HBCI Homebanking Computer Interface

Präsentation zum Thema: "HBCI Homebanking Computer Interface"—  Präsentation transkript:

1 HBCI Homebanking Computer Interface
Informatik- Seminar, Sommersemester 2007 Markus Amend

2 Inhalt Definition Historische Entwicklung Funktionsweise Sicherheit
FinTS

3 Definition Homebanking Computer Interface Nationaler Standard
Schnittstelle zwischen Privat-PC und Bankserver über ein unsicheres Netz

4 Historische Entwicklung des Homebankings
Erste Applikationen über BTX Nur wenige Nutzer 1995/96 Aufschwung, durch Kombination von BTX mit dem T-Online-Netz

5 Historische Entwicklung des Homebankings
Jede Bank entwickelte ihre eigenen Applikationen Die Sicherung erfolgte ausschließlich über PIN & TANs.

6 Historische Entwicklung Idee -> HBCI
Transportnetzunabhängigkeit Plattformunabhängigkeit Internationalität Offlinebearbeitbarkeit von Aufträgen Multibankfähigkeit Softwareunabhängigkeit Kontrollmöglichkeiten von Aufträgen Sicherheit

7 Historische Entwicklung
1996 erster HBCI-Kernel (1.0) 1998 erste taugliche Version (2.01) 1999 HBCI 2.1 2000 HBCI 2.2 2002 FinTS 3.0 2004 FinTS 4.0

8 Funktionsweise HBCI baut einen Dialog zwischen Privat-PC und Bankserver auf und sendet Nachrichten darüber. Jede Nachricht entspricht einem Geschäftsvorfall bzw. einem Steuerbefehl Bevor eine neue Nachricht gesendet werden kann, muss der Kundenrechner auf eine Bestätigung der vorherigen Nachricht warten

9 Funktionsweise Kunde Bank Dialoginitalisierung
Antwort auf Initialisierung Antwort auf Auftrag 1 Bestätigung Dialoginitalisierung Auftrag 1 Dialogende Kunde Bank Antwort auf Auftrag n Auftrag n

10 Funktionsweise ISO 8859 ist ein 8-Bit Zeichensatz, dessen erste 7 Bits dem ASCII entsprechen. Nachrichten bestehen aus dem Zeichensatz ISO 8859 und einem Subset. Kundenrechner und Bankserver müssen das gleiche Subset benutzen.

11 Funktionsweise Nachrichtenaufbau
(Quelle:

12 Funktionsweise Datenelement (DE)
Kleinste Einheit Feld mit einer Information Trennzeichen: Plus (+) Bsp: Name des Kunden

13 Funktionsweise Datenelementgruppe (DEG)
Container für GDs Trennzeichen: Plus (+) Bsp: (s. Gruppendatenelement)

14 Funktionsweise Gruppendatenelement (GD)
Ähnlich einem DE Für Gruppierung zusammengehörender Informationen Trennzeichen: Doppelpunkt (:) Beispiel: Saldo (+Betrag:Währung+)

15 Funktionsweise Segment
Segmentkennung:Segmentnr:Segmentversion+ Ktonr:Unterkontomerkmal:Ländercode:BLZ+ //Auftraggeber Ktonr:Unterkontomerkmal:Ländercode:BLZ //Empfänger Name1:Name2:Straße/Postfach:PLZ:Ort:Land:Telefon:Fax: + Betrag:Währung+ Textschlüssel+ //Gutschrift (51), Lastschrift (04),… Textschlüsselergänzung+ Verwendungszweck1:Verwendungszweck2+ Ausführungsdatum+ Auftragsidentifikation’ Entspricht einem Geschäftsvorfall oder Steuervorgang Trennzeichen: Apostroph (‘) Beispiel: Überweisung von 1000€ an Max Muster: HKUEB:2: ::280: ::280: MUSTER MAX++1000,:EUR RE-NR.1234:KD-NR.9876’

16 Funktionsweise Segmentkopf
HKUEB:2:4 Segmentkennung (GD) Segmentnummer (GD) Segmentversion (GD) Bezugssegment (GD) (optional)

