Suche Homebankingsoftware die Transaktionsdaten auf Kartenleser anzeigt

Hallo Usenet,

ich suche eine Homebankingsoftware für Linux, die auf einem
Klasse-3-Kartenleser die Transaktiondaten vor der PIN-Eingabe im Display des
Kartenlesers anzeigt, so dass man bei kompromittiertem Rechner dem Nutzer
nicht ohne weiteres getürkte Transaktionen unterschieben kann. Die Software
muss ferner Lastschriften unterstützen.

Ich habe einmal beim Matrica-Support angefragt, der mir mitteilte, dass
Moneyplex die Anzeige der Transaktionsdaten auf dem Kartenleser derzeit noch
nicht unterstützt (das Feature ist allerdings geplant). Ebenso ist man dort
der Ansicht, dass dies derzeit mit keiner auf dem Markt befindlichen
Software ginge (auch nicht unter Windows).

Wenn sie mit dieser Einschätzung Recht hätten, würde mich das sehr wundern.
Der ganze HBCI-Krempel nützt doch nur dann wirklich etwas, wenn er auch der
Kompromittierung des Rechners standhält (zumindest, wenn man nicht so blöd
ist, sich PIN+TAN wegphishen zu lassen).

Wenn jemand eine unter Linux lauffähige Software kennt, die die Anzeige von
Transaktionsdaten auf dem Kartenleser unterstützt, wäre ich für Mitteilung
sehr dankbar,

TIA,
Stefan

Re: Suche Homebankingsoftware die Transaktionsdaten auf Kartenleser anzeigt

Halo Stefan,

> ich suche eine Homebankingsoftware für Linux, die auf einem
> Klasse-3-Kartenleser die Transaktiondaten vor der PIN-Eingabe im
> Display des Kartenlesers anzeigt, so dass man bei kompromittiertem
> Rechner dem Nutzer nicht ohne weiteres getürkte Transaktionen
> unterschieben kann....

Diese Funktionalität gibt es nicht und wird es in absehbarer Zeit auch
nicht geben. Die Aussage von "matrica" ist doch recht mutig. Ich
zitiere mal aus


| Eine solche Lösung wäre auch nur sehr schwierig zu realisieren, denn:
|
| Es gibt keine Schnittstelle/API oder Dergleichen mit der ich eine
| Überweisung oder einen andren Auftrag zum Klasse 3 Leser übertragen
| kann. Wenn überhaupt, ist also nur eine proprietäre Lösung für genau
| ein Chipkartenlesermodell möglich.
|
| Die Displays der Leser sind zu klein um alle Auftragsdaten sinnvoll
| anzuzeigen.
|
| Der Leser müsste, um den Auftrag signieren zu können, schon das
| endgültige zu übertragende Datenformat im Leser erzeugen und dieses
| dann mit der Chipkarte signieren. Nehmen wir an, dass das Ganze auf
| HBCI aufbaut, dann müsste der Leser die komplette HBCI Nachricht
| aufbauen können. Das dürfte den armen Leser doch etwas überfordern
| und würde auch regelmäßige Updates der Leser-Firmware erfordern.

Grundsätzlich fehlt es schon an einer entsprechenden
Schnittstellenspezifikation. Mal von der unzurechende Displaygröße
abgesehen. Mit 2x 16 Zeichen auf dem Kartenleserdisplay bekommt man
nicht mal eine Verwendungszeckzeile mit 27 Zeichen dargestellt. Ein
Klasse 3 Leser verhält sich beim Online-Banking wie ein Klasse 2 Leser.
Egal mit welchem Betriebsystem und Bankingsoftware.


Unter (Punkt 3.1) gibt es eine Übersicht
von freier und kommerzieller Linux-Bankingsoftware. Die unterstützen
Geschäftsvorfälle sollten sich problemlos von der entsprechenden
Programm-Webseite abfragen lassen.

--
Gruß
Daniel

Re: Suche Homebankingsoftware die Transaktionsdaten auf Kartenleser anzeigt

On 2006-01-17, Daniel Schneider <> wrote:

> Diese Funktionalität gibt es nicht und wird es in absehbarer Zeit auch
> nicht geben. [...]
> Grundsätzlich fehlt es schon an einer entsprechenden
> Schnittstellenspezifikation.

