[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Online-banking via Inet
- To: debate@fitug.de
- Subject: Re: Online-banking via Inet
- From: Uwe Brockmann <uwe@netcom.com>
- Date: Mon, 13 Apr 1998 13:06:27 -0700 (PDT)
- Comment: This message comes from the debate mailing list.
- Sender: owner-debate@fitug.de
Uwe Brockmann:
>>>> Ein offensichtliches Beispiel fuer
>>>> eine Fehlbedienung von PGP, die bei SSL ausgeschlossen ist, waere ein
>>>> Benutzer, der die Verschluesselung seines Auftrages an die Bank aus Ver-
>>>> sehen ganz auslaesst und ihn im Klartext abschickt.
Hartmut Pilch:
>>> Diesen Fehlern koennte ein Mailserver sehr leicht vorbeugen, indem er
>>> nur korrekt verschluesselte Auftraege annimmt.
Uwe Brockmann:
>> Das geht nicht. Fuer die Uebertragung von e-mail im Internet wird ein
>> standartisiertes Protokoll namens SMTP verwendet. SMTP zwingt alle
>> Mail Server dazu, ueber Annahme bzw. Ablehnung einer e-mail zu entschei-
>> den, bevor sie den Inhalt gesehen haben.
Gert Doering:
> Aeh, ihr redet an einander vorbei. Die Mail kann er schon annehmen (auf
> SMTP-Ebene), aber er kann sich durchaus danach weigern, die enthaltenen
> Kommandos auszufuehren und die Mail stattdessen mit einer Fehlermeldung
> wieder zurueckschicken. No problem.
Hartmut Pilch:
>Ich meinte nicht den SMTP-Server sondern das Programm das die Mail
>abarbeitet. Mennen wir es lieber Mailprozessor.
Ich sehe das potentielle Problem einer Fehlbedienung durch den Bank-
kunden, die zur unverschluesselten Uebermittlung von PIN und TAN per
e-mail vom Kunden zur Bank fuehrt. Eine solche e-mail koennte bei der
Uebertragung ueber das Internet von einem Angreifer abgefangen und
gelesen werden. Der Angreifer koennte mit der abgefangenen PIN und TAN
das Konto des Bankkunden pluendern.
Gert und Hartmut wollen das Format der e-mail durch einen Mailprozessor
am Bankende des Internets ueberpruefen lassen und die e-mail bei
falscher Formatierung abweisen.
Der Vorschlag von Gert und Hartmut loest das von mir angesprochene
Problem nicht, da die im Klartext uebersandte e-mail vor dem Erreichen
des Mailprozessors bereits ueber das Internet uebertragen wird und dabei
durch den Angreifer gelesen und aufgehalten werden kann.
Die sichere Verschluesselung einer ueber das Internet uebertragenen
Nachricht kann nur auf der Absenderseite sichergestellt werden.
Uwe Brockmann:
>>>> Im Prinzip liesse sich aber z.B. auf Basis von SSLeay
>>>> rein textbasierte Software zum Internet-Banking entwickeln ohne dass die
>>>> Kooperation z.B. der Postbank erforderlich waere.
Hartmut Pilch:
>>> D.h. nur mit HTML, Javascript und SSL? Jedes Programm, das diese drei
>>> spezifikationsgetreu anwendet koennte die Arbeit leisten?
Uwe Brockmann:
>> Ja. JavaScript ist allerdings nicht erforderlich. Lynx mit SSL-Erwei-
>> terung wuerde z.B. schon ausreichen. Da man SSL in Form von SSLeay
>> umsonst mit Quelltext erhalten kann, duerfte der Entwicklungsaufwand
>> nicht allzu hoch sein. Es hat sich bisher nur niemand die Muehe gemacht.
Hartmut Pilch:
> Wunderbar. Wo kann man das erhalten?
Ich habe mich geirrt. Es hat sich doch schon jemand die Muehe gemacht.
Lynx 2.8 ist seit dem 10. Maerz 1998 verfuegbar und bietet Unterstuet-
zung fuer SSL. Ich habe es allerdings nicht ausprobiert. Siehe
ftp://www.slcc.edu/pub/lynx/release2-8/ssl.html
Uwe Brockmann, uwe@netcom.com