GAD Chipkarte (GLS) mit Hibiscus nutzen

Fuchs

Benutzer

Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 09 / 2016

Betreff:

GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 18.09.2016 - 14:10 Uhr · #1

Hallo zusammen,

ich wühle mich nun schon eine ganze Weile durch die Wikis und Foren, bin mir aber nicht sicher, was denn nun so alles geht und was nicht

Ich versuche, meine nagelneue HBCI Chipkarte der GLS-Bank (eine der GAD-Banken) mit Hibiscus zum Laufen zu bekommen. Setup:

Windoofs 10 64bit
ReinerSCT cyberjack RFID standard (Dual-Interface - Kontak- und kontaktloses Interface)
Jameica 2.6.4/Hibiscus 2.6.18

Bei Nutzung des CTAPI oder PC/SC-Interfaces kriege ich den Fehler:

Code

unknown card type - ret=0 response=6a 82 (file not found)

was, soweit ich das verstehe, auf eine RDH-Karte hinweist (Karte beschriftet mit RD 04/15 NetWorld). Bei Nutzung des RDH über PC/SC-Interfaces bekomme ich:

Code

card has wrong ATR

Die HBCI-Indizes (es gehen 1-4) habe ich durchprobiert, immer gleicher Effekt. Das Schreiben der GLS sagt: "Onlinebanking kann sofort genutzt werden" - was ich so interpretiere, dass die Karte vermutlich bereits initialisiert ist.

Soweit ich die Foren verstehe, kann Hibiscus RDH nur unvollständig/Alpha-Status, aber die Einträge dazu sind meist ein paar Jahre alt. Wie ist denn der aktuelle Stand?

Würde mich freuen, es zum Laufen zu kriegen - danke für Hilfe!

- Fuchs

infoman

Benutzer

Geschlecht:
Beiträge: 6743
Dabei seit: 06 / 2008

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 18.09.2016 - 14:57 Uhr · #2

Olaf Willuhn schrieb am 2016-01-31 14:13:50 CET

Zitat

..."unknown card type". Hibiscus unterstuetzt diese Chipkarten leider noch nicht.
Die Karten deiner Bank sind RDH-Chipkarten. Die werden von Hibiscus leider nicht wirklich unterstuetzt. Hibiscus kann offiziell nur mit DDV-Chipkarten umgehen, wie sie von den Sparkassen benutzt werden.

Mit meinem "nicht wirklich" oben meine ich: Es gibt in Hibiscus inzwischen einen rudimentaeren Support fuer RDH-Karten. Allerdings kann man nur bereits initialisierte Karten verwenden (das Initialisieren beherrscht Hibiscus nicht). Dann gibt es bei RDH-Karten
wohl verschiedene Varianten. Hibiscus unterstuetzt auch hier nicht alles.

Du koenntest es also mal versuchen: Lege eine neue Kartenleser-Config an und waehle als Kartenleser "RDH-Karte via PC/SC-Kartenleser". Mit etwas Glueck funktioniert es. Falls nicht, kann ich dir leider nicht weiterhelfen. Ich kenne mich mit RDH-Karten gar nicht aus. Die derzeitige Unterstuetzung fuer diese Karten in HBCI4Java/Hibiscus stammt nicht von mir sondern von einem anderen Java-Entwickler, der selbst eine solche Karte hat (ich hab so eine gar nicht) und mir den Code dafuer als Patch eingereicht hatte.

Fuchs

Benutzer

Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 09 / 2016

Betreff:

Danke!

· Gepostet: 18.09.2016 - 15:36 Uhr · #3

Hallo Infoman,

danke für die schnelle Antwort. Dann werde ich mich wohl gedulden müssen, bis jemand mit dem nötigen Know-How sich des Problems annimmt...

- Fuchs

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8119
Dabei seit: 08 / 2002

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 18.09.2016 - 18:29 Uhr · #4

Hallo Fuchs,
willkommen im Forum!