17 Funktionsweise Nachrichtenkopf
Segmentkopf (DEG) Nachrichtengröße (DE) HBCI Version (DE) Dialog-ID (DE) Nachrichtennummer (DE) Bezugsnachricht (DEG)

18 Funktionsweise Dialog
Initialisierung schafft sichere Übertragungsumgebung. (Kunde an Bank) Identifikation Verarbeitungsvorbereitung Anforderung eines öffentlichen Schlüssels

19 Funktionsweise Dialog
Initialisierungsantwort Bankparameterdaten Userparameterdaten Public Key Rückmeldungen Kreditinstiutsmeldungen

20 Sicherheit Arten

21 Sicherheit

22 Sicherheit HBCI signiert und verschlüsselt die meisten Nachrichten
Dafür werden folgende Vorgänge und Algorithmen benötigt: Hashing MAC Verschlüsselung DES RSA DDV RDH

23 Sicherheit Hashing Was ist Hashing? Nutzen: Anwendung
„Fingerabdruck“ einer Datenmenge Nutzen: Schutz vor unbemerkter Manipulation Schneller, als die Nachricht doppelt zu senden Anwendung Nachricht wird mit RIPEMD-160 hasht

24 Sicherheit MAC Was ist MAC? Nutzen: Anwendung
Message Authorisation Code Hashing mit Schlüssel Signatur Nutzen: Schutz vor unbemerkter Manipulation Schutz vor falschen Identitäten Anwendung Die Nachricht wird gehasht und mit dem Signierschlüssel chiffriert.

25 Sicherheit Verschlüsselung
Arten Symmetrische Verschlüsselung DES (DDV) optional Asymmetrische Verschlüsselung RSA (RDH) verpflichtend

26 Sicherheit DES Was ist DES? Funktionsweise Modi
Data Encryption Standard Synchrone Verschlüsselung 72 Billion mögliche Schlüssel Funktionsweise Blockweise Verwürfelung nach Feistel Modi ECB CBC Nachrichtenverschlüsselung unter HBCI 2-Key-Triple-DES im CBC Mode

27 2-Key-Triple-DES im CBC-Mode

28 Sicherheit RSA Was ist RSA? Funktionsweise Rivest, Shamir, Adleman
Asynchrone Verschlüsselung Funktionsweise „one-way-functions“

29 Sicherheit DDV Signaturerstellung Verschlüsselung
Der Schlüssel wird mitgesendet und durch den Chiffrierschlüssel auf der Chipkarte mit 2-Key-Triple-DES im ECB Mode verschlüsselt. Signaturerstellung Signiert den Nachrichtenhash per 2-Key-Triple-DES im CBC-Mode. Als Schlüssel wird der Signaturschlüssel benutzt. Verschlüsselung Die Nachricht wird ebenfalls per 2-Key-Triple-DES verschlüsselt durch einen zufällig erstellten Schlüssel.

30 Sicherheit RDH Signaturerstellung Verschlüsselung
1 Quelle: Signaturerstellung „Der Hash-Wert wird mittels RSA gemäß ISO 9796:1991 signiert.“1 Verschlüsselung 2-Key-Triple-DES mit zufälligem Schlüssel. Der Nachrichtenschlüssel wird mit dem öffentlichen Schlüssel des Empfängers chiffriert.

31 FinTS 3.0 Financial Transaction Service Weiterentwicklung von HBCI 2.2
3.Schlüsselpaar (Signierschlüsselpaar) eingefügt. Karten-Schlüssellänge von 768 auf 1024 Bit erhöht offizielle Unterstützung von PIN&TAN

32 FinTS 4.0 Umstellung der Trennzeichensyntax auf XML
Verteilte Signaturen

33 Geschafft! Quellen HAUBNER, Kurt PRAMATEFTAKIS, Michael SCHMINCK, Andrea und LUNEMANN, Carolin SIZ ZIERL, Marco ZKA UNBEKANNT

34