Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 3
Dabei seit: 02 / 2018
Betreff:

Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 19.02.2018 - 20:25 Uhr  ·  #1
Hi

Ich nutze VR-Networld zusammen mit HBCI Karten von OLB und Sparkasse. Ich verwende einen ReinerSCT cyberJack RFID komfort Kartenleser. Dieser unterstützt auch den "SECODER" Modus. Daher hatte ich erwartet, dass mir die Transaktionsdaten noch einmal zu Bestätigung angezeigt werden. (Normalerweise ist es so, dass der Leser nochmal die Ziel Kontonummer und den Betrag anzeigt und man den nochmal bestätigen muss) Leider fragt er mich nur nach der Pin und führt dann die Transaktion kommentarlos aus.

Jemand ne Idee ob es an einem Einrichtungsfehler liegt oder ob meine Karte bzw der Leser das einfach nicht unterstützen? Jemand ne Idee wie ich die Ausgabe kostengünstig ans Laufen kriege?
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 20.02.2018 - 04:01 Uhr  ·  #2
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 20.02.2018 - 06:56 Uhr  ·  #3
Die Anzeige der Daten im Display funktioniert nur, wenn
1. Die Bank das unterstützt
2. Die Bank das für Dich frei geschaltet hat.

Mit 1) ist die OLB raus und bei der SPK vermute ich, dass die das nicht aktiv geschaltet hat.
Was auch noch sein könnte : schau mal unter Extras Chipkartenleser, ob dort der Leser mit PC/SC aktiv ist. Über CT Api ist die sichere Anzeige nicht möglich.

Viele Grüße
Holger
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Alter: 41
Beiträge: 726
Dabei seit: 06 / 2005
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 20.02.2018 - 09:01 Uhr  ·  #4
Zitat geschrieben von za3223340
Sparkasse

Du dürftest in der freien Wildbahn kaum eine Sparkasse finden, die das aktiv anbietet oder gar unterstützt. Von den 10, 12 Sparkassen, zu denen ich näheren Kontakt habe, hat keine das jemals angeboten. Ich stimme daher Holger zu - es dürfte in beiden Fällen an der Bank scheitern, nicht an deiner Hardware.
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 20.02.2018 - 10:19 Uhr  ·  #5
ist es aber nicht gerade so, dass durch das Upgrade diese Funktion geschaffen wird beim cyberJack® RFID komfort
lt. https://www.reiner-sct.com/upgrade
Zitat
Was ändert sich?
Technisch ändern sich zwei wesentliche Punkte:
Die elektronische Signatur des HBCI-Verfahrens wird durch eine Transaktionsnummer (TAN) beim chipTAN USB Verfahren ersetzt.
Es kommt ein neues Sicherheitsfeature hinzu, das bislang nicht alle Banken hatten: Die Transaktionsdatenanzeige. Es werden z.B. bei einer Überweisung nun die IBAN bzw. Teile der IBAN des Empfängerkontos und der Betrag auf dem sicheren Display des Chipkartenlesers zur Bestätigung angezeigt. Wie beim bekannten chipTAN / Sm@rt-TAN Verfahren, das viele vom u.a. Browserbanking kennen. Damit können Sie Angriffe im Online-Banking schnell erkennen. Bitte prüfen Sie deshalb immer die Daten auf dem Display Ihres Chipkartenlesers gewissenhaft auf Richtigkeit!

Der Ablauf einer Online-Banking Transaktion ähnelt dem bekannten Ablauf beim HBCI, nur dass Sie nun etwas öfter zur Kontrolle und Bestätigung des Vorgangs aufgefordert werden. Bitte beachten Sie deshalb auch immer die Anzeige Ihres Chipkartenlesers.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 20.02.2018 - 10:54 Uhr  ·  #6
Zitat geschrieben von infoman

ist es aber nicht gerade so, dass durch das Upgrade diese Funktion geschaffen wird beim cyberJack® RFID komfort
lt. https://www.reiner-sct.com/upgrade

Nein, das Upgrade ermöglicht es nur, den Secoder auch für PIN/TAN Verfahren zu nutzen.
Hier werden dann bei allen optischen TAN Verfahren nach HHD 1.3.x und 1.4 die Daten nicht per blinkender Grafik übertragen, sondern über USB und wie beim optischen verfahren dann im Display angezeigt.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 20.02.2018 - 13:24 Uhr  ·  #7
das meine ich ja, nach dem Hardware-Upgrade auf PIN/TAN umstellen und es kommt wie vom TS gewünscht
Zitat
Daher hatte ich erwartet, dass mir die Transaktionsdaten noch einmal zu Bestätigung angezeigt werden.
(Normalerweise ist es so, dass der Leser nochmal die Ziel Kontonummer und den Betrag anzeigt und man den nochmal bestätigen muss)
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 20.02.2018 - 13:43 Uhr  ·  #8
Zitat geschrieben von infoman

das meine ich ja, nach dem Hardware-Upgrade auf PIN/TAN umstellen und es kommt wie vom TS gewünscht

