From 4db3446b1aad0c436a3d4daee9aea9307632f4f4 Mon Sep 17 00:00:00 2001 From: webmaster Date: Sat, 18 Apr 2009 19:12:40 +0000 Subject: committing page revision 1 --- updates/2007/postfinance-postcard.md | 83 ++++++++++++++++++++++++++++++++++++ 1 file changed, 83 insertions(+) create mode 100644 updates/2007/postfinance-postcard.md (limited to 'updates') diff --git a/updates/2007/postfinance-postcard.md b/updates/2007/postfinance-postcard.md new file mode 100644 index 00000000..b76c37ad --- /dev/null +++ b/updates/2007/postfinance-postcard.md @@ -0,0 +1,83 @@ +title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen +date: 2007-02-21 00:00:00 +updated: 2009-04-18 19:12:40 +author: webmaster +tags: update + + +Seit zumindest 2002 ist in CCC-Umkreisen bekannt, +dass die schweizer Debitkarte der PostFinance von POS-Terminals als +"echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige +Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur +320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innert Stunden +geknackt werden kann. + + + + +Die "Postcard" der PostFinance basiert auf dem Design der französischen +"Carte bleue", die 1979 erstmals vorgestellt wurde. Serge Humpich hat +bereits 1998 in Frankreich das Verfahren ausgemacht und die Unsicherheit +dieser Karte 2000 [öffentlich](http://www.parodie.com/monetique/) +angeprangert. Nach viel Medienrummel und insbesondere auf Druck der +Kartenversicherer wurde die Sicherheit der Karte erhöht, mit der +Verlängerung der Schlüssellänge auf 768 Bit. + +In der Schweiz wurde 2002 die PostFinance auf die Unsicherheit ihrer auf +derselben Technologie der Franzosen aufsetzenden Karte aufmerksam +gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr, +Energie und Kommunikation), politisch verantwortlich in der Sache, auf +die Problematik aufmerksam gemacht, welches sich in der Folge dafür +bereit erklärt hat die nötigen Schritte einzuleiten, um die Sicherheit +zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten +abrupt beendet als diese forderten, dass die PostFinance ihre +[Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf) +überdenken sollten, um Kunden davor zu schützen im Missbrauchsfalle +selber zu haften. Die Teilnahmebedingungen nehmen vom Kunden an, dass +die Beweislast bei einer Kontenräumung bei ihm liegt. + +Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind +nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden +ist, herzustellen. Die PIN lässt sich bei der Kartenreproduktion selber +setzen und ist für die Authentifikation der Karte an einem Terminal +damit unerheblich. + +Es lassen sich zudem auch Karten herstellen, welche nicht an ein +existierendes Konto gebunden sind. Damit wird die PostFinance selbst +durch eventuelle Beanspruchungen von Dienstleistungen belastet. Dies +weil jede und jeder im Besitz des errechneten privaten Schlüssels der +PostFinance Postcards herstellen kann, die an den Terminals angenommen +werden. + +4 Jahre lang wurde Gras über die Geschichte wachsen gelassen, in der +Hoffnung die PostFinance und das UVEK würden sich um die Beseitigung der +Sicherheitsmängel bemühen - doch weit gefehlt. Nach Analysen in 2006 +zeigte sich, dass neu ausgegebene Postcards immer noch das alte +Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten, +die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich +heraus, dass diese zumindest an schweizer Terminals weiterhin auf das +alte Authentifikationsverfahren setzen und die gegebene +[EMV-Funktionalität +unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit +bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten +verfügen, auch bis nach 2010 - zumindest innerhalb der Schweiz - +missbrauchbar. + +Am 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart +card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html) +auf die Sicherheitslücke öffentlich hingewiesen, weil weder die +PostFinance noch das UVEK sich kooperativ gezeigt haben. + +Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von +der PostFinance die Sicherheit der Postcards umgehend zu erhöhen oder +zumindest ihre Teilnahmebedinungen dahingend abzuändern, dass die +Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt +wird und damit - wie bei Kreditkarten üblich - Entschädigungen gegenüber +diesem geleistet werden. + +Im Detail informieren die Seiten +[Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die +Unsicherheit der Postcard. + +Lange genug ist Gras drüber gewachen - es ist Zeit, dass der Rasenmäher +angesetzt wird! -- cgit v1.2.3