Die PIN ist sicher – wirklich?
Von EBERHARD PH. LILIENSIEK
Die Verbraucherzentrale Nordrhein-Westfalen steckt mitten in einer ihrer größten Schlachten. Sie kämpft gegen nahezu übermächtige Kreditinstitute, die alle behaupten: Das Abheben von Bargeld am Automaten mit der Persönlichen Identifikationsnummer (PIN) ist sicher. Ist es nicht, hält Hartmut Strube strikt dagegen. Und deshalb hat er namens der Verbraucherzentrale gleich fünf Klagen eingereicht.
Postbank, Deutsche Bank und Stadtsparkasse Düsseldorf sind in diesen Musterprozessen ebenso Gegner wie die Citibank und die Euro-Kartensystem-Gesellschaft („Mastercard“). Dabei geht es hart her. Die Stadtsparkasse etwa hatte rundweg bestritten, dass die Verbraucherzentrale überhaupt klagen darf. Denn die hatte sich, wie in den anderen Fällen, von geschädigten Kreditinstitut-Kunden deren Forderung abtreten lassen.
Es ist ein Marsch durch die Instanzen. Das Landgericht Düsseldorf hielt die Klage für unzulässig; dieser Entscheidung folgte das Oberlandesgericht (OLG). Erst der Bundesgerichtshof hielt das „Verbandsklagerecht“ für rechtens. Mit der Folge, dass nun wieder das OLG Düsseldorf die Sicherheit des PIN-Systems zu überprüfen hat.
Strube hält es mit starken Argumenten und drastischen Beispiel für lausig. „Auf Mallorca“, so berichtet er, „wurde jemand angerempelt – 15 Minuten später ist begonnen worden, das Konto abzuräumen“. Woher, das ist Strubes folgerichtige Frage, soll der Dieb der ec-Karte die PIN gehabt haben? Die war, im Zweifelsfall, auf der Karte notiert, antworten die Kreditinstitute unisono.
Gerne auch diese Variante: Der Kunde hat die Karte samt PIN weggegeben. Strube glaubt das nicht und legt mit einem anderen Beispiel nach. Er kann beweisen, sagt er, dass die PIN noch im verschlossenen Umschlag steckte, dennoch Geld abgehoben wurde. Strube hat drei Thesen für die Unschuld der geneppten Kunden. Wenn zwei von erlaubten drei PIN-Eingaben falsch sind, errechnet irgendein (illegales) Programm die letzte richtige Ziffernfolge.
Es gibt, so die zweite Überlegung, eine Möglichkeit, Übertragungspunkte anzugreifen. Hebt ein Kunde aus Düsseldorf in Neuseeland am Automaten Geld ab, dann gibt es keine direkten Übertragungsweg. Irgendwo dazwischen könnte also gepfuscht worden sein. Schließlich, so denkt Strube, sei ja doch ein Mittäter innerhalb eines Kreditinstitutes nicht auszuschließen.
Die Verbraucherzentrale will also die Beweislast umkehren. Nicht ein Kunde muss seine Unschuld beweisen, sondern die Institute sollen ihre nachweisen. Doch die hüllen sich in einen großen Nebel des Schweigens, moniert Finanzjurist Strube. Sie wollen in den Prozessen ihre technischen Verfahren nicht offenbaren. Dazu befragt, antwortet Kerstin Liesem vom Bundesverband deutscher Banken in Berlin nur knapp: „Wir sagen, die PIN-Verfahren sind sicher“.
Michaela Roth pflichtet ihr bei. Sie sitzt beim Deutschen Sparkassen- und Giroverband, der momentan im Deutschen Kreditausschuss die Feder führt: „Der PIN ist nicht erratbar, nicht errechenbar“. Und sie fragt zurück: „Offenlegung? Warum sollten wir unser Verfahren öffentlich machen?“ Im übrigen hätten es Experten schon untersucht. Die vom Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI). Dessen Sprecher Matthias Gärtner dämpft merklich: „Jedes technische System birgt Risiken“.
