Hi, first a short summary in English, details follow in German.
I'm currently failing in setting up HBCI under Linux with my new
chipcard from the Dresdner Bank. It is a starcos card (see below), the
initial PIN has been set using DDBAC under Windows. Now I cannot
retrieve the bank's public keys. The bank claims that it did not
configure a manager PIN on the card, but the aqhbci defaults do not
work:
- Under the GUI assistant started by gnucash, it is not possible to
leave the password field empty, so I cannot use the default pin.
- When aqhbci-tool tries the default password, the answer is "bad pin".
However, DDBAC under MS Windows is able to retrieve bank keys and to
generate user keys without asking me for a management password.
After using DDBAC, the counter for failed password tries on the card
seems to be reset.
So what should I try next? I want to use the card under Linux.
Regards,
Michael
(Diagnostic information at the end of the mail.)
---
Moin-moin,
nun noch einmal ausführlich auf deutsch:
1.
Ich habe es nicht geschafft, die Karte mit 'gct-tool create' zu
initialisieren. Das Ergebnis nach Eingabe meiner Wunsch-PIN
lautete ungefähr: error 7 - command not found.
In /var/log/messages fand sich danach:
Aug 22 00:32:30 wurst chipcardd[19766]: clr_execcommand.c: 91: Client
44ea29b2: ExecCommand "IsoModifyPin_Ascii" [LC_CryptTokenSTARCOS/nobody]
Aug 22 00:32:30 wurst chipcardd[19766]: commandmanager.c: 1092: Command
"IsoModifyPin_Ascii" not found
Aug 22 00:32:30 wurst chipcardd[19766]: clr_releasecard.c: 77: Client
44ea29b2: ReleaseCard [LC_CryptTokenSTARCOS/nobody]
Nichtsdestotrotz haben Befehle wie 'aqhbci-tool adduser' oder
die Entsprechung des AqHBCI-Assistenten unter Gnucash zu Eingabe
einer PIN aufgefordert. Aus Angst vor einer zerstörten Karte
habe ich meist keine eingegeben.
2.
Durch kräftiges Googlen bin ich dann auf DDBAC
(http://www.datadesign.de/internet/DDBAC.htm) gestoßen und habe
mein altes Windows ME bemüht. Die Initalisierung der Karte hat
funktioniert, seitdem kann ich mich auch unter Linux mit meiner
PIN erfolgreich autorisieren.
Interessanterweise fand die DDBAC-Kontaktverwaltung bereits
Bankleitzahl und IP-Adresse der Bank (nicht jedoch Kunden- und
Benutzernummer) im ersten Slot der Karte vor. Kann aqhbci diese
Daten trotz nicht-initialisierter Karte bereits gespeichert
haben?
Die Einrichtung des Users unter DDBAC habe ich erst einmal
abgebrochen, ich will die Karte ja mit AqBanking nutzen.
3.
Ich habe nun mit 'aqhbci-tool adduser' und korrekter PIN die
Kunden- und Benutzernummer abgespeichert.
4.
Der nächste Schritt ist 'aqhbci-tool getkeys', wobei ich nach
dem Management-Password gefragt werde. Dass es sich dabei um
die EG-PIN handelt, habe ich erst nach längerer Suche
herausgefunden, die Informationen stehen im Linuxwiki nämlich
unter OpenHBCI, nicht unter AqBanking.
Die Vorgabe-Antwort im aqhbci-tool führte leider zu einer
Statusmeldung der Art: Bad PIN entered (Only three tries left).
(Den exakten Wortlaut habe ich gerade nicht parat.)
