
Überweisungdaten in einem extra Gerät überprüft werden können und die
TAN nur mit diesen Daten gültig ist.

Allerdings schätze ich da die krytografische Sicherheit wesentlich
niedriger ein, weil die TANs im vergleich zu kryptografischen Signaturen
zu kurz sind. Um zu verhindern, dass jemand TANs durchprobiert und
errät, braucht man da also eine zusätzliche Erkennung und Sperre.

[1] Eine neuerliche Recherche hat ergeben, dass die heutigen Geräte mit
Display wohl beides können, das war lange nicht so. Vielleicht kann man
auch alte Klasse-3 Leser updaten.

Reply to:

Follow-Ups:
- Re: HBCI mit Freier Software
  - From: Tim Boneko <tim@boneko.de>
- Re: HBCI mit Freier Software
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

References:
- HBCI mit Freier Software
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: HBCI mit Freier Software
  - From: Robert Grimm <lists@news.robgri.de>

Prev by Date: Re: HBCI mit Freier Software
Next by Date: sed
Previous by thread: Re: HBCI mit Freier Software
Next by thread: Re: HBCI mit Freier Software
Index(es):
- Date
- Thread