Moin, On Dienstag, 4. März 2008, Ontje Lünsdorf wrote: > Am Montag 03 März 2008 22:24:08 schrieb Martin Preuss: [...] > Btw: Die Bank bietet ihren öffentlichen Schlüssel unter > https://www.olb.de/key.html an. Hilft das zufällig bei der > Authentifizierung? [...]
Das ist der Crypt-Schluessel, der wird verwendet, um Nachrichten *an* die Bank zu verschluesseln. Wenn aber nicht TLS (wie bei Pin/Tan) verwendet wird, und die Bank keinen Signierschluessel verwendet, hat man keine Garantie, dass die Nachrichten, die man empfaengt, auch wirklich von der Bank sind. Zugegeben, bisher sind solche Angriffe noch nicht berichtet worden, und vermutlich wuerde es einem Angreifer auch momentan nicht allzuviel nuetzen, einem Kunden eine falsche Nachricht unterzujubeln, ausser vielleicht, er erhaelt die Nachricht die Servereinstellungen zu aendern, um dann anschliessend auf einen Fake-Server in China zu verweisen... Es zeugt auf jeden Fall nicht unbedingt von einem durchdringenden Sicherheitsverstaendnis, wenn die Bank ihre Nachrichten nicht signiert, und wenn meine Bank diese Eigenart haette, wuerde ich bei denen zumindest mal nachfragen, warum man auf Kundenseite Seite alles tun muss, um die Sicherheit zu gewaehrleisten, die Bank aber ihrerseits nicht mal die Authentizitaet ihrer Nachrichten ueberpruefbar macht... Gruss Martin -- "Things are only impossible until they're not" Martin Preuss - http://www.aquamaniac.de/ AqBanking - http://www.aqbanking.de/ LibChipcard - http://www.libchipcard.de/ ------------------------------------------------------------------------- This SF.net email is sponsored by: Microsoft Defy all challenges. Microsoft(R) Visual Studio 2008. http://clk.atdmt.com/MRT/go/vse0120000070mrt/direct/01/ _______________________________________________ Aqbanking-devel mailing list Aqbanking-devel@lists.sourceforge.net https://lists.sourceforge.net/lists/listinfo/aqbanking-devel
