From b87eb438886233dc7d810e82c3d322a3a60fec1e Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Fri, 1 Jan 2010 02:10:50 +0000 Subject: committing page revision 2 --- updates/2007/postfinance-postcard.md | 56 ++++++++++++++++-------------------- 1 file changed, 25 insertions(+), 31 deletions(-) diff --git a/updates/2007/postfinance-postcard.md b/updates/2007/postfinance-postcard.md index b76c37ad..80ce3a10 100644 --- a/updates/2007/postfinance-postcard.md +++ b/updates/2007/postfinance-postcard.md @@ -1,16 +1,11 @@ title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen date: 2007-02-21 00:00:00 -updated: 2009-04-18 19:12:40 +updated: 2010-01-01 02:10:50 author: webmaster -tags: update +tags: update, postcard - -Seit zumindest 2002 ist in CCC-Umkreisen bekannt, -dass die schweizer Debitkarte der PostFinance von POS-Terminals als -"echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige -Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur -320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innert Stunden -geknackt werden kann. +Seit zumindest 2002 ist in CCC-Umkreisen bekannt, daß die sSchweizer Debitkarte der PostFinance von POS-Terminals als +"echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur 320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innerhalb von Stunden geknackt werden kann. @@ -28,56 +23,55 @@ derselben Technologie der Franzosen aufsetzenden Karte aufmerksam gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr, Energie und Kommunikation), politisch verantwortlich in der Sache, auf die Problematik aufmerksam gemacht, welches sich in der Folge dafür -bereit erklärt hat die nötigen Schritte einzuleiten, um die Sicherheit +bereit erklärt hat, die nötigen Schritte einzuleiten, um die Sicherheit zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten -abrupt beendet als diese forderten, dass die PostFinance ihre +abrupt beendet, als diese forderten, daß die PostFinance ihre [Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf) -überdenken sollten, um Kunden davor zu schützen im Missbrauchsfalle -selber zu haften. Die Teilnahmebedingungen nehmen vom Kunden an, dass -die Beweislast bei einer Kontenräumung bei ihm liegt. +überdenken sollten, um Kunden davor zu schützen, im Mißbrauchsfalle +selber zu haften. Die Teilnahmebedingungen geben an, daß die Beweislast +bei einer Kontenräumung beim Kunden liegt. Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden -ist, herzustellen. Die PIN lässt sich bei der Kartenreproduktion selber +ist, herzustellen. Die PIN läßt sich bei der Kartenreproduktion selber setzen und ist für die Authentifikation der Karte an einem Terminal damit unerheblich. Es lassen sich zudem auch Karten herstellen, welche nicht an ein existierendes Konto gebunden sind. Damit wird die PostFinance selbst -durch eventuelle Beanspruchungen von Dienstleistungen belastet. Dies -weil jede und jeder im Besitz des errechneten privaten Schlüssels der -PostFinance Postcards herstellen kann, die an den Terminals angenommen -werden. +durch eventuelle Beanspruchungen von Dienstleistungen belastet, weil +jeder im Besitz des errechneten privaten Schlüssels der PostFinance +Postcards herstellen kann, die an den Terminals angenommen werden. -4 Jahre lang wurde Gras über die Geschichte wachsen gelassen, in der -Hoffnung die PostFinance und das UVEK würden sich um die Beseitigung der -Sicherheitsmängel bemühen - doch weit gefehlt. Nach Analysen in 2006 -zeigte sich, dass neu ausgegebene Postcards immer noch das alte +Vier Jahre lang wuchs Gras über die Geschichte in der Hoffnung, die +PostFinance und das UVEK würden sich um die Beseitigung der +Sicherheitsmängel bemühen – doch weit gefehlt. Nach Analysen im Jahr +2006 zeigte sich, daß neu ausgegebene Postcards immer noch das alte Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten, die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich -heraus, dass diese zumindest an schweizer Terminals weiterhin auf das +heraus, daß diese zumindest an Schweizer Terminals weiterhin auf das alte Authentifikationsverfahren setzen und die gegebene [EMV-Funktionalität unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten -verfügen, auch bis nach 2010 - zumindest innerhalb der Schweiz - -missbrauchbar. +verfügen, auch bis nach 2010 – zumindest innerhalb der Schweiz – +mißbrauchbar. -Am 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart +Zum 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html) auf die Sicherheitslücke öffentlich hingewiesen, weil weder die PostFinance noch das UVEK sich kooperativ gezeigt haben. Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von -der PostFinance die Sicherheit der Postcards umgehend zu erhöhen oder -zumindest ihre Teilnahmebedinungen dahingend abzuändern, dass die +der PostFinance, die Sicherheit der Postcards umgehend zu erhöhen oder +zumindest ihre Teilnahmebedingungen dahingend abzuändern, daß die Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt -wird und damit - wie bei Kreditkarten üblich - Entschädigungen gegenüber +wird und damit – wie bei Kreditkarten üblich – Entschädigungen gegenüber diesem geleistet werden. Im Detail informieren die Seiten [Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die Unsicherheit der Postcard. -Lange genug ist Gras drüber gewachen - es ist Zeit, dass der Rasenmäher +Lange genug ist Gras drüber gewachsen: Es ist Zeit, daß der Rasenmäher angesetzt wird! -- cgit v1.2.3