Ok, jetzt weiß ich was Du meinst- Grundsätzlich richtig. Wenn das Kriterium Anzeige im Leser und nicht Signatur und Anzeige im Leser ist, wäre das künftig ein Weg zumindest für die Sparkasse.
Mit dem RFID wird es in der aktuellen VRNWS aber noch nicht funktionieren, da das verwendete HBCI Modul die Kombileser nicht kennt. Das wird erst das neue Modul können, welches mit der 7.2 kommt.
Den Aufwand hierzu würde ich aber nicht ganz unterschätzen, da neben dem Firmwareupgrade ggf. auch neue Vereinbahrungen notwnedig sind und eine Umstellung des Verfahrens in der Software. "Nur " die Visualisieurng aktivieren lassen könnte - wenn die Bank das unterstützt- der schnellere Weg sein.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 3
Dabei seit: 02 / 2018
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 20.02.2018 - 19:10 Uhr  ·  #9
Ich möchte auf jeden Fall bei HBCI bleiben!

Also bei der OLB kann ich das definitiv vergessen? Oder lohnt es sich nachzufragen? Können vielleicht neuere Karten da bei der OLB?

Firmware, Treiber und VR-Networld sind alle aktuell. Funktioniert leider trotzdem nicht.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 21.02.2018 - 08:53 Uhr  ·  #10
Zitat geschrieben von za3223340

Ich möchte auf jeden Fall bei HBCI bleiben!
Also bei der OLB kann ich das definitiv vergessen? Oder lohnt es sich nachzufragen? Können vielleicht neuere Karten da bei der OLB?

Ja, bei der OLB kannst Du das definitiv vergessen. Die sichere Anzeige im Secoder haben derzeit nur die Sparkassen und die Volksbanken und Raiffeisenbanken umgesetzt.
Das könnte sich zukünftig ändern. Mit der Regulierung die wohl im 3. Quartal 2019 wirksam wird, kann es sein, dass die Nutzung der Chipkarte ohne Anzeige im Leser nicht mehr zulässig ist.


Zitat geschrieben von za3223340

Ich möchte auf jeden Fall bei HBCI bleiben!

Das kannst Du bei den Sparkassen schon abschreiben. Die stellen wohl die HBCI Signaturverfahren ein.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 21.02.2018 - 09:26 Uhr  ·  #11
Zitat geschrieben von za3223340
Ich möchte auf jeden Fall bei HBCI bleiben!

HBCI/FinTS ist es doch weiterhin
und ob ich eine (HBCI-) Karte einsetze oder eine Girocard ist doch egal (geht bspw. bei der Sparkasse beides)

Zitat geschrieben von za3223340
Firmware, Treiber und VR-Networld sind alle aktuell.

dh. was konkret, sprich Version/Build
denn nach dem Upgrade wird die Hardware als "Secoder 3 Leser" ausgewiesen

kann es sein, dass hier jemand mit dem Kopf durch die Wand will** und dann lieber sein lässt - anstatt sich mit dem neuen Handling anzufreunden.
Das ist doch nur eine Konfig.-Sache. (Upgrade bei Reiner SCT durchführen, danach die Software umstellen und die Karte als "Freizeichnung" einstellen/hinterlegen)


**=oder ist hier der Irrglauben, dass es sicherer ist und man es deshalb unbedingt so will?
Es ist aber schon bekannt, dass die max. (Kunden-) Haftung bei 50 Euro liegt und beides (für die Bank) gleich sicher ist, sonst würden/dürften die es ja nicht anbieten.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 21.02.2018 - 09:59 Uhr  ·  #12
Zitat geschrieben von infoman

Zitat geschrieben von za3223340
Ich möchte auf jeden Fall bei HBCI bleiben!

HBCI/FinTS ist es doch weiterhin
und ob ich eine (HBCI-) Karte einsetze oder eine Girocard ist doch egal (geht bspw. bei der Sparkasse beides)

Formal ist das falsch.
FinTS ist ein Framework, in dem es unter anderem die signaturbasierten Verfahren (HBCI) gibt und z.B. die PIN/TAN Verfahren.
Bei der Visualisierung im Secoder werden die Aufträge mit einer elektronische Signatur abgesichert, bei Chip TAN USB mit einer TAN. Kryptologisch ist das schon etwas anderes.

