1 files changed, 25 insertions, 31 deletions
diff --git a/updates/2007/postfinance-postcard.md b/updates/2007/postfinance-postcard.md
index b76c37ad..80ce3a10 100644
--- a/updates/2007/postfinance-postcard.md
+++ b/updates/2007/postfinance-postcard.md
@@ -1,16 +1,11 @@
 title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen
 date: 2007-02-21 00:00:00 
-updated: 2009-04-18 19:12:40 
+updated: 2010-01-01 02:10:50 
 author: webmaster
-tags: update
+tags: update, postcard
+Seit zumindest 2002 ist in CCC-Umkreisen bekannt, daß die sSchweizer Debitkarte der PostFinance von POS-Terminals als        
-Seit zumindest 2002 ist in CCC-Umkreisen bekannt,
+&quot;echt und vertrauenswürdig&quot; erkannt wird, wenn sie eine gültige Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur 320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innerhalb von Stunden geknackt werden kann.
-dass die schweizer Debitkarte der PostFinance von POS-Terminals als        
-&quot;echt und vertrauenswürdig&quot; erkannt wird, wenn sie eine gültige 
-Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur 
-320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innert Stunden
-geknackt werden kann.
 <!-- TEASER_END -->
@@ -28,56 +23,55 @@ derselben Technologie der Franzosen aufsetzenden Karte aufmerksam
 gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr,
 Energie und Kommunikation), politisch verantwortlich in der Sache, auf
 die Problematik aufmerksam gemacht, welches sich in der Folge dafür
-bereit erklärt hat die nötigen Schritte einzuleiten, um die Sicherheit
+bereit erklärt hat, die nötigen Schritte einzuleiten, um die Sicherheit
 zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten
-abrupt beendet als diese forderten, dass die PostFinance ihre
+abrupt beendet, als diese forderten, daß die PostFinance ihre
 [Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf)
-überdenken sollten, um Kunden davor zu schützen im Missbrauchsfalle
+überdenken sollten, um Kunden davor zu schützen, im Mißbrauchsfalle
-selber zu haften. Die Teilnahmebedingungen nehmen vom Kunden an, dass
+selber zu haften. Die Teilnahmebedingungen geben an, daß die Beweislast
-die Beweislast bei einer Kontenräumung bei ihm liegt.
+bei einer Kontenräumung beim Kunden liegt.
 Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind
 nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden
-ist, herzustellen. Die PIN lässt sich bei der Kartenreproduktion selber
+ist, herzustellen. Die PIN läßt sich bei der Kartenreproduktion selber
 setzen und ist für die Authentifikation der Karte an einem Terminal
 damit unerheblich.
 Es lassen sich zudem auch Karten herstellen, welche nicht an ein
 existierendes Konto gebunden sind. Damit wird die PostFinance selbst
-durch eventuelle Beanspruchungen von Dienstleistungen belastet. Dies
+durch eventuelle Beanspruchungen von Dienstleistungen belastet, weil
-weil jede und jeder im Besitz des errechneten privaten Schlüssels der
+jeder im Besitz des errechneten privaten Schlüssels der PostFinance
-PostFinance Postcards herstellen kann, die an den Terminals angenommen
+Postcards herstellen kann, die an den Terminals angenommen werden.
-werden.
-4 Jahre lang wurde Gras über die Geschichte wachsen gelassen, in der
+Vier Jahre lang wuchs Gras über die Geschichte in der Hoffnung, die
-Hoffnung die PostFinance und das UVEK würden sich um die Beseitigung der
+PostFinance und das UVEK würden sich um die Beseitigung der
-Sicherheitsmängel bemühen - doch weit gefehlt. Nach Analysen in 2006
+Sicherheitsmängel bemühen – doch weit gefehlt. Nach Analysen im Jahr
-zeigte sich, dass neu ausgegebene Postcards immer noch das alte
+2006 zeigte sich, daß neu ausgegebene Postcards immer noch das alte
 Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten,
 die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich
-heraus, dass diese zumindest an schweizer Terminals weiterhin auf das
+heraus, daß diese zumindest an Schweizer Terminals weiterhin auf das
 alte Authentifikationsverfahren setzen und die gegebene
 [EMV-Funktionalität
 unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit
 bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten
-verfügen, auch bis nach 2010 - zumindest innerhalb der Schweiz -
+verfügen, auch bis nach 2010 – zumindest innerhalb der Schweiz –
-missbrauchbar.