Es gebe Gutachten des BSI zu den jeweils geführten Prozessen. Das sind noch immer schwebende Verfahren. Dazu darf Gärtner nichts sagen. Aber die kategorische Haltung der Kreditinstitute rückt er überdeutlich gerade: „Die Aussage, ein Verfahren ist sicher, ist bezogen auf technische Systeme falsch!“
Die Verbraucherzentrale erwartet die höchstrichterlichen Urteile des Bundesgerichtshofs frühestens im nächsten Jahr. Bis dahin gilt leider, was die Deutsche Seniorenliga in ihrem druckfrischen Ratgeber verkündet: „Wurde Ihr Konto nach dem Diebstahl der EC-Karte geplündert“, so warnt die Liga „gehen Banken und Sparkassen davon aus, dass Sie die Karte zusammen mit der PIN aufbewahrt haben“. Zweitens: „Verbraucherschützer vertreten eine andere Rechtsauffassung, da moderne Computertechnik es mittlerweile ermöglicht, die PIN schnell zu entschlüsseln“.
Den Kunden, ob jung oder alt, so zwischen Baum und Borke, bleibt nur Mühe. Die Karten nur mitnehmen, wenn sie gezielt eingesetzt werden sollen. Bei der Eingabe des PIN die Hand abdecken. Falls die Karte abhanden gekommen ist, sie sofort unter Rufnummer 116 116 sperren lassen und die Polizei benachrichtigen. Gut ist es auch, den Kassenbon mit den Kontodaten nicht achtlos wegzuwerfen. Jedenfalls so lange, bis die Schlacht noch nicht für die Verbraucher entschieden ist. (pbd)
<a href="http://www.ccc.de/updates/2004/eckarten" rel="nofollow">history repeating</a>?
.~.
Was ich bei sowas NIE verstehe ist:
Warum beschränkt man sich bei sowas auf das "schwächste Glied": Anstelle so eine allgemeine Anfrage an Banken zu stellen, einfach explizit sagen: Hier, PIN in verschlossenem Umschlag – wie soll da jemand zufällig drankommen? (großartig "durchleuchten" wird ja auf der Straße nicht so ohne weiteres möglich sein)
Da ist nämlich nicht viel mit rumlabern.
„Der PIN ist nicht erratbar, nicht errechenbar.“
Nicht erratbar?! Wieso denn nicht? Etwa, weils verboten ist?
Es hat seinen Grund das ich die Verfügungen auf meinem durch EC-Karte erreichbaren Konto strikt auf einen überschaubaren Betrag begrenzt und keinen Überziehungskredit zugelassen habe.
nicht errechenbar ? das dachten sich die entwickler von der wep und wpa1 verschlüsselung auch… hatte nicht der ccc den algo schon vor jahren genknackt und auf einer seiner tagungen hierzu stellung genommen ?
Wenn durchkommt das die Banken haften, dürften die alle Automaten dicht machen. Es könnte ja jeder einfach behaupten er hätte das Geld nicht abgehoben und die Banken müssten zahlen.
Wenn die Leute dann kein Geld mehr bekommen, hätten wir sicherlich in kürzester Zeit Panik und Anarchie.
Die PIN ist sicher – die Rente auch.
@7 Ach ja, Atomkraftwerke in Deutschland auch!
:-)
Grüsse
Leider steht im Artikel fast nichts "Gehaltvolles".
Das Interessante:
1)"Er kann beweisen, sagt er, dass die PIN noch im verschlossenen Umschlag steckte, dennoch Geld abgehoben wurde."
Sehr gut, wenn man das wirklich nachweisen kann.
2)"Wenn zwei von erlaubten drei PIN-Eingaben falsch sind, errechnet irgendein (illegales) Programm die letzte richtige Ziffernfolge."
Das ist so formuliert viel zu unklar. Kann man den Geldautomaten bei den beiden falschen Eingaben irgendwie intern beobachten (z.B. seinen Datenverkehr aufzeichnen oder ähnliches)? Wie soll man ansonsten aus den 10000 möglichen PIN-Codes durch Kenntnis, dass es gerade mal 2 bestimmte Codes nicht sind, weitere 9997 Codes ausschliessen?
3) "„Der PIN ist nicht erratbar, nicht errechenbar“. Und sie fragt zurück: „Offenlegung? Warum sollten wir unser Verfahren öffentlich machen?“"
Es ist natürlich nicht genau klar, was offen gelegt werden soll. Aber in der Diskussuion um Sicherheit mittels kryptographischer Verfahren ist "Security by Obscurity" (also das Verheimlichen des Verfahrens in der Hoffnung, dass man es so schwerer knacken kann) schon lange als falsche Idee erkannt (zumindest solange es um weite Verwendung und/oder hohe geschützte Werte geht).
4) „Verbraucherschützer vertreten eine andere Rechtsauffassung, da moderne Computertechnik es mittlerweile ermöglicht, die PIN schnell zu entschlüsseln“
Na dann mal Butter bei die Fische und das entsprechende Veröffentlichen! Solche Aussagen sind ohne Beweis genauso tendenziös wie "Unser Verfahren ist sicher".