Hier die Ausgabe von chipcardd2 -f --loglevel info eines
späteren Versuchs:
6:2006/08/30 23-25-06:chipcardd(2953):cs_work.c: 46: Incoming request
"Client_ExecCommand"
5:2006/08/30 23-25-06:chipcardd(2953):clr_execcommand.c: 91: Client
44f60198: ExecCommand "IsoVerifyPin_Ascii" [LC_CryptTokenSTARCOS/nobody]
6:2006/08/30 23-25-06:chipcardd(2953):commandmanager.c: 879: APDU is:
6:2006/08/30 23-25-06:chipcardd(2953):String size is 13
6:2006/08/30 23-25-06:chipcardd(2953):0000: 00 20 00 91 08 00 02 30 34
75 20 20 20 . .....04u
6:2006/08/30 23-25-06:chipcardd(2953):clr_execcommand.c: 270: Enqueued
ExecApdu request for card "00000001" and client "44f60198"
6:2006/08/30 23-25-06:chipcardd(2953):commandmanager.c: 905: Driver
response:
6:2006/08/30 23-25-06:chipcardd(2953):String size is 2
6:2006/08/30 23-25-06:chipcardd(2953):0000: 63 c2
c.
6:2006/08/30 23-25-06:chipcardd(2953):commandmanager.c: 930: Result is:
error
5.
Da AqBanking weitere Versuche verweigert ('bad pin entered at
least once before'), kam ich auch mit dem gnucash-Assistenten
nicht weiter.
Also habe ich wieder DDBAC unter Windows bemüht. Dort gab es
keine Passwortabfrage, nur die normale PIN wurde verlangt. Die
Bankschlüssel wurden geladen, der Hash-Wert stimmt, und (so weit
wollte ich gar nicht gehen) es wurden User-Schlüssel erzeugt.
Unter Linux habe ich dann den Hashwert nochmals überprüft.
Leider produziert 'aqhbci-tool iniletter -B' einen abweichenden
Hash-Wert. Die ausgegebenen Hexblöcke waren auffällig eintönig:
Einer bestand nur aus 00, der andere nur aus FF.
Da mir das zu unsicher war, habe ich unter DDBAC nochmals
-offline- die Bankschlüssel abholen lassen, was anscheinend zu
einer Löschung der Schlüssel auf der Karte führt.
6.
Der positive Effekt des DDBAC-Ausflugs ist, dass der
Fehlerzähler des Management-Passwords wieder zurückgesetzt wird.
Ich konnte also mit dem gnucash-Assistenten einen weiteren
Versuch wagen. Leider läßt dieser keine Eingabe eines leeren
Passworts zu.
Ich habe aufgrund des Hinweises in einer im Archiv gefundenen
Mail auf dieser Liste von Martin Preuss mal versucht, die
Mediennummer als PIN einzutippen, aber die Länge passte nicht.
Meine Frage ist nun: Wie kann ich die Karte unter AqBanking verwenden?
Es scheint mir nicht unmöglich zu sein. Gibt es noch etwas
auszuprobieren? Ich würde gerne möglichst wenig DDBAC bemühen und auch
gerne bei der Ursachenforschung behilflich sein.
Grüße,
Michael
--- Diagnostics ---
Installed software:
Fedora Core 5
ctapi-cyberjack-2.0.8-14.fc5 (rpm from Fedora Extras)
gwenhywfar-2.3.1-1.rhfc5 (rebuilt from src.rpm from sourceforge)
ktoblzcheck-1.11-1.rhfc5 (rebuilt from src.rpm from sourceforge)
libchipcard2-2.1.7-1.rhfc5 (rebuilt from src.rpm from sourceforge)
aqbanking-2.2.0 (src.rpm did not work because %py_requires is not
defined on Fedora. So I compiled it myself:
--with-backends=aqhbci aqdtaus aqgeldkarte
--with-frontends=cbanking g2banking qbanking
--with-qt3-includes=/usr/lib/qt-3.3/include )
gnucash-2.0.1 (configured with --enable-hbci)
$ chipcard-tool atr
INFO: We got this card:
Card
===========================================================================
Card id : 00000001
Card type : PROCESSOR
Card types : STARCOS ProcessorCard
Server id : 44f6a69d
Reader flags: keypad, auto
ATR
---------------------------------------------------------------------------
String size is 16:
0000: 3b b7 94 00 81 31 fe 65 53 50 4b 32 33 90 00
d1 ;....1.eSPK23...