+mißbrauchbar.
-Am 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart
+Zum 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart
 card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html)
 auf die Sicherheitslücke öffentlich hingewiesen, weil weder die
 PostFinance noch das UVEK sich kooperativ gezeigt haben.
 Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von
-der PostFinance die Sicherheit der Postcards umgehend zu erhöhen oder
+der PostFinance, die Sicherheit der Postcards umgehend zu erhöhen oder
-zumindest ihre Teilnahmebedinungen dahingend abzuändern, dass die
+zumindest ihre Teilnahmebedingungen dahingend abzuändern, daß die
 Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt
-wird und damit - wie bei Kreditkarten üblich - Entschädigungen gegenüber
+wird und damit – wie bei Kreditkarten üblich – Entschädigungen gegenüber
 diesem geleistet werden.
 Im Detail informieren die Seiten
 [Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die
 Unsicherheit der Postcard.
-Lange genug ist Gras drüber gewachen - es ist Zeit, dass der Rasenmäher
+Lange genug ist Gras drüber gewachsen: Es ist Zeit, daß der Rasenmäher
 angesetzt wird!

diff --git a/updates/2007/postfinance-postcard.md b/updates/2007/postfinance-postcard.md index b76c37ad..80ce3a10 100644 --- a/updates/2007/postfinance-postcard.md +++ b/updates/2007/postfinance-postcard.md
@@ -1,16 +1,11 @@
1	title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen	1	title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen
2	date: 2007-02-21 00:00:00	2	date: 2007-02-21 00:00:00
3	updated: 2009-04-18 19:12:40	3	updated: 2010-01-01 02:10:50
4	author: webmaster	4	author: webmaster
5	tags: update	5	tags: update, postcard
6		6
7		7	Seit zumindest 2002 ist in CCC-Umkreisen bekannt, daß die sSchweizer Debitkarte der PostFinance von POS-Terminals als
8	Seit zumindest 2002 ist in CCC-Umkreisen bekannt,	8	"echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur 320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innerhalb von Stunden geknackt werden kann.
9	dass die schweizer Debitkarte der PostFinance von POS-Terminals als
10	"echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige
11	Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur
12	320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innert Stunden
13	geknackt werden kann.
14		9
15		10
16	<!-- TEASER_END -->	11	<!-- TEASER_END -->
@@ -28,56 +23,55 @@ derselben Technologie der Franzosen aufsetzenden Karte aufmerksam
28	gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr,	23	gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr,
29	Energie und Kommunikation), politisch verantwortlich in der Sache, auf	24	Energie und Kommunikation), politisch verantwortlich in der Sache, auf
30	die Problematik aufmerksam gemacht, welches sich in der Folge dafür	25	die Problematik aufmerksam gemacht, welches sich in der Folge dafür
31	bereit erklärt hat die nötigen Schritte einzuleiten, um die Sicherheit	26	bereit erklärt hat, die nötigen Schritte einzuleiten, um die Sicherheit
32	zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten	27	zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten
33	abrupt beendet als diese forderten, dass die PostFinance ihre	28	abrupt beendet, als diese forderten, daß die PostFinance ihre
34	[Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf)	29	[Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf)
35	überdenken sollten, um Kunden davor zu schützen im Missbrauchsfalle	30	überdenken sollten, um Kunden davor zu schützen, im Mißbrauchsfalle
36	selber zu haften. Die Teilnahmebedingungen nehmen vom Kunden an, dass	31	selber zu haften. Die Teilnahmebedingungen geben an, daß die Beweislast
37	die Beweislast bei einer Kontenräumung bei ihm liegt.	32	bei einer Kontenräumung beim Kunden liegt.
