[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Online-banking via Inet
- To: debate@fitug.de
- Subject: Re: Online-banking via Inet
- From: lutz@taranis.iks-jena.de (Lutz Donnerhacke)
- Date: 17 Apr 1998 17:33:14 GMT
- Comment: This message comes from the debate mailing list.
- Newsgroups: iks.lists.fitug
- Organization: IKS GmbH Jena
- References: <199804080653.XAA13629@netcom20.netcom.com>
- Sender: owner-debate@fitug.de
* Uwe Brockmann wrote:
>Bei der Internetkontofuehrung mit der Postbank wird zunaechst mit SSL
>ein sicherer biderektionaler Kanal zwischen Benutzerbrowser und
>Postbankserver aufgebaut. Die eigentliche Kontofuehrung erfolgt erst
>nach dem Aufbau des Kanals durch Austausch von Nachrichten mit einem
>symmetrischen Kryptoverfahren, z.B. IDEA.
Nein. Postbank per SSL heißt einfach: Webformulare über SSL. Keine seperaten
Kanäle.
>Jedenfalls ist in Netscape Navigator bereits das Zertifikat einer
>Zertifizierungsfirma in Suedafrika (Thawte?) eingebaut und der Postbank-
>server ist von dieser Firma zertifiziert. Der Postbankserver muss sich
>gegenueber dem Benutzerbrowser authentisieren. Beim Verbindungsaufbau
>wird sichergestellt, dass Browser und Server schliesslich beide ueber
>den geheimen Schluessel verfuegen und damit verschluesselte Nachrichten
>entschluesseln koennen. Der Benutzer(browser) authentisiert sich gegen-
>ueber dem Postbankserver nicht.
Da niemand Thawte kennt, ist das leicht zu fälschen. Außerdem wird der
komplette Vorgang für JEDES Bild und JEDE neue Seite neu begonnen.
>Aus Sicherheitsgruenden laesst der Postbankserver nur relativ lange
>Schluessel zu. Die amerikanische Regierung verbietet den Export von
Nein. Leider nimmt er auch 40bit RC4. Leider hat er keine 2048bit RSA Keys.
>Die Postbank bietet meines Wissens SafeConnect nicht fuer Linux an.
Unnötig. Man nehme Fortify.
>Hartmut Pilch sucht nach einer Bank, die etwas "gescheites in einem
>offenen Standard-Format" anbietet. Nach meiner Einschaetzung erfuellt
>die Postbank durch Verwendung von SSL diese Forderung.
Yep.
>Es mag moeglich sein auf der Basis von e-mail ein System zur Kontover-
>waltung aufzubauen, das einfacher und sicherer als das SSL-basierte Ver-
>fahren der Postbank ist. Ich weiss aber nicht wie das gehen sollte und
>bezweifele, dass es einfach waere ein solches System zu bauen, auch wenn
>man auf PGP aufbauen wuerde. Ich muss aber zugeben, dass ich bisher nur
>wenig ueber PGP gelesen habe und bin gerne bereit mich eines besseren
>belehren zu lassen.
>
>Verwendet PGP nicht das Konzept eines "webs of trust" anstelle von Zer-
>tifizierungsinstanzen? Ist das sicher genug, wenn viel Geld auf dem
>Spiel steht (Kontofuehrung)? Muesste ein PGP-basiertes Verfahren nicht
>auch PINs und TANs oder vergleichbar komplizierte Elemente zur Benutzer-
>authentisierung gegenueber dem Bankserver verwenden, um vergleichbare
>Sicherheit zu erzielen? Waere es dann noch einfacher als das von der
>Postbank verwendete Verfahren?
In Arbeit.