HBCI Homebanking Computer Interface

1. HBCI Homebanking Computer Interface Informatik- Seminar, Sommersemester 2007Markus Amend

2. Inhalt • Definition • Historische Entwicklung • Funktionsweise • Sicherheit • FinTS

3. Definition • Homebanking Computer Interface • Nationaler Standard • Schnittstelle zwischen Privat-PC und Bankserver über ein unsicheres Netz

4. Historische Entwicklungdes Homebankings • 1983 - Erste Applikationen über BTX • Nur wenige Nutzer • 1995/96 Aufschwung, durch Kombination von BTX mit dem T-Online-Netz

5. Historische Entwicklungdes Homebankings • Jede Bank entwickelte ihre eigenen Applikationen • Die Sicherung erfolgte ausschließlich über PIN & TANs.

6. Historische EntwicklungIdee -> HBCI • Transportnetzunabhängigkeit • Plattformunabhängigkeit • Internationalität • Offlinebearbeitbarkeit von Aufträgen • Multibankfähigkeit • Softwareunabhängigkeit • Kontrollmöglichkeiten von Aufträgen • Sicherheit

7. Historische Entwicklung • 1996 erster HBCI-Kernel (1.0) • 1998 erste taugliche Version (2.01) • 1999 HBCI 2.1 • 2000 HBCI 2.2 • 2002 FinTS 3.0 • 2004 FinTS 4.0

8. Funktionsweise • HBCI baut einen Dialog zwischen Privat-PC und Bankserver auf und sendet Nachrichten darüber. • Jede Nachricht entspricht einem Geschäftsvorfall bzw. einem Steuerbefehl • Bevor eine neue Nachricht gesendet werden kann, muss der Kundenrechner auf eine Bestätigung der vorherigen Nachricht warten

9. Dialoginitalisierung Antwort auf Initialisierung Auftrag 1 Auftrag n Antwort auf Auftrag 1 Antwort auf Auftrag n Bank Kunde Bestätigung Dialogende Funktionsweise

10. Funktionsweise • Nachrichten bestehen aus dem Zeichensatz ISO 8859 und einem Subset. • Kundenrechner und Bankserver müssen das gleiche Subset benutzen.

11. Funktionsweise Nachrichtenaufbau (Quelle: http://hbci.de)

12. FunktionsweiseDatenelement (DE) • Kleinste Einheit • Feld mit einer Information • Trennzeichen: Plus (+) • Bsp: Name des Kunden

13. FunktionsweiseDatenelementgruppe (DEG) • Container für GDs • Trennzeichen: Plus (+) • Bsp: (s. Gruppendatenelement)

14. FunktionsweiseGruppendatenelement (GD) • Ähnlich einem DE • Für Gruppierung zusammengehörender Informationen • Trennzeichen: Doppelpunkt (:) • Beispiel: Saldo (+Betrag:Währung+)

15. FunktionsweiseSegment • Entspricht einem Geschäftsvorfall oderSteuervorgang • Trennzeichen: Apostroph (‘) • Beispiel: Überweisung von 1000€ an Max Muster:HKUEB:2:4+1234567::280:10020030+7654321::280:20030040+MUSTER MAX++1000,:EUR+51+000+RE-NR.1234:KD-NR.9876’

16. FunktionsweiseSegmentkopf • HKUEB:2:4 • Segmentkennung (GD) • Segmentnummer (GD) • Segmentversion (GD) • Bezugssegment (GD)(optional)

17. FunktionsweiseNachrichtenkopf • Segmentkopf (DEG) • Nachrichtengröße (DE) • HBCI Version (DE) • Dialog-ID (DE) • Nachrichtennummer (DE) • Bezugsnachricht (DEG)

18. FunktionsweiseDialog • Initialisierung schafft sichere Übertragungsumgebung. (Kunde an Bank) • Identifikation • Verarbeitungsvorbereitung • Anforderung eines öffentlichen Schlüssels

19. FunktionsweiseDialog • Initialisierungsantwort • Bankparameterdaten • Userparameterdaten • Public Key • Rückmeldungen • Kreditinstiutsmeldungen

20. Sicherheit • Arten

21. Sicherheit

22. Sicherheit • HBCI signiert und verschlüsselt die meisten Nachrichten • Dafür werden folgende Vorgänge und Algorithmen benötigt: • Hashing • MAC • Verschlüsselung • DES • RSA • DDV • RDH

23. SicherheitHashing • Was ist Hashing? • „Fingerabdruck“ einer Datenmenge • Nutzen: • Schutz vor unbemerkter Manipulation • Schneller, als die Nachricht doppelt zu senden • Anwendung • Nachricht wird mit RIPEMD-160 hasht

24. SicherheitMAC • Was ist MAC? • Message Authorisation Code • Hashing mit Schlüssel • Signatur • Nutzen: • Schutz vor unbemerkter Manipulation • Schutz vor falschen Identitäten • Anwendung • Die Nachricht wird gehasht und mit dem Signierschlüssel chiffriert.

25. SicherheitVerschlüsselung Arten • Symmetrische Verschlüsselung • DES (DDV) optional • Asymmetrische Verschlüsselung • RSA (RDH) verpflichtend

26. SicherheitDES • Was ist DES? • Data Encryption Standard • Synchrone Verschlüsselung • 72 Billion mögliche Schlüssel • Funktionsweise • Blockweise Verwürfelung nach Feistel • Modi • ECB • CBC • Nachrichtenverschlüsselung unter HBCI • 2-Key-Triple-DES im CBC Mode

27. 2-Key-Triple-DES im CBC-Mode

28. SicherheitRSA • Was ist RSA? • Rivest, Shamir, Adleman • Asynchrone Verschlüsselung • Funktionsweise • „one-way-functions“

29. SicherheitDDV • Signaturerstellung • Signiert den Nachrichtenhash per 2-Key-Triple-DES im CBC-Mode. Als Schlüssel wird der Signaturschlüssel benutzt. • Verschlüsselung • Die Nachricht wird ebenfalls per 2-Key-Triple-DES verschlüsselt durch einen zufällig erstellten Schlüssel.

30. SicherheitRDH • Signaturerstellung • „Der Hash-Wert wird mittels RSA gemäß ISO 9796:1991 signiert.“1 • Verschlüsselung • 2-Key-Triple-DES mit zufälligem Schlüssel. • Der Nachrichtenschlüssel wird mit dem öffentlichen Schlüssel des Empfängers chiffriert.

31. FinTS 3.0 • Financial Transaction Service • Weiterentwicklung von HBCI 2.2 • 3.Schlüsselpaar (Signierschlüsselpaar) eingefügt. • Karten-Schlüssellänge von 768 auf 1024 Bit erhöht • offizielle Unterstützung von PIN&TAN

32. FinTS 4.0 • Umstellung der Trennzeichensyntax auf XML • Verteilte Signaturen

33. Geschafft! • Quellen • HAUBNER, Kurthttp://www.hbci-zka.de/dokumente/diverse/fints40_kompendium.pdf • PRAMATEFTAKIS, Michael http://www.linux-magazin.com/heft_abo/ausgaben/2003/08/geld_transport • SCHMINCK, Andrea und LUNEMANN, Carolin http://www.cs.uni-potsdam.de/ti/lehre/05-Kryptographie/slides/MAC_vortrag.pdf • SIZ http://www.hbci-kernel.de/ • ZIERL, Marcohttp://www.tecchannel.de/sicherheit/grundlagen/401064/ • ZKAhttp://hbci.de • UNBEKANNThttp://de.wikipedia.org/