Re: Online-banking via Inet

[Uwe Brockmann <uwe@netcom.com>]

Am Wed, den 8 Apr 1998 um 09:26:39 +0200 schrieb Simone Demmel
<neko@greenie.muc.de>:
> Das Problem ist (wie schon hier von jemandem erwaehnt): Was ist bei
> Streitigkeiten, wenn etwas schief gegangen ist und man halt eine 40bit
> statt 128bit Verschluesselung hatte? Dann lehnt die Postbank sehr
> wahrscheinlich jegliche Verantwortung ab.
	
SSL unterstuetzende Webserver sind in Bezug auf die von ihnen akzep-
tierten Verschluesselungsverfahren konfigurierbar. Die Postbankserver
lassen keine 40-bit Verbindungen zu. Ausserdem lassen sich in Netscape
Navigator die 40-bit Verschluesselungsverfahren abschalten.

Einer der Vorteile von SSL ist, dass es nicht an bestimmte Ver-
schluesselungsverfahren gebunden ist. Der Benutzer kann leicht konfi-
gurieren, welche Verschluesselungsverfahren er verwenden will.

Ich hatte mal geschrieben:
> > Es mag moeglich sein auf der Basis von e-mail ein System zur Kontover-
> > waltung aufzubauen, das einfacher und sicherer als das SSL-basierte Ver-
> > fahren der Postbank ist. Ich weiss aber nicht wie das gehen sollte und
> > bezweifele, dass es einfach waere ein solches System zu bauen, auch wenn
> > man auf PGP aufbauen wuerde. Ich muss aber zugeben, dass ich bisher nur
> > wenig ueber PGP gelesen habe und bin gerne bereit mich eines besseren
> > belehren zu lassen.

Darauf antwortete Simone:
> Naja, EMail kann man prima pgp-verschluesseln.

E-mail kann man nur dann mit PGP verschluesseln, wenn man den
oeffentlichen RSA Schluessel des Empfaengers kennt. PGP bietet im Gegen-
satz zu SSL keinen (ausreichend fuer Finanztransaktionen) sicheren
Mechanismus, um den oeffentlichen RSA Schluessel einer Bank elektronisch
an den Bankkunden zu uebermitteln. Eine Uebermittlung per Post waere
moeglich aber weniger benutzerfreundlich als die fuer den Benutzer
transparente elektronische Methode, die von SSL verwendet wird.

SSL bietet besseres Schluesselmanagement als PGP. Dazu verwendet es
Mechanismen, die in PGP fehlen, insbesondere

	- in den Webbrowser vom Hersteller vorgeladene Zertifikate von
	  kommerziellen Zertifizierungsfirmen

	- professionelle Schluesselverwaltung durch kommerzielle Zertifizie-
	  rungsfirmen wie z.B. VeriSign und Thawte Consulting, die von den
	  Betreibern von Webservern wie z.B. der Postbank bezahlt werden

	- die Moeglichkeit zum fuer den Benutzer transparenten Austausch
	  mehrerer Nachrichten zwischen Webbrowser und Webserver 

Evtl. liesse sich die Funktionalitaet von SSL auf Basis von e-mail nach-
bilden aber das wuerde dazu fuehren, dass man z.B. zum Taetigen einer
einzigen Ueberweisung viele e-mails zwischen Bankserver und Bankkunden
austauschen muesste.
	
Es ist wichtig, den oeffentlichen RSA Schluessel einer Bank sicher an
die Bankkunden zu uebermitteln. Andernfalls besteht die Gefahr, dass ein
Boesewicht einem Bankkunden einen gefaelschten vom Boesewicht generier-
ten oeffentlichen Schluessel unterjubelt. Der Boesewicht koennte an-
schliessend einen vom Bankkunden erteilten Auftrag abfangen, mit dem vom
Boesewicht generierten geheimen Schluessel dekodieren, dem Auftrag die
PIN und TAN entnehmen und mit deren Hilfe das Konto des Bankkunden
pluendern ohne jemals RSA oder IDEA brechen zu muessen.

Simone schrieb weiter:
> :-) Ne, er meinte wohl eher ein: Server langsam, weil ueberlastet,
> Internetleitungen ebenfalls, Provider teuer ...
> EMail kann man halt schlicht und ergreifend offline bearbeiten und
> schreiben und dann alles zusammen in wenigen Minuten abschicken (Online- +
> Telefongebuehren sparen).

Ich hatte bisher keine Probleme mit langsamen Postbankservern. Die
Kontofuehrungswebseiten der Postbank sind grafikarm. Alles funktionierte
mit meinem 14,4 kbit/s Modem zuegig. Bei Verbindung zum Internet Service
Provider zum Ortstarif sollte es moeglich sein, mehrere Ueberweisungen
pro Takteinheit zu taetigen.

Uwe Brockmann, uwe@netcom.com