Zitat geschrieben von Fuchs

jein, initialisiert werden muss die Karte trotzdem noch, dabei werden die öffentlichen Schlüssel an die Bank übertragen. Die Karte ist aber sofort nutzbar, weil die Schlüssel direkt freigeschaltet werden und eine PIN-Änderung ist auch nicht nötig (sogenannte "Wirk-PIN").
Sollte die Initialisierung das einzige Problem sein, wäre der einfachste Weg, über Windows und die ddbac.exe (ddbac.de) die Karte in Betrieb zu nehmen. Dabei muss die VR-Kennung in das zweite Feld (Kunden-ID, bei Hibiscus "Kunden-Kennung" eingetragen werden, die Benutzerkennung wird immer aus der Karte gelesen.
Ich glaub allerdings nicht, dass das klappt. Unter Hibiscus kann man aktuell mit diesen RDH-Karten leider meines Wissens nur das SmartTAN-Verfahren nutzen.

Gruß
Raimund

Fuchs

Benutzer

Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 09 / 2016

Betreff:

Initialisierung

· Gepostet: 18.09.2016 - 18:56 Uhr · #5

Hallo Raimund,

ich habe die 30-Tage-Testversion der WinData-Software der GLS-Bank nun mal benutzt, und die hat die Karte initialisiert. Daraufhin wurde das Log von Hibiscus auch gesprächiger:

Code

[18.09.2016 15:26:43] Teste Sicherheits-Medium...
[18.09.2016 15:26:43]   open ddv passport
[18.09.2016 15:26:43]     pcsc name:
[18.09.2016 15:26:43]     soft pin: false
[18.09.2016 15:26:43]     entry index: 1
[18.09.2016 15:26:43]     passport type: RSA
[18.09.2016 15:26:43]   found card terminals:
[18.09.2016 15:26:43]     REINER SCT cyberJack RFID standard USB 1
[18.09.2016 15:26:44]    using: org.kapott.hbci.smartcardio.RSACardService
[18.09.2016 15:26:44]   querying features
[18.09.2016 15:26:44]     FEATURE_VERIFY_PIN_DIRECT: 3136c8
[18.09.2016 15:26:44]     FEATURE_MODIFY_PIN_DIRECT: 3136cc
[18.09.2016 15:26:44]     FEATURE_UNKNOWN: 313730
[18.09.2016 15:26:44]     FEATURE_MCT_READER_DIRECT: 3136d0
[18.09.2016 15:26:44]     FEATURE_MCT_UNIVERSAL: 3136d4
[18.09.2016 15:26:44]     FEATURE_IFD_PIN_PROPERTIES: 3136d8
[18.09.2016 15:26:44]   test of passport failed: class org.kapott.hbci.exceptions.HBCI_Exception: card has wrong ATR
[18.09.2016 15:26:44] Fehler beim Testen des Sicherheits-Mediums: card has wrong ATR
[18.09.2016 15:26:44] Aufgetretene Fehlermeldungen:
[18.09.2016 15:26:44] -----------------------------
[18.09.2016 15:26:44]   error while opening chipcard; nested exception is:
  org.kapott.hbci.exceptions.HBCI_Exception: card has wrong ATR
[18.09.2016 15:26:44]   card has wrong ATR
[18.09.2016 15:26:44] -----------------------------

Hilft nur nicht viel

Ich habe dann mal in die Code-Respositories geguckt, nachdem Infoman bzw. Olaf Willuhn ja schrieb, dass der RDH-Code eigentlich nur "so mal eben" integriert wurde, und da wird eigentlich klar, was los ist - die ATR der Chipkarte des Code-Schreibers ist in RSACardService.java hart codiert:

Code

    ATR atr = card.getATR();
    if (!Arrays.equals(atr.getBytes(), new byte[]{
        (byte) 0x3b,
        (byte) 0xb7,
        (byte) 0x94,
        (byte) 0x00,
        (byte) 0x81,
        (byte) 0x31,
        (byte) 0xfe,
        (byte) 0x65,
        (byte) 0x53,
        (byte) 0x50,
        (byte) 0x4b,
        (byte) 0x32,
        (byte) 0x33,
        (byte) 0x90,
        (byte) 0x00,
        (byte) 0xd1
        })) {
        throw new HBCI_Exception("card has wrong ATR");
    }

Anders gesagt - es kann nur mit genau diesem einen Kartentyp des Autors funktionieren... Meine Karte hat einen ATR-Code der mit 3B FF 96... beginnt, und damit fliege ich natürlich raus. Ich kann nicht einschätzen, ob das so sein muss, und meine Java-Fähigkeiten reichen nicht aus, um das auszuprobieren, indem man einfach mal die if-clause rausschmeißt. Es wird damit stehen und fallen, wie universell die sonstigen Daten auf den Karten formatiert sind...

