summaryrefslogtreecommitdiff
path: root/updates/2007/postfinance-postcard.md
blob: b76c37ad1855f35ce138e224b38e09af60cb10d0 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen
date: 2007-02-21 00:00:00 
updated: 2009-04-18 19:12:40 
author: webmaster
tags: update


Seit zumindest 2002 ist in CCC-Umkreisen bekannt,
dass die schweizer Debitkarte der PostFinance von POS-Terminals als        
"echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige 
Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur 
320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innert Stunden
geknackt werden kann.


<!-- TEASER_END -->

Die "Postcard" der PostFinance basiert auf dem Design der französischen
"Carte bleue", die 1979 erstmals vorgestellt wurde. Serge Humpich hat
bereits 1998 in Frankreich das Verfahren ausgemacht und die Unsicherheit
dieser Karte 2000 [öffentlich](http://www.parodie.com/monetique/)
angeprangert. Nach viel Medienrummel und insbesondere auf Druck der
Kartenversicherer wurde die Sicherheit der Karte erhöht, mit der
Verlängerung der Schlüssellänge auf 768 Bit.

In der Schweiz wurde 2002 die PostFinance auf die Unsicherheit ihrer auf
derselben Technologie der Franzosen aufsetzenden Karte aufmerksam
gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr,
Energie und Kommunikation), politisch verantwortlich in der Sache, auf
die Problematik aufmerksam gemacht, welches sich in der Folge dafür
bereit erklärt hat die nötigen Schritte einzuleiten, um die Sicherheit
zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten
abrupt beendet als diese forderten, dass die PostFinance ihre
[Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf)
überdenken sollten, um Kunden davor zu schützen im Missbrauchsfalle
selber zu haften. Die Teilnahmebedingungen nehmen vom Kunden an, dass
die Beweislast bei einer Kontenräumung bei ihm liegt.

Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind
nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden
ist, herzustellen. Die PIN lässt sich bei der Kartenreproduktion selber
setzen und ist für die Authentifikation der Karte an einem Terminal
damit unerheblich.

Es lassen sich zudem auch Karten herstellen, welche nicht an ein
existierendes Konto gebunden sind. Damit wird die PostFinance selbst
durch eventuelle Beanspruchungen von Dienstleistungen belastet. Dies
weil jede und jeder im Besitz des errechneten privaten Schlüssels der
PostFinance Postcards herstellen kann, die an den Terminals angenommen
werden.

4 Jahre lang wurde Gras über die Geschichte wachsen gelassen, in der
Hoffnung die PostFinance und das UVEK würden sich um die Beseitigung der
Sicherheitsmängel bemühen - doch weit gefehlt. Nach Analysen in 2006
zeigte sich, dass neu ausgegebene Postcards immer noch das alte
Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten,
die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich
heraus, dass diese zumindest an schweizer Terminals weiterhin auf das
alte Authentifikationsverfahren setzen und die gegebene
[EMV-Funktionalität
unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit
bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten
verfügen, auch bis nach 2010 - zumindest innerhalb der Schweiz -
missbrauchbar.

Am 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart
card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html)
auf die Sicherheitslücke öffentlich hingewiesen, weil weder die
PostFinance noch das UVEK sich kooperativ gezeigt haben.

Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von
der PostFinance die Sicherheit der Postcards umgehend zu erhöhen oder
zumindest ihre Teilnahmebedinungen dahingend abzuändern, dass die
Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt
wird und damit - wie bei Kreditkarten üblich - Entschädigungen gegenüber
diesem geleistet werden.

Im Detail informieren die Seiten
[Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die
Unsicherheit der Postcard.

Lange genug ist Gras drüber gewachen - es ist Zeit, dass der Rasenmäher
angesetzt wird!