> From: Sebastian [mailto:[EMAIL PROTECTED] > Sent: Thursday, February 06, 2003 11:01 AM
> Wurde die PIN aktiv genutzt? Wenn der PIN-Umschlag noch verschlossen > ist, kann dies als Nachweis verwendet werden. War die PIN jedoch im > regelm��igen Einsatz, w�re ein Aussp�hen der PIN m�glich. (Aktive) Nutzung muss ich abklaeren. Ich vermute schon, da dem Betroffen bewusst ist, dass es eine PIN zu seiner VISA Card gibt, ich vermute er wird den PIN-Brief geoeffnet haben zwecks Nutzung am GA im Ausland. Weiss ich morgen genaueres. Aber wir koennen von einer Nutzung aus- gehen, nicht jedoch von einer Ausspaehung da die Karte nicht zeitnah mit PIN verwendet wurde. > > Abgesehen, davon dass diese Behauptung sehr frech ist, scheint > > damit ein Beweis zu existieren, dass das PIN Verfahren zumindest > > der VISA Karten vom Typ der der BBG geknackt ist. > Ein Beweis ist das leider nicht. Welche offenen Moeglichkeiten gibt es noch? Ein leakendes Secret? > rekonstruieren. Erst mit Verwendung der EC-Chipkarten wird wieder eine > Offline-Autorisierung, also eine Pr�fung der PIN nur bei Vorliegen der > Karte, wieder m�glich. Wie das bei der Kreditkarte nur mit Ja, und da gab es auch einen Bug. Die PIN-Verifikation zur ec-Cash Applikation auf dem Chip erfolgt verschluesselt mit dem Secret aus dem PIN-Pad. Die Stories mit den IBM-Automaten die zu unsanft auf- gestellt worden sind, worauf sich das PIN-Pad einem physikalischen Angriff ausgesetzt sah und sich selbst deaktivierte kennen wir ja ;) Problem: Auf den ec-Karten mit Chip (also vorhandenes DF EC_CASH) ist auch eine Geldkarten Applikation (DF_EPURSE). Beide haben sinnvoller Weise dieselbe PIN. Jedoch wird die PIN zur Geldkarten- Applikation nicht verschluesselt uebertragen. :) Damit hatte ich schon viel Spass, so gelacht hatte ich damals lange nicht mehr. Es kommt noch haerter, der PIN-Verifikationsmechanismus hat einige Eigenheiten von EEPROMs (Schreibvorgang erfordert 12-15V, ergo Ladungspumpe welche eine Stromspitze beim Einschalten verursacht) nicht beruecksichtigt. PIN cracken war wieder angesagt. Laut ZKA ist das korrigiert worden, PIN-Zaehler wird erst dekrementiert und ggf. hinterher korrigiert, damit ist ein "Abbrechen" bei einer falschen PIN nicht mehr moeglich. Angeblich sei aber auch das nicht flaechendeckend in allen Chips gemacht worden... Ich hoffe, das mit PACE in den Euro-Geldkarten das Problem end- gueltig beseitigt ist. Hab seitdem nicht wieder "nachgeguckt". > Magnetstreifen heute ist, wei� ich leider nicht. Die Systeme sind > prinzipiell unterschiedlich. OK. Hast Du Informationen, die Du preisgeben kannst wie in etwa die PIN-Verifikation sich zum ec-Karten Verfahren unterscheidet? Lustig wirds auf dem Sektor ja erst wieder wenn DF_VISA tatsaechlich auf den ersten JAVA/OpenPlatform VISA Cards enthalten ist. Der Multos Chip auf der AMEX Blue Card ist leider leer. Auch schickt mir AMEX immer Werbung, dass Sie mich unbedingt als Blue Card Kunden haben wollen (hat wohl jemand in meiner CC-Abrechnung geschnueffelt?), wenn ich dann allerdings wirklich eine bestelle, heisst es, dass man mir doch keine geben will. Dabei wollte ich schon immer ein Multos haben ;) Schweinehunde. > > Da Kreditkarten i.A. eine laengere Lebensdauer als ec-Karten > > haben waere es weiterhin moeglich, dass auf dieser Karte ein > > aelteres PIN-Verifikationsverfahren zum Einsatz kam. > Bei der Kreditkarte ist es so, da� einige Ger�te die PIN in einem > internen Speicher speichern und erst im Batch �bertragen, um so > W�hlversuche zu sparen. Solche Ger�te k�nnten nat�rlich manipuliert > werden. Boese. D.h. ich kann auf gut Glueck ne falsche PIN eingeben und der Haendler merkt es ggf. erst hinterher? Wie wird das vertraglich geregelt? Ich hab mal an meiner Mastercard die PIN "vergessen", beide Versuche erfolglos. > Chancen relativ schlecht. Denn Du kennst das Verfahren nicht. Die Bank > wird aber einen Experten schicken, der sofort alles widerlegt, was du > zur Technik sagst. Greife das Verfahren als Ganzes an. Es Klingt einleuchtend. Danke fuer Tip. Viele Gruesse, Christian
