Re: Online-banking via Inet

[PILCH Hartmut <phm@a2e.de>]

Uwe Brockmann antwortete Hanno Wagner:

> > > SSL bietet besseres Schluesselmanagement als PGP. Dazu verwendet es
> > > Mechanismen, die in PGP fehlen, insbesondere
> > > 
> > > 	- in den Webbrowser vom Hersteller vorgeladene Zertifikate von
> > > 	  kommerziellen Zertifizierungsfirmen
> > 
> > Trustcenter in Hamburg macht sowas auch fuer pgp-keys.

[... noch viele interessante Vergleiche zwischen SSL und PGP ...]

Es sollte einer Bank auch moeglich sein, die oeffentlichen Schluessel
ihrer Kunden so zu zertifizieren, wie z.B. FITUG dies tut.  Wozu muessen
da ueberhaupt Mittelmaenner eingeschaltet werden?  Nur aus den
ueblichen Professionalitaetsgruenden, naemlich damit man jemand
zum Verklagen hat? 

Bei PIN und TAN werden bisher auch keine Mittelmaenner eingeschaltet.
Uebersendung der TANs in einem durchsichtigen Umschlag genuegt den
Sicherheitsanforderungen, die Banken an sich selbst stellen. 

Beim DTAUS-Verfahren akzeptieren die Banken Disketten in Briefumschlaegen
mit einfacher Unterschrift auf Begleitzettel, die sicher viel leichter
zu faelschen ist als eine PGP-Signatur.

Wenn nun die Anforderungen auf einmal so erhoeht werden, dass PGP dadurch
ausgeschlossen wird, ist Misstrauen angebracht.  Bei alle Versuche, die
verschrobenen Gedankengaenge der Banken zu erraten moege man
dies nicht vergessen.

> Um die potentielle Sicherheit von PGP voll auszunutzen, muss der
> Benutzer sicherstellen, dass er eine korrekt arbeitende Version von PGP
> verwendet. Ausserdem darf er nur Schluessel laden, die er entweder auf
> einem sicheren Weg erhalten oder mit auf sicherem Wege erhaltenen Fin-
> gerprints ueberprueft hat.

Das gleiche Prinzip wie bei den TANs, die er im Fensterumschlag erhalten
hat.  Warum nicht stattdessen gedruckte PGP-Verifizierdaten im Umschlag?
  
> Das groesste Problem bei der Verwendung von PGP fuer Banktransaktionen
> sind moeglicherweise Fehlbedienungen. Ein offensichtliches Beispiel fuer
> eine Fehlbedienung von PGP, die bei SSL ausgeschlossen ist, waere ein
> Benutzer, der die Verschluesselung seines Auftrages an die Bank aus Ver-
> sehen ganz auslaesst und ihn im Klartext abschickt. Wenn alle Leute die
> heute Netscape Navigator oder Microsoft Internet Explorer verwenden
> morgen PGP verwenden wuerden, dann wuerde diese Art der Fehlbedienung
> sicherlich vorkommen.

Diesen Fehlern koennte ein Mailserver sehr leicht vorbeugen, indem er
nur korrekt verschluesselte Auftraege annimmt.  Ausserdem waeren die
Auftraege in einer Beschreibungssprache formuliert, deren Syntax
vom Mailserver geprueft wuerde.  Beim DTAUS-Format sind dafuer z.B.
allerlei Sicherheitsmechanismen eingebaut, so dass Bedienungsfehler sich
in ungueltiger Syntax auswirken (vgl http://www.a2e.de/phm/toad/).
 
> Ein Kunde, der aufgrund einer solchen Fehlbedienung Geld verliert,
> koennte versuchen, der Bank eine Mitschuld (wissentliche Bereitstellung
> eines unsicheren Systemes) nachzuweisen und sie haftbar zu machen. Der
> Kunde koennte auch irrtuemlich davon ueberzeugt sein, die Verschluesse-
> lung seines Auftrages nicht ausgelassen zu haben. Selbst wenn der Kunde
> vor Gericht verliert, koennte die Bank oder Internet-Banking insgesamt
> ueber die Presse in Verruf geraten.