Argh, da doktern die Banken jahrelang an der HBCI-Spezifikation rum
(mittlerweile schon in vierter Version) und würdigen den größten
Angriffsvektor keines Blickes? Wenn man die Sicherheit des Rechners
garantieren könnte, dann wären schließlich auch PIN+TAN-Verfahren
hinreichend sicher (von DAUs die auf Phishing reinfallen vielleicht einmal
abgesehen).

> Mal von der unzurechende Displaygröße abgesehen. Mit 2x 16 Zeichen auf dem
> Kartenleserdisplay bekommt man nicht mal eine Verwendungszeckzeile mit 27
> Zeichen dargestellt.

Kontonummer, BLZ und Betrag würden mir vorerst schon mal reichen und sollten
sich mit Scrollen auch auf einem 32-Zeichen-Display einigermaßen komfortabel
darstellen lassen. Zudem können brauchbare Displays so furchtbar teuer nicht
sein, denn selbst die Ultra-Billig-Mobiltelefone haben heutzutage ein
Display, welches zur Anzeige von Transaktionsdaten ausreichen würde.

Apropos teuer: Was würden fähige Kartenleser wohl kosten, wenn man so 5-10
Millionen Stück davon produzieren würde? Die jetzige Situation kann doch
weder für Banken, noch für die Kunden zufriedenstellend sein, bedenkt man,
wie es um den Sicherheitszustand des typischen Heim-PCs bestellt ist.

> Ein Klasse 3 Leser verhält sich beim Online-Banking wie ein Klasse 2 Leser.
> Egal mit welchem Betriebsystem und Bankingsoftware.

Sind die real-existierenden Klasse-3-Leser eigentlich gegen schadhafte
Firmware-Updates geschützt (z. B. durch einen mechanischen Schalter o. ä.)?

Ansonsten dürfte doch sogar ein Klasse-2-Leser noch sicherer sein, da man
beim Klasse-3-Leser mit manipulierter Firmware die PIN abgreifen und
damit nicht mehr nur eine getürkte Transaktion pro echtem
Transaktionsversuch durchführen könnte.


Vielen Dank für deine Antwort!

Grüße,
Stefan

Re: Suche Homebankingsoftware die Transaktionsdaten auf Kartenleser anzeigt

Hallo Stefan,

> Sind die real-existierenden Klasse-3-Leser eigentlich gegen
> schadhafte Firmware-Updates geschützt (z. B. durch einen
> mechanischen Schalter o. ä.)?

Nicht das es mir bekannt wäre. Aber deine Überlegungen sind doch sehr
theoretisch. Wenn man überlegt wie viele unterschiedliche
Kartenleserfabrikate und Bankingprogramme angeboten werden wird sich
keiner in Zeiten von Phishing die Mühe machen Firmware oder Treiber zu
manipulieren. Von den erforderlichen Spezialkenntnissen ganz zu
schweigen.

> Ansonsten dürfte doch sogar ein Klasse-2-Leser noch sicherer sein, da
> man beim Klasse-3-Leser mit manipulierter Firmware die PIN abgreifen
> und damit nicht mehr nur eine getürkte Transaktion pro echtem
> Transaktionsversuch durchführen könnte.

Viele aktuelle Klasse 2 Leser besitzen ebenfalls eine flashbare
Firmware.

Ohne dass ich genaue Informationen habe, bezweifle ich doch stark, dass
sich mit einer manipulierten Firmware die PIN-Eingabe umleiten lässt.
Dies sollte sich eigentlich nur mit einem Hardwareeingriff in den
Kartenleser realisieren lassen. Um solche Manipulationen sichtbar zu
machen habe die meisten Kartenleser ein Sicherheitssiegel. Darüber
hinaus besitzen die Kartenleser zwei LED. Eine zeigt den Zugriff auf
die Chipkarte an, die andere die sichere PIN-Eingabe.

Zudem lässt sich der kryptographische Schlüssel einer Chipkarte - im
Gegensatz zu einer HBCI-Schlüsseldatei - nicht kopieren.

--
Gruß
Daniel

Re: Suche Homebankingsoftware die Transaktionsdaten auf Kartenleseranzeigt

Stefan Tittel schrieb:
>
> ich suche eine Homebankingsoftware für Linux...snip....

Hi,

auf der CD der neuen "Linux User" 02/2006 ist MONEYPENNY drauf. Schau
mal, ob es was für Dich ist:




--
Mit freundlichen Grüßen
Pedro
www.hotsauce.de
www.w-c-fields.de