summaryrefslogtreecommitdiff
path: root/updates/2007
diff options
context:
space:
mode:
Diffstat (limited to 'updates/2007')
-rw-r--r--updates/2007/postfinance-postcard.md56
1 files changed, 25 insertions, 31 deletions
diff --git a/updates/2007/postfinance-postcard.md b/updates/2007/postfinance-postcard.md
index b76c37ad..80ce3a10 100644
--- a/updates/2007/postfinance-postcard.md
+++ b/updates/2007/postfinance-postcard.md
@@ -1,16 +1,11 @@
1title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen 1title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen
2date: 2007-02-21 00:00:00 2date: 2007-02-21 00:00:00
3updated: 2009-04-18 19:12:40 3updated: 2010-01-01 02:10:50
4author: webmaster 4author: webmaster
5tags: update 5tags: update, postcard
6 6
7 7Seit zumindest 2002 ist in CCC-Umkreisen bekannt, daß die sSchweizer Debitkarte der PostFinance von POS-Terminals als
8Seit zumindest 2002 ist in CCC-Umkreisen bekannt, 8"echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur 320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innerhalb von Stunden geknackt werden kann.
9dass die schweizer Debitkarte der PostFinance von POS-Terminals als
10"echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige
11Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur
12320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innert Stunden
13geknackt werden kann.
14 9
15 10
16<!-- TEASER_END --> 11<!-- TEASER_END -->
@@ -28,56 +23,55 @@ derselben Technologie der Franzosen aufsetzenden Karte aufmerksam
28gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr, 23gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr,
29Energie und Kommunikation), politisch verantwortlich in der Sache, auf 24Energie und Kommunikation), politisch verantwortlich in der Sache, auf
30die Problematik aufmerksam gemacht, welches sich in der Folge dafür 25die Problematik aufmerksam gemacht, welches sich in der Folge dafür
31bereit erklärt hat die nötigen Schritte einzuleiten, um die Sicherheit 26bereit erklärt hat, die nötigen Schritte einzuleiten, um die Sicherheit
32zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten 27zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten
33abrupt beendet als diese forderten, dass die PostFinance ihre 28abrupt beendet, als diese forderten, daß die PostFinance ihre
34[Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf) 29[Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf)
35überdenken sollten, um Kunden davor zu schützen im Missbrauchsfalle 30überdenken sollten, um Kunden davor zu schützen, im Mißbrauchsfalle
36selber zu haften. Die Teilnahmebedingungen nehmen vom Kunden an, dass 31selber zu haften. Die Teilnahmebedingungen geben an, daß die Beweislast
37die Beweislast bei einer Kontenräumung bei ihm liegt. 32bei einer Kontenräumung beim Kunden liegt.
38 33
39Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind 34Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind
40nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden 35nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden
41ist, herzustellen. Die PIN lässt sich bei der Kartenreproduktion selber 36ist, herzustellen. Die PIN läßt sich bei der Kartenreproduktion selber
42setzen und ist für die Authentifikation der Karte an einem Terminal 37setzen und ist für die Authentifikation der Karte an einem Terminal
43damit unerheblich. 38damit unerheblich.
44 39
45Es lassen sich zudem auch Karten herstellen, welche nicht an ein 40Es lassen sich zudem auch Karten herstellen, welche nicht an ein
46existierendes Konto gebunden sind. Damit wird die PostFinance selbst 41existierendes Konto gebunden sind. Damit wird die PostFinance selbst
47durch eventuelle Beanspruchungen von Dienstleistungen belastet. Dies 42durch eventuelle Beanspruchungen von Dienstleistungen belastet, weil
48weil jede und jeder im Besitz des errechneten privaten Schlüssels der 43jeder im Besitz des errechneten privaten Schlüssels der PostFinance
49PostFinance Postcards herstellen kann, die an den Terminals angenommen 44Postcards herstellen kann, die an den Terminals angenommen werden.
50werden.
51 45
524 Jahre lang wurde Gras über die Geschichte wachsen gelassen, in der 46Vier Jahre lang wuchs Gras über die Geschichte in der Hoffnung, die
53Hoffnung die PostFinance und das UVEK würden sich um die Beseitigung der 47PostFinance und das UVEK würden sich um die Beseitigung der
54Sicherheitsmängel bemühen - doch weit gefehlt. Nach Analysen in 2006 48Sicherheitsmängel bemühen doch weit gefehlt. Nach Analysen im Jahr
55zeigte sich, dass neu ausgegebene Postcards immer noch das alte 492006 zeigte sich, daß neu ausgegebene Postcards immer noch das alte
56Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten, 50Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten,
57die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich 51die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich
58heraus, dass diese zumindest an schweizer Terminals weiterhin auf das 52heraus, daß diese zumindest an Schweizer Terminals weiterhin auf das
59alte Authentifikationsverfahren setzen und die gegebene 53alte Authentifikationsverfahren setzen und die gegebene
60[EMV-Funktionalität 54[EMV-Funktionalität
61unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit 55unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit
62bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten 56bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten
63verfügen, auch bis nach 2010 - zumindest innerhalb der Schweiz - 57verfügen, auch bis nach 2010 zumindest innerhalb der Schweiz
64missbrauchbar. 58mißbrauchbar.
65 59
66Am 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart 60Zum 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart
67card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html) 61card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html)
68auf die Sicherheitslücke öffentlich hingewiesen, weil weder die 62auf die Sicherheitslücke öffentlich hingewiesen, weil weder die
69PostFinance noch das UVEK sich kooperativ gezeigt haben. 63PostFinance noch das UVEK sich kooperativ gezeigt haben.
70 64
71Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von 65Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von
72der PostFinance die Sicherheit der Postcards umgehend zu erhöhen oder 66der PostFinance, die Sicherheit der Postcards umgehend zu erhöhen oder
73zumindest ihre Teilnahmebedinungen dahingend abzuändern, dass die 67zumindest ihre Teilnahmebedingungen dahingend abzuändern, daß die
74Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt 68Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt
75wird und damit - wie bei Kreditkarten üblich - Entschädigungen gegenüber 69wird und damit wie bei Kreditkarten üblich Entschädigungen gegenüber
76diesem geleistet werden. 70diesem geleistet werden.
77 71
78Im Detail informieren die Seiten 72Im Detail informieren die Seiten
79[Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die 73[Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die
80Unsicherheit der Postcard. 74Unsicherheit der Postcard.
81 75
82Lange genug ist Gras drüber gewachen - es ist Zeit, dass der Rasenmäher 76Lange genug ist Gras drüber gewachsen: Es ist Zeit, daß der Rasenmäher
83angesetzt wird! 77angesetzt wird!