38		33
39	Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind	34	Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind
40	nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden	35	nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden
41	ist, herzustellen. Die PIN lässt sich bei der Kartenreproduktion selber	36	ist, herzustellen. Die PIN läßt sich bei der Kartenreproduktion selber
42	setzen und ist für die Authentifikation der Karte an einem Terminal	37	setzen und ist für die Authentifikation der Karte an einem Terminal
43	damit unerheblich.	38	damit unerheblich.
44		39
45	Es lassen sich zudem auch Karten herstellen, welche nicht an ein	40	Es lassen sich zudem auch Karten herstellen, welche nicht an ein
46	existierendes Konto gebunden sind. Damit wird die PostFinance selbst	41	existierendes Konto gebunden sind. Damit wird die PostFinance selbst
47	durch eventuelle Beanspruchungen von Dienstleistungen belastet. Dies	42	durch eventuelle Beanspruchungen von Dienstleistungen belastet, weil
48	weil jede und jeder im Besitz des errechneten privaten Schlüssels der	43	jeder im Besitz des errechneten privaten Schlüssels der PostFinance
49	PostFinance Postcards herstellen kann, die an den Terminals angenommen	44	Postcards herstellen kann, die an den Terminals angenommen werden.
50	werden.
51		45
52	4 Jahre lang wurde Gras über die Geschichte wachsen gelassen, in der	46	Vier Jahre lang wuchs Gras über die Geschichte in der Hoffnung, die
53	Hoffnung die PostFinance und das UVEK würden sich um die Beseitigung der	47	PostFinance und das UVEK würden sich um die Beseitigung der
54	Sicherheitsmängel bemühen - doch weit gefehlt. Nach Analysen in 2006	48	Sicherheitsmängel bemühen – doch weit gefehlt. Nach Analysen im Jahr
55	zeigte sich, dass neu ausgegebene Postcards immer noch das alte	49	2006 zeigte sich, daß neu ausgegebene Postcards immer noch das alte
56	Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten,	50	Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten,
57	die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich	51	die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich
58	heraus, dass diese zumindest an schweizer Terminals weiterhin auf das	52	heraus, daß diese zumindest an Schweizer Terminals weiterhin auf das
59	alte Authentifikationsverfahren setzen und die gegebene	53	alte Authentifikationsverfahren setzen und die gegebene
60	[EMV-Funktionalität	54	[EMV-Funktionalität
61	unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit	55	unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit
62	bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten	56	bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten
63	verfügen, auch bis nach 2010 - zumindest innerhalb der Schweiz -	57	verfügen, auch bis nach 2010 – zumindest innerhalb der Schweiz –
64	missbrauchbar.	58	mißbrauchbar.
65		59
66	Am 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart	60	Zum 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart
67	card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html)	61	card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html)
68	auf die Sicherheitslücke öffentlich hingewiesen, weil weder die	62	auf die Sicherheitslücke öffentlich hingewiesen, weil weder die
69	PostFinance noch das UVEK sich kooperativ gezeigt haben.	63	PostFinance noch das UVEK sich kooperativ gezeigt haben.
70		64
71	Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von	65	Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von
72	der PostFinance die Sicherheit der Postcards umgehend zu erhöhen oder	66	der PostFinance, die Sicherheit der Postcards umgehend zu erhöhen oder
73	zumindest ihre Teilnahmebedinungen dahingend abzuändern, dass die	67	zumindest ihre Teilnahmebedingungen dahingend abzuändern, daß die
74	Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt	68	Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt
75	wird und damit - wie bei Kreditkarten üblich - Entschädigungen gegenüber	69	wird und damit – wie bei Kreditkarten üblich – Entschädigungen gegenüber
76	diesem geleistet werden.	70	diesem geleistet werden.
77		71
78	Im Detail informieren die Seiten	72	Im Detail informieren die Seiten
79	[Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die	73	[Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die
80	Unsicherheit der Postcard.	74	Unsicherheit der Postcard.
81		75
82	Lange genug ist Gras drüber gewachen - es ist Zeit, dass der Rasenmäher	76	Lange genug ist Gras drüber gewachsen: Es ist Zeit, daß der Rasenmäher
83	angesetzt wird!	77	angesetzt wird!