Die fehlende Differenzierung hat für ziemliche Unruhe gesorgt, als die Aussage kam, die Sparkassen stellen HBCI ein. Wenn man HBCI als Synonym für FinTS nimmt ist das eine andere Hausnummer, als wenn man nur von der Signatur per Chipkarte spricht, die sich aus dem Folgenden leicht erklärt:

In der Wahrnehmung - da bin ich bei Dir - wird kein normaler Anwender unterscheiden können, ob er gerade mit einer Signatur oder einer TAN das Ganze absichert (es gibt schon Unterschiede an denen man das heute bemerkt, wenn man etwas bewusster darauf achtet und künftig mit PSD/2 wird der Ablauf bei ChipTAN USB duetlich unkonfortabler, wenn die Spec bis dahin nicht -wie vorgesehen- angepasst wird.)
In beiden Fällen wird eine Chipkarte in den gleichen Leser gesteckt, in beiden Fällen werden die identischen Daten angezeigt und bestätigt.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 21.02.2018 - 10:19 Uhr  ·  #13
Zitat geschrieben von Holger Fischer
Formal ist das falsch.

das weiß ich ... für den Kunden ist das aber uninteressant

Pauschal geht es darum: ich will was überweisen > anzeigen lassen ob korrekt > abzeichnen
also genau wie du es hier beschreibst:
Zitat geschrieben von Holger Fischer
In beiden Fällen wird eine Chipkarte in den gleichen Leser gesteckt, in beiden Fällen werden die identischen Daten angezeigt und bestätigt.

und genau das geht doch wie aufgezeigt, wenn der TS will (wir drehen uns im Kreis, der TS muss es verstehen und umsetzen)
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 21.02.2018 - 10:45 Uhr  ·  #14
Zitat geschrieben von infoman

.....und genau das geht doch wie aufgezeigt, wenn der TS will (wir drehen uns im Kreis, der TS muss es verstehen und umsetzen)

Wir drehen uns gar nicht im Kreis. In der Kernaussage sind wir einer Meinung, da aber auch Andere diesen Thread lesen und jetzt oder später falsche Schlüsse ziehen könnten, lege ich nur Wert darauf, dass die Details sauber getrennt sind, damit man auch versteht worüber man spricht. Die Klarstellung von fiversen Aussagen und den damit vermeintlich verbundenen Konsequenzen füllt bei mir inzwischen diverse Präsentationen, die ich imemr wieder dazu auch bei Spezialisten halten darf. Und da wir mit der PSD 2 noch einige Änderungen udn Verwirrungen erhalten werden, bin ich da lieber direkt sehr genau.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 21.02.2018 - 11:02 Uhr  ·  #15
Zitat geschrieben von Holger Fischer
In der Kernaussage sind wir einer Meinung

sag ich doch :D

Zitat geschrieben von Holger Fischer
die ich immer wieder dazu auch bei Spezialisten halten darf. Und da wir mit der PSD 2 noch einige Änderungen und Verwirrungen erhalten werden, bin ich da lieber direkt sehr genau.

das ist doch dir unbenommen und ich hab ja nicht behauptet, dass deine Aussage falsch ist, nur hier (beim Endanwender) ist das (fast) uninteressant
du siehst es, aus rein technischer/Entwickler-Sicht, auf Grund deines Jobs

(Vergleich: ein Kunde interessiert bei einem Kontoauszug doch auch nicht, in welchem PDF-Format erstellt/gespeichert wurde (geschweige dem ob Text/Bild oder Signatur), obwohl dies gerade wichtig wäre klick. Von den Banken/Fachabteilungen reden wir hier mal nicht, weil da könntest dann deine Lebensaufgabe finden)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 3
Dabei seit: 02 / 2018
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 21.02.2018 - 12:56 Uhr  ·  #16
Das muss mir jemand erklären, wie Pin/Tan genau so sicher wie HBCI sein kann.

Bei HBCI wird die Nachricht an die Bank signiert. Hierbei wird ein nicht fälschbarer Schlüssel verwendet.


Bei Pin/Tan wird eine 6-8 Stellige Zahl generiert und als "beweis" zusammen mit dem eigentlichen Auftrag verschickt. Diese paar Ziffern müssten neben den Transaktionsdaten auch noch ein geheimes Secret des Nutzers kodieren. Ob das Kollisionssicher möglich ist bezweifle ich. Außerdem würde sich das Secret bei so wenig stellen ggf. Zurückrechnen lassen.

Das zweite ist aus Kryptographie-Sicht ein Witz.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7128
Dabei seit: 03 / 2007
Betreff:

Re: Anzeige der Transaktionsdaten in ReinerSCT cyberJack RFID komfort

 · 
Gepostet: 21.02.2018 - 13:52 Uhr  ·  #17
Du betrachtest das ganze aus einer völlig falschen Sicht.