===========================================================================
$ gct-tool showctx -t starcoscard
3:2006/08/31 11-07-41:(null)(4790):showctx.c: 155: Plugin found
-------------------------------------------------
Context 1 (Context for Account 1)
Sign Key : 0081, 768 bits, 96 bytes, rsa [SV] (User Signkey Account
1)
Verify Key : 0091, 768 bits, 96 bytes, rsa [V] (Peer Signkey Account
1)
Encrypt Key: 0096, 768 bits, 96 bytes, rsa [E] (Peer Cryptkey Account
1)
Decrypt Key: 0086, 768 bits, 96 bytes, rsa [ED] (User Cryptkey Account
1)
Sign Info: 0, any, any
Crypt Info: 0, rsa, any
-------------------------------------------------
Context 2 (Context for Account 2)
Sign Key : 0082, 768 bits, 96 bytes, rsa [SV] (User Signkey Account
2)
Verify Key : 0092, 768 bits, 96 bytes, rsa [V] (Peer Signkey Account
2)
Encrypt Key: 0097, 768 bits, 96 bytes, rsa [E] (Peer Cryptkey Account
2)
Decrypt Key: 0087, 768 bits, 96 bytes, rsa [ED] (User Cryptkey Account
2)
Sign Info: 0, any, any
Crypt Info: 0, rsa, any
-------------------------------------------------
Context 3 (Context for Account 3)
Sign Key : 0083, 768 bits, 96 bytes, rsa [SV] (User Signkey Account
3)
Verify Key : 0093, 768 bits, 96 bytes, rsa [V] (Peer Signkey Account
3)
Encrypt Key: 0098, 768 bits, 96 bytes, rsa [E] (Peer Cryptkey Account
3)
Decrypt Key: 0088, 768 bits, 96 bytes, rsa [ED] (User Cryptkey Account
3)
Sign Info: 0, any, any
Crypt Info: 0, rsa, any
-------------------------------------------------
Context 4 (Context for Account 4)
Sign Key : 0084, 768 bits, 96 bytes, rsa [SV] (User Signkey Account
4)
Verify Key : 0094, 768 bits, 96 bytes, rsa [V] (Peer Signkey Account
4)
Encrypt Key: 0099, 768 bits, 96 bytes, rsa [E] (Peer Cryptkey Account
4)
Decrypt Key: 0089, 768 bits, 96 bytes, rsa [ED] (User Cryptkey Account
4)
Sign Info: 0, any, any
Crypt Info: 0, rsa, any
-------------------------------------------------
Context 5 (Context for Account 5)
Sign Key : 0085, 768 bits, 96 bytes, rsa [SV] (User Signkey Account
5)
Verify Key : 0095, 768 bits, 96 bytes, rsa [V] (Peer Signkey Account
5)
Encrypt Key: 009a, 768 bits, 96 bytes, rsa [E] (Peer Cryptkey Account
5)
Decrypt Key: 008a, 768 bits, 96 bytes, rsa [ED] (User Cryptkey Account
5)
Sign Info: 0, any, any
Crypt Info: 0, rsa, any
$ aqhbci-tool listmedia
Medium 0: "0002303475" (starcoscard/starcos)
$ gct-tool showuser -t starcoscard
3:2006/08/31 11-14-13:(null)(4824):showuser.c: 127: Plugin found
----- SECURE PIN INPUT -----
Bitte geben Sie Ihre PIN am Kartenleser ein.
-------------------------------------------------
User 1
Service Id : 50080000
User Id : xxxxxxxxxx
Peer Id : xxxxxxxxxx
Address : 193.194.7.124 (port 3000)
Context Id : 1
-------------------------------------------------
User 2
Context Id : 2
-------------------------------------------------
User 3
Context Id : 3
-------------------------------------------------
User 4
Context Id : 4
-------------------------------------------------
User 5
Context Id : 5
signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil
------------------------------------------------------------------------- Using Tomcat but need to do more? Need to support web services, security? Get stuff done quickly with pre-integrated technology to make your job easier Download IBM WebSphere Application Server v.1.0.1 based on Apache Geronimo http://sel.as-us.falkag.net/sel?cmd=lnk&kid=120709&bid=263057&dat=121642
_______________________________________________ Aqbanking-devel mailing list [email protected] https://lists.sourceforge.net/lists/listinfo/aqbanking-devel