Ist jemand hier, der versierter ist und Lust hätte, diese Modifikation mal umzusetzen? ich biete mich gerne als Tester an!

Viele Grüße

Fuchs

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8119
Dabei seit: 08 / 2002

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 18.09.2016 - 22:44 Uhr · #6

Die Onlinebanking Karte der GLS ist eine personalisierte VR-NetWorld card mit Seccos-Chip. Wenn die also jemand mit Hibiscus ans Rennen bekommt, dürfte das viele Kunden von VR-Banken freuen. Die Sparkassen bekommen ja auch einen neuen Chipkartentyp (RAH), eventuell lohnt sich ja hier inzwischen ein intensiverer Blick auf die aktuelle Kartenlandschaft.
Gruß
Raimund

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6115
Dabei seit: 02 / 2003

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 19.09.2016 - 09:02 Uhr · #7

Zitat geschrieben von Raimund Sichmann

Das mit dem neuen Chipkartentyp ist so nicht ganz richtig, bzw. etwas undifferenziert.
Die Sparkassen stellen ihre Chipkartenbasierte Verschlüsselungs- und Signaturverfahren auf eine neue Technik um. Die bisher genutzte DES Technik ist ein Auslaufmodell und wird wohl mittelfristig gegen eine neue Technik ausgebaut. Die Chipkarte basiert dabei auf der gleichen SECCOS Technik wie es bei den anderen Banken der Fall ist oder auch bei den neuen Karten für die DES Verschlüsselung.

Der Unterschied liegt an anderer Stelle.
Die Sparkassen gehen
- weg von der reinen symmetrischen (DES) Verschlüsselung
- hin zur asymmetrischen Hybridverschlüsselung RAH (RSA - AES - Hybrid)
- hin zur Zertifikatsbasierten Absicherung der Kundenschlüssel
- weg von der einmaligen Einreichung von Kundenschlüssel hin zur ständigen Einreichung von Schlüsseln

Die Unterscheide zu den sonstigen RDH Verfahren liegen vor allem in den Abläufen, weniger auf den Verschlüsselungsverfahren oder Chipkartentypen.

Davon aber abgesehen, ist die Nutzung der Chipkarte auch bei den Sparkassen unter Hibiscus damit in absehbarer Zeit am Ende, wenn sich an dieser Stelle nichts grundlegendes tut.
Da sich aber auch bei den Abläufen in den PIN/TAN Verfahren durch die PSD/2 wohl einiges ändern wird, ist die Frage, wo man Zeit investiert vermutlich einfach zu beantworten....

Viele Grüße

Holger

Fuchs

Benutzer

Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 09 / 2016

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 19.09.2016 - 19:54 Uhr · #8

Das ist gut, dass das SECCOS-Karten sind! Denn der rest vom Code in RSACardService.java bezieht sich auf SECCOS-Karten. Ein Grund mehr, es mal auszuprobieren. Ist jemand in der Lage, einfach mal die if-Anweisung aus dem Code rauszuschmeißen, das ganze zu compilieren und mir zukommen zu lassen? Dann teste ich das mal...

Viele Grüße

Fuchs

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10131
Dabei seit: 03 / 2005

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 30.09.2016 - 13:49 Uhr · #9

Zitat geschrieben von Holger Fischer

Davon aber abgesehen, ist die Nutzung der Chipkarte auch bei den Sparkassen unter Hibiscus damit in absehbarer Zeit am Ende, wenn sich an dieser Stelle nichts grundlegendes tut.
Da sich aber auch bei den Abläufen in den PIN/TAN Verfahren durch die PSD/2 wohl einiges ändern wird, ist die Frage, wo man Zeit investiert vermutlich einfach zu beantworten....