1) HBCI mit Schlüsseldatei oder Chipkarte (kryptografisch gesichert): Du hast Auftragsdaten, diese Auftragsdaten werden mit Deinem Schlüssel signiert, verschlüsselt und an die Bank übertragen. Die Bank validiert die Signatur und führt dann den Auftrag aus. Soweit ist das Ganze sicher. Allerdings siehst Du beim derzeitigen Verfahren nicht, WAS Du da überhaupt signierst. Wenn Du einen Trojaner auf dem Rechner hast, dann zeigt der Dir 100 Euro an Fa. Müller an, im Hintergrund signiert er 10.000 EUR nach Übersee. Der Bankrechner merkt nichts, Du merkst nichts - erst wenn es zu spät ist, bei den Kontobuchungen, dann wird etwas bemerkt. DIe Signierung und Übertragung ist sicher, aber das Drumherum nicht. Deswegen die Bemühungen der Anzeige der zu signierenden Daten auf dem nicht kompromittierenden Chipkartenleser. Aber wie gesagt, das funktioniert so gut wie nirgends und hat sich in der Breite nie durchgesetzt.

2) TAN-Verfahren - wir reden hier nur von den modernen Zweischritt-TAN-Verfahren, NICHT von unsicheren Listen-TANs . Hierbei gibt es wieder die Auftragsdaten. Diese werden "normal" TLS-Verschlüsselt an den Bankrechner gesendet. Bei PushTAN oder SMS-TAN sendet nun der Bankrechner eine entsprechend generierte TAN, die nur zu den Auftragsdaten passt, die er tatsächlich empfangen hat, auf einem anderen Weg an den Nutzer - ZUSAMMEN mit einer Spiegelung der Auftragsdaten. Diese muß der Nutzer nun prüfen - ist beim Bankrechner 100 EUR an Fa. Müller angekommen oder womöglich etwas ganz anderes - und im Falle der Korrektheit kann er die TAN eingeben. Diese paßt wie gesagt nur zu diesem Auftrag und die Transaktion ist sicher abgeschlossen. Im Falle von ChipTAN ist es etwas anders. Die Auftragsdaten werden an den Bankrechner gesendet, dieser sendet die wichtigsten Teile daraus verschlüsselt an den Nutzer zurück. Dort werden sie - manuell oder per Flicker-Code (oder eben per usb-Verbindung bei den neuesten Lösungen) an einen TAN-Generator übertragen und dort mithilfe von Schlüsseln aus der eingesteckten GiroCard entschlüsselt und angezeigt. Nun muß der Nutzer wiederum prüfen, ob die Daten stimmen. Wenn ja, läßt er vom TAN-Generator eine TAN errechnen. Bez. wird diese TAN nicht vom Generator errechnet, der ist nur ein Anzeigemedium. Vielmehr wird diese vom Chip auf der GiroCard errechnet. Diese TAN paßt wieder nur zu genau diesem Auftrag und wird dem Bankrechner gesendet. Damit wird dann also genau der Auftrag freigegeben, dessen Grunddachten vorher am Generator angezeigt wurden. Und das sind genau die Daten, die schon vorher im Bankrechner vorgelegen haben. Keine Chance also für einen Man-in-the-Middle oder andere Veränderungen. Für die reine Übertragung der Daten wird "nur" https verwendet. Aber darauf kommt's letztendlich nicht an. Der Bankrechner spiegelt die Auftragsdaten entweder auf einem völlig anderen Weg (pushTAN oder sms-TAN) oder so verschlüsselt, dass es nur der Chip auf der GiroCard wieder entschlüsseln kann. Somit kann der Nutzer ganz genau prüfen, WAS er freigibt. Das sollte er natürlich auch tun und nicht nur die TAN eingeben. Bei den neuesten Verfahren mit dem Chipkartenleser über usb muß der Nutzer die TAN dann auch nicht mehr selbst eingeben, sie wird vom Leser per usb auf den Rechner übertragen und entweder über die Zwischenablage oder ganz automatisch eingefügt.

Deshalb ist das Verfahren 2) erheblich sicherer als das Verfahren 1), bei dem jederzeit ein Trojaner im Rechner dazwischenfunken kann. Bei Methode 1) bleibt das unentdeckt, bei 2) fällt es zwangsweise auf, weil die gespiegelten Auftragsdaten falsch oder nicht entschlüsselbar sind. Beim Verfahren 2) steckt die Sicherheit also in Kryptografie im Chip der GiroCard oder aber auf dem zweiten unabhängigen Weg, über den der Auftrag gespiegelt wird und die TAN mitgeteilt wird.
Gewählte Zitate für Mehrfachzitierung:   0