Unbegruendete Furcht, s. oben.
Wenn das noch nicht genuegt, muss die Bank nur eine Buntiklicki-Software
fuer den GAU (Gefaehrlichsten Anzunehmenden User) hinzufuegen und darauf
hinweisen, dass die Bank jede Verantwortung fuer Leute ablehnt, dass wer
den Ausgang aus seiner selbstverschuldeten Unmuendigkeit wagt das Risiko
selber traegt.
 
> Fuer Deinen Wunsch nach off-line Vorbereitung von e-mail Nachrichten
> habe ich Verstaendnis. Bedenke aber, dass es beim Internet-Banking oft
> wuenschenswert ist, interaktiv zu arbeiten, z.B. wenn man erst den
> Kontostand ueberpruefen, dann abhaengig davon eine Ueberweisung taetigen
> und dann eine Bestaetigung der Ueberweisung erhalten will. Wenn man
> off-line arbeitet, kann das dreimaliges on-line-gehen erfordern.

Eine ordentliche Kontoverwaltung per Email wuerde einschliessen, dass
die Bank bei jeder Veraenderung des Kontostandes eine Email sendet.
Ausserdem koennte ein moderner Mailserver-Befehlsabarbeiter in der Lage
sein, Konstrukte wie "if (kontostand > x) { auszahlung ... } " zu 
verstehen.

Email trudelt ueberdies meist im Hintergrund ein.  Wo sie wirklich
"Online-Gehen" erfordert, geht das mit einem Befehl oder Knopfdruck (UUCP
oder POP3 aktivieren).  Also keine mit SSL-Netscape vergleichbare 
Belastung durch nutzlose Dialoge.  Wer unbedingt Dialoge braucht, kann
die zu Hause mit der Buntiklicki-Software fuehren. 
   
> Das Postbank Internet-Banking kommt ohne Java aus. Ohne Grafik geht es
> derzeit nicht. Im Prinzip liesse sich aber z.B. auf Basis von SSLeay
> rein textbasierte Software zum Internet-Banking entwickeln ohne dass die
> Kooperation z.B. der Postbank erforderlich waere. Diese Software koennte
> beim on-line-gehen nebenbei auch e-mail abholen und abschicken.

D.h. nur mit HTML, Javascript und SSL?  Jedes Programm, das diese drei
spezifikationsgetreu anwendet koennte die Arbeit leisten? 
 
> E-mail Nachrichten koennen verlorengehen. Bei SSL wird in alle nach Auf-
> bau eines sicheren Kanals ausgetauschten Nachrichten eine Sequenznummer
> mit hineinkodiert. Korrekte SSL-Implementationen koennen verlorengegan-
> gene oder absichtlich abgefangene Nachrichten deshalb spaetestens bei
> Erhalt der naechsten Nachricht sowohl auf Server- als auch auf Client-
> Seite entdecken und entsprechend reagieren. Bei einem e-mail/PGP-ba-
> sierten System muesste man das manuell machen, z.B. wenn man einen Tag
> nach Erteilung eines Auftrages noch keine bestaetigende e-mail erhalten
> hat.
 
Warum einen Tag danach?  Genuegt nicht eine Minute?  

Selbst innerhalb von DTAUS gibt es ueberdies Raum um Auftraege mit
Identifikatoren zu versehen.  Der Mailserver muesste nur so programmiert
sein, dass er einen Auftrag (mit gleichem ID) nicht mehrfach ausfuehrt.
Man koennte clientseitig alles moegliche programmieren, um
sicherzustellen, dass verloren scheinende Mails nochmals gesendet werden.

Das alles ist schon mit DTAUS/PGP sofort machbar.
Eine moderne Mailserver-Befehlssprache koennte noch ganz andere
Moeglichkeiten eroeffnen. 

Vielleicht sollten wir fuer dieses Anliegen eine extra Mailingliste
gruenden und versuchen, die Oeffentlichkeit anzusprechen.

Waere eine Webseite auf www.fitug.de denkbar?

--
PILCH Hartmut * Pei2 Han2mu4 * http://www.a2e.de/phm/
ceterum censeo accessibilitatem systematum esse certificiendam