[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: VISA PIN Verfahren unsicher?



> From: Sebastian [mailto:sebastian@expires1203.datenknoten.de]
> Sent: Thursday, February 06, 2003 11:01 AM

> Wurde die PIN aktiv genutzt? Wenn der PIN-Umschlag noch verschlossen
> ist, kann dies als Nachweis verwendet werden. War die PIN jedoch im
> regelmäßigen Einsatz, wäre ein Ausspähen der PIN möglich.

(Aktive) Nutzung muss ich abklaeren. Ich vermute schon, da dem
Betroffen bewusst ist, dass es eine PIN zu seiner VISA Card gibt,
ich vermute er wird den PIN-Brief geoeffnet haben zwecks Nutzung
am GA im Ausland.
Weiss ich morgen genaueres. Aber wir koennen von einer Nutzung aus-
gehen, nicht jedoch von einer Ausspaehung da die Karte nicht zeitnah
mit PIN verwendet wurde.
 
> > Abgesehen, davon dass diese Behauptung sehr frech ist, scheint
> > damit ein Beweis zu existieren, dass das PIN Verfahren zumindest
> > der VISA Karten vom Typ der der BBG geknackt ist.
> Ein Beweis ist das leider nicht.

Welche offenen Moeglichkeiten gibt es noch?
Ein leakendes Secret?

> rekonstruieren. Erst mit Verwendung der EC-Chipkarten wird wieder eine
> Offline-Autorisierung, also eine Prüfung der PIN nur bei Vorliegen der
> Karte, wieder möglich. Wie das bei der Kreditkarte nur mit

Ja, und da gab es auch einen Bug. Die PIN-Verifikation zur ec-Cash
Applikation auf dem Chip erfolgt verschluesselt mit dem Secret aus
dem PIN-Pad. Die Stories mit den IBM-Automaten die zu unsanft auf-
gestellt worden sind, worauf sich das PIN-Pad einem physikalischen
Angriff ausgesetzt sah und sich selbst deaktivierte kennen wir ja ;)

Problem: Auf den ec-Karten mit Chip (also vorhandenes DF EC_CASH)
ist auch eine Geldkarten Applikation (DF_EPURSE). Beide haben
sinnvoller Weise dieselbe PIN. Jedoch wird die PIN zur Geldkarten-
Applikation nicht verschluesselt uebertragen. :) Damit hatte ich
schon viel Spass, so gelacht hatte ich damals lange nicht mehr.
Es kommt noch haerter, der PIN-Verifikationsmechanismus hat einige
Eigenheiten von EEPROMs (Schreibvorgang erfordert 12-15V, ergo
Ladungspumpe welche eine Stromspitze beim Einschalten verursacht)
nicht beruecksichtigt. PIN cracken war wieder angesagt. Laut ZKA
ist das korrigiert worden, PIN-Zaehler wird erst dekrementiert und
ggf. hinterher korrigiert, damit ist ein "Abbrechen" bei einer
falschen PIN nicht mehr moeglich. Angeblich sei aber auch das nicht
flaechendeckend in allen Chips gemacht worden... 
Ich hoffe, das mit PACE in den Euro-Geldkarten das Problem end-
gueltig beseitigt ist. Hab seitdem nicht wieder "nachgeguckt".

> Magnetstreifen heute ist, weiß ich leider nicht. Die Systeme sind
> prinzipiell unterschiedlich.

OK. Hast Du Informationen, die Du preisgeben kannst wie in etwa
die PIN-Verifikation sich zum ec-Karten Verfahren unterscheidet?

Lustig wirds auf dem Sektor ja erst wieder wenn DF_VISA tatsaechlich
auf den ersten JAVA/OpenPlatform VISA Cards enthalten ist. Der Multos
Chip auf der AMEX Blue Card ist leider leer. Auch schickt mir AMEX
immer Werbung, dass Sie mich unbedingt als Blue Card Kunden haben
wollen (hat wohl jemand in meiner CC-Abrechnung geschnueffelt?),
wenn ich dann allerdings wirklich eine bestelle, heisst es, dass man
mir doch keine geben will. Dabei wollte ich schon immer ein Multos
haben ;) Schweinehunde.

> > Da Kreditkarten i.A. eine laengere Lebensdauer als ec-Karten
> > haben waere es weiterhin moeglich, dass auf dieser Karte ein
> > aelteres PIN-Verifikationsverfahren zum Einsatz kam.
> Bei der Kreditkarte ist es so, daß einige Geräte die PIN in einem
> internen Speicher speichern und erst im Batch übertragen, um so
> Wählversuche zu sparen. Solche Geräte könnten natürlich manipuliert
> werden.

Boese.
D.h. ich kann auf gut Glueck ne falsche PIN eingeben und der
Haendler merkt es ggf. erst hinterher? Wie wird das vertraglich
geregelt? Ich hab mal an meiner Mastercard die PIN "vergessen",
beide Versuche erfolglos.
 
> Chancen relativ schlecht. Denn Du kennst das Verfahren nicht. Die Bank
> wird aber einen Experten schicken, der sofort alles widerlegt, was du
> zur Technik sagst. Greife das Verfahren als Ganzes an. Es 

Klingt einleuchtend.
Danke fuer Tip.

Viele Gruesse,
Christian

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de