HBCI Homebanking Computer Interface Informatik- Seminar, Sommersemester 2007 Markus Amend

HBCI Homebanking Computer Interface

Informatik- Seminar, Sommersemester 2007Markus Amend

2

HBCI – Homebanking Computer Interface

Inhalt

Definition Historische Entwicklung Funktionsweise Sicherheit FinTS

3


Definition

Homebanking Computer Interface Nationaler Standard Schnittstelle zwischen Privat-PC und

Bankserver über ein unsicheres Netz

4


Historische Entwicklungdes Homebankings

1983 - Erste Applikationen über BTX

Nur wenige Nutzer

1995/96 Aufschwung, durch Kombination von BTX mit dem T-Online-Netz

5


Jede Bank entwickelte ihre eigenen Applikationen

Die Sicherung erfolgte ausschließlich über PIN & TANs.

Historische Entwicklungdes Homebankings

6


Historische EntwicklungIdee -> HBCI

Transportnetzunabhängigkeit Plattformunabhängigkeit Internationalität Offlinebearbeitbarkeit von Aufträgen Multibankfähigkeit Softwareunabhängigkeit Kontrollmöglichkeiten von Aufträgen Sicherheit

7


Historische Entwicklung

1996 erster HBCI-Kernel (1.0) 1998 erste taugliche Version (2.01) 1999 HBCI 2.1 2000 HBCI 2.2 2002 FinTS 3.0 2004 FinTS 4.0

8


Funktionsweise HBCI baut einen Dialog zwischen Privat-PC und

Bankserver auf und sendet Nachrichten darüber.

Jede Nachricht entspricht einem Geschäftsvorfall bzw. einem Steuerbefehl

Bevor eine neue Nachricht gesendet werden kann, muss der Kundenrechner auf eine Bestätigung der vorherigen Nachricht warten

9


Funktionsweise

Antwort auf Initialisierung

Antwort auf Auftrag 1

Bestätigung

Dialoginitalisierung

Auftrag 1

Dialogende

Antwort auf Auftrag n

Auftrag n

10


Funktionsweise

Nachrichten bestehen aus dem Zeichensatz ISO 8859 und einem Subset.

Kundenrechner und Bankserver müssen das gleiche Subset benutzen.

11


Funktionsweise Nachrichtenaufbau

(Quelle: http://hbci.de)

12


FunktionsweiseDatenelement (DE)

Kleinste Einheit

Feld mit einer Information

Trennzeichen: Plus (+)

Bsp: Name des Kunden

13


FunktionsweiseDatenelementgruppe (DEG)

Container für GDs

Trennzeichen: Plus (+)

Bsp: (s. Gruppendatenelement)

14


FunktionsweiseGruppendatenelement (GD)

Ähnlich einem DE

Für Gruppierung zusammengehörender Informationen

Trennzeichen: Doppelpunkt (:)

Beispiel: Saldo (+Betrag:Währung+)

15


FunktionsweiseSegment

Entspricht einem Geschäftsvorfall oderSteuervorgang

Trennzeichen: Apostroph (‘)

Beispiel: Überweisung von 1000€ an Max Muster:

HKUEB:2:4+1234567::280:10020030+7654321::280:20030040+MUSTER MAX++1000,:EUR+51+000+RE-NR.1234:KD-NR.9876’

16


FunktionsweiseSegmentkopf

HKUEB:2:4 Segmentkennung (GD) Segmentnummer (GD) Segmentversion (GD) Bezugssegment (GD)

(optional)

17


FunktionsweiseNachrichtenkopf

Segmentkopf (DEG) Nachrichtengröße (DE) HBCI Version (DE) Dialog-ID (DE) Nachrichtennummer (DE) Bezugsnachricht (DEG)

18


FunktionsweiseDialog

Initialisierung schafft sichere Übertragungsumgebung. (Kunde an Bank) IdentifikationVerarbeitungsvorbereitungAnforderung eines öffentlichen Schlüssels

19


FunktionsweiseDialog

InitialisierungsantwortBankparameterdatenUserparameterdatenPublic KeyRückmeldungenKreditinstiutsmeldungen

20


Sicherheit

Arten

21


Sicherheit

22


Sicherheit HBCI signiert und verschlüsselt die meisten

Nachrichten Dafür werden folgende Vorgänge und

Algorithmen benötigt: Hashing MAC Verschlüsselung

DES RSA DDV RDH

23


SicherheitHashing

Was ist Hashing?„Fingerabdruck“ einer Datenmenge

Nutzen:Schutz vor unbemerkter ManipulationSchneller, als die Nachricht doppelt zu

senden Anwendung

Nachricht wird mit RIPEMD-160 hasht

24


SicherheitMAC

Was ist MAC? Message Authorisation Code Hashing mit Schlüssel Signatur

Nutzen: Schutz vor unbemerkter Manipulation Schutz vor falschen Identitäten

Anwendung Die Nachricht wird gehasht und mit dem

Signierschlüssel chiffriert.

25


SicherheitVerschlüsselung

ArtenSymmetrische Verschlüsselung

DES (DDV) optional

Asymmetrische Verschlüsselung RSA (RDH) verpflichtend

26


SicherheitDES

Was ist DES? Data Encryption Standard Synchrone Verschlüsselung 72 Billion mögliche Schlüssel

Funktionsweise Blockweise Verwürfelung nach Feistel

Modi ECB CBC

Nachrichtenverschlüsselung unter HBCI 2-Key-Triple-DES im CBC Mode

27


2-Key-Triple-DES im CBC-Mode

28


SicherheitRSA

Was ist RSA?Rivest, Shamir, AdlemanAsynchrone Verschlüsselung

Funktionsweise„one-way-functions“

29


SicherheitDDV

SignaturerstellungSigniert den Nachrichtenhash per 2-Key-

Triple-DES im CBC-Mode. Als Schlüssel wird der Signaturschlüssel benutzt.

Verschlüsselung Die Nachricht wird ebenfalls per 2-Key-Triple-

DES verschlüsselt durch einen zufällig erstellten Schlüssel.

30


SicherheitRDH

Signaturerstellung„Der Hash-Wert wird mittels RSA gemäß ISO

9796:1991 signiert.“1 Verschlüsselung

2-Key-Triple-DES mit zufälligem Schlüssel.Der Nachrichtenschlüssel wird mit dem

öffentlichen Schlüssel des Empfängers chiffriert.

31


FinTS 3.0

Financial Transaction Service Weiterentwicklung von HBCI 2.2 3.Schlüsselpaar (Signierschlüsselpaar)

eingefügt. Karten-Schlüssellänge von 768 auf 1024

Bit erhöht offizielle Unterstützung von PIN&TAN

32


FinTS 4.0

Umstellung der Trennzeichensyntax auf XML

Verteilte Signaturen

33


Geschafft! Quellen

HAUBNER, Kurthttp://www.hbci-zka.de/dokumente/diverse/fints40_kompendium.pdf

PRAMATEFTAKIS, Michaelhttp://www.linux-magazin.com/heft_abo/ausgaben/2003/08/geld_transport

SCHMINCK, Andrea und LUNEMANN, Carolinhttp://www.cs.uni-potsdam.de/ti/lehre/05-Kryptographie/slides/MAC_vortrag.pdf

SIZhttp://www.hbci-kernel.de/

ZIERL, Marcohttp://www.tecchannel.de/sicherheit/grundlagen/401064/

ZKAhttp://hbci.de

UNBEKANNThttp://de.wikipedia.org/

34


Documents

HBCI Homebanking Computer Interface Informatik- Seminar, Sommersemester 2007 Markus Amend