[gnucash-de] Ist die Karten denn nun dauerhaft Zerstoert?

Eugen Leitl eugen at leitl.org
Die Okt 12 06:54:05 EDT 2004 

On Tue, Oct 12, 2004 at 11:47:48AM +0200, Martin Preuss wrote:

> > Ich glaube, die Herren Giesecke & Devrient haben da was dagegen. Ich habe
> Machen die etwa auch die DDV-Karten ?

http://www.versino-shop.de/shop?0000000000000019000211260000000800007963

Informationen zum Produkt   
	
	Die RSA-Chipkarte ist der Schlüssel zu Ihren Banktransaktionen und
ersetzt das herkömmliche Diskettenverfahren. Die Karten-PIN ist, neben der
auf der Karte gespeicherten Signatur, der zweite Schlüssel zu Ihren Konten.
Bitte bewahren Sie Ihre Chipkarte stets an einem sicheren Ort auf und lassen
Sie diese niemals unbeobachtet im Chipkartenterminal stecken. Bitte beachten
Sie, daß bei einer 3-maligen aufeinanderfolgenden Falscheingabe der
Karten-PIN die Chipkarte unbrauchbar wird! Sollten Sie eine neue oder
zusätzliche Chipkarte benötigen, so können Sie diese hier bestellen.

Hinweis: Die RSA-Chipkarte der HypoVereinsbank kann bis zu 5 Bankverbindungen
verwalten. Beachten Sie aber, dass viele Sparkassen und vereinzelte
Genossenschaftsbanken eigene HBCI-Chipkarten ausgeben, die nur für das
jeweilige Institut gelten. Diese Bankverbindungen können Sie dann nicht mit
unserer Karte verwalten.

Technische Daten
Kartenart: Karte für Electronic Banking Anwendungen mit elektronischer
Unterschrift nach A003
Karteninstitut: HypoVereinsbank
Chip: RSA-Chip mit Starcos SPK2.3 Betriebssystem und A003 Erweiterungen
Format: ID 1 Format gemäß ISO 7810
Zertifizierung: ISO 9001 geprüft und zugelassen

http://www.google.com/search?hl=en&q=Starcos+SPK2.3&btnG=Google+Search

fuehrt direkt zu obengenannten Herren. Keine Ahnung, was "A003 Erweiterungen"
sind.
 
> [...]
> > allerdings eine zweite Karte (die erste vom HVB's eFIN zerschossen, wegen
> > Verwirrung von Keyboard und Smartcard-reader keyboard) von Versino
>
> Das verstehe ich jetzt nicht: Wie kann die Verwechslung von PC-Tastatur und 
> Leser-Tastatur eine fehlerhafte PIN-Eingabe produzieren ?

Ich weiss die Details nicht mehr, aber eFIN erlaubt die leere Eingabe als PIN
IIRC. Ich stand damals etwas daneben, und habe nicht daran gedacht, dass der
Smartcard-Reader ja auch eine Tastatur hat.
 
> Wenn Du am PC zur PIN-Eingabe aufgefordert wirst, siehst Du das ja. Wenn Du am 
> Leser aufgefordert wirst und nicht reagierst, bricht der Leser mit einem 
> timeout ab. Dadurch kommt es an der *Karte* gar nicht erst zur 
> Pin-Ueberpruefung (wie auch, der Leser hat ja gar keine PIN entgegen nehmen 
> koennen)...
> 
> Die Arbeitsweise bei der PIN-Einagbe ueber Tastatur ist naemlich so: Der Leser 
> nimmt die PIN entgegen, und sendet danach selbstaendig die gelesene PIN in 
> einem VERIFY-Kommando (das ansonsten genauso aussieht, wie das, das der PC 
> schicken wuerde).

Also ist die PIN-Eingabe fuer die Katz, da sie im Klartext vom Reader in den
untrusted Rechner kommt... 

-- 
Eugen* Leitl <a href="http://leitl.org">leitl</a>
______________________________________________________________
ICBM: 48.07078, 11.61144            http://www.leitl.org
8B29F6BE: 099D 78BA 2FD3 B014 B08A  7779 75B0 2443 8B29 F6BE
http://moleculardevices.org         http://nanomachines.net
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 198 bytes
Desc: not available
Url : http://lists.gnucash.org/pipermail/gnucash-de/attachments/20041012/d74a9cdf/attachment.bin