Hä? Von beiden Themen habe ich bisher noch nichts gehört. Weisst du, ob und welche Zieltermine da schon existieren?
Menno. Jedesmal, wenn ich denke, ich bin mit der Unterstützung der SEPA-, HBCI- und PIN/TAN-Varianten auf einem einigermaßen aktuellen Stand und könnte mich endlich mal wieder um neue Features kümmern, da kommen wieder neue Spezifikationen. Da ist man eigentlich immer nur damit beschäftigt, den dauernd neu auftauchenden Anforderungen hinterherzulaufen.

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8119
Dabei seit: 08 / 2002

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 30.09.2016 - 18:38 Uhr · #10

Damit hast du genau einen der Gründe genannt, warum inzwischen viele kommerzielle Produkte nur noch als Mietversionen verfügbar sind. Es wird übrigens zu diesen Regularien auch darüber diskutiert, ob die Signaturdatei abgeschaltet werden muss.
Gruß
Raimund

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10131
Dabei seit: 03 / 2005

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 08.10.2016 - 09:02 Uhr · #11

@Fuchs: Jetzt hatte ich granz vergessen, dass es in dem Thread ja auch noch um den Test mit deaktiviertem ATR-Check geht.
Ich bau den mal aus und gebe Bescheid, wenn was zum Testen da ist.

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10131
Dabei seit: 03 / 2005

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 10.10.2016 - 10:20 Uhr · #12

Hab den Check entfernt. Ist ab morgen im Nightly-Build. Kannst damit dann also nochmal testen.

Fuchs

Benutzer

Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 09 / 2016

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 16.11.2016 - 22:52 Uhr · #13

Hallo hibiscus,

danke fürs Einbauen! War eine Weile "offline", daher erst jetzt die Antwort.

Habe das Nightly Build gerade getstet. Gut: Der ATR-Fehler ist weg. Schlecht: geht immer noch nicht:

[16.11.2016 22:59:42] Teste Sicherheits-Medium...
[16.11.2016 22:59:42] open ddv passport
[16.11.2016 22:59:42] pcsc name:
[16.11.2016 22:59:42] soft pin: false
[16.11.2016 22:59:42] entry index: 1
[16.11.2016 22:59:42] passport type: RSA
[16.11.2016 22:59:42] found card terminals:
[16.11.2016 22:59:42] REINER SCT cyberJack RFID standard USB 1
[16.11.2016 22:59:43] using: org.kapott.hbci.smartcardio.RSACardService
[16.11.2016 22:59:43] querying features
[16.11.2016 22:59:43] FEATURE_VERIFY_PIN_DIRECT: 3136c8
[16.11.2016 22:59:43] FEATURE_MODIFY_PIN_DIRECT: 3136cc
[16.11.2016 22:59:43] FEATURE_UNKNOWN: 313730
[16.11.2016 22:59:43] FEATURE_MCT_READER_DIRECT: 3136d0
[16.11.2016 22:59:43] FEATURE_MCT_UNIVERSAL: 3136d4
[16.11.2016 22:59:43] FEATURE_IFD_PIN_PROPERTIES: 3136d8
[16.11.2016 22:59:43] test of passport failed: class org.kapott.hbci.exceptions.HBCI_Exception: Fehler 6A80: Falsche Daten
[16.11.2016 22:59:43] Fehler beim Testen des Sicherheits-Mediums: Fehler 6A80: Falsche Daten
[16.11.2016 22:59:43] Aufgetretene Fehlermeldungen:
[16.11.2016 22:59:43] -----------------------------
[16.11.2016 22:59:43] error while opening chipcard; nested exception is:
org.kapott.hbci.exceptions.HBCI_Exception: Fehler 6A80: Falsche Daten
[16.11.2016 22:59:43] Fehler 6A80: Falsche Daten
[16.11.2016 22:59:43] -----------------------------

Schade.

Gruß

Fuchs

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10131
Dabei seit: 03 / 2005

Betreff:

Re: GAD Chipkarte (GLS) mit Hibiscus nutzen

· Gepostet: 17.11.2016 - 09:39 Uhr · #14

Schade. Jetzt kommt "6A80: Falsche Daten". Sehr aussagekraeftig. Ich befuerchte, hier kann nur jemand weiterhelfen, der sich mit RDH-Karten wirklich auskennt.