Wenn das Verfahren nicht offengelegt ist, muss man davon ausgehen dass es unsicher ist.
In der Kryptografie gibt es den Leitsatz, dass "security by obscurity" nicht funktioniert. Ein Verfahren kann nur dann als sicher gelten, wenn es öffentlich ist, und damit von einer großen Zahl von Experten auf Sicherheitslücken überprüft werden kann.
wenn die sich so sehr weigern das sicherheitskonzept/verschlüsselungsverfahren offenzulegen kann man ja davon ausgehen, dass es schweizer-käse format hat.
ich bin bingo spielen: http://www.crypto.com/bingo/pr
@10,11 und an mich selber in 9, Punkt 3:
Es darf von der PIN eigentlichlich keinerlei Hash o.ä. auf der Karte gespeichert sein (meines Wissens ist das auch so). Denn bei nur 10000 Schlüsseln ist es egal, welches Hash-/Verschlüsselungs-/Sonstwas-Verfahren zur Anwendung kommt, es kann immer ein Brute-Force Angriff gefahren werden und das eigentlich schon seit vielen Jahren.
10000 Durchläufe durch einen Algorithmus, den ein Bankautomat offenbar in wenigen Sekunden durchführen kann, sollten auch schon vor 10 Jahren mit einem guten PC höchstens im Stundenbereich gelegen haben.
@6: Es gibt ja Kameras an den Automaten.
@11: Die PIN wird verschlüsselt an den Server übertragen und dort geprüft. Von den auf der Karte gespeicherten Daten lässt sich nicht auf die PIN schliessen.
@Ingo Warnke (13):
Genau, und soweit ich weiß, wird die Anzahl der Fehlversuche nur minimal verschlüsselt auf der Karte gespeichert. Mit diesen Voraussetzungen und beispielsweise einem modifizierten EC-Terminal (Tankstelle o.ä.) lässt sich zu jeder Karte sicherlich in wenigen Minuten die PIN erarbeiten.
betr. fehlversuche:
link zur dokumentation befindet sich auf der unter kommentar 1 verlinkten ccc-seite.
m. w. ist die errechenbarkeit der pin aus den auf der karte gespeicherten daten heute unklar.
.~.
Hm.
Wenn die Anzahl der Fehlversuche auf der Karte gespeichert wird, ist die Sache doch eigentlich ganz einfach:
- Original-Karte klauen.
- diese Karte auf 10 andere Karte kopieren.
- 3 Fehlversuche mit der 1. Kopie
- 3 Fehlversuche mit der 2. Kopie
- 3 Fehlversuche mit der 3. Kopie…
Soweit ich weiß, hat doch irgendwer bereits herausgefunden, daß von den theoretisch 10.000 Varianten sowieso nur knapp 3000 in der Praxis Verwendung finden.
Anders gesagt: Mit 1000 Kopien ein garantierter Treffer.
Wenn es dann noch ein weiteres bisher unveröffentlichtes Schema in der PIN-Auswürfelung gibt, werden es noch weniger zu erratende PINs.
Aber das könnte man nur ergründen, wenn die Banken nicht die große Geheimnis-Keule schwingen würden. (Die bösen Jungs werden es uns nämlich auch nicht freiwillig verraten, es sei denn, wir leihen ihnen kurz mal unsere EC-Karte…)
@14: Es gibt an *manchen* Geldautomaten Kameras, lägst nicht an allen.
Das Thema ist noch viel lustiger:
Es giebt mehrere gültige PINs zu einer Karte, oder wie sollte es sonst möglich sein, daß ich meine PIN als 'vergessen' gemeldet habe und _ohne_Kartentausch_ gegen eine kleine Gebühr eine neue gültige PIN zu meiner Karte mitgeteilt bekam??
Ok, ist jetzt schon paar Jahre her, und vielleicht ist das mittlerweile auch nicht mehr so, aber ich melde immernoch Zweifel an, auch falls mittlerweile die Karten in so einem Fall getauscht werden sollten..
@19: weil der PIN eben nicht auf der Karte steht sondern höchstwahrscheinlich nur in einer Datenbank beim Kreditinstitut. Darum kann auch die Datenbank geändert werden ohne die Karte zu manipulieren.
Grüße,
Rabbit
PS: bin natürlich auch dafür, dass die ganzen Verfahren offen gelegt werden. Und ich halte es wie Kollegen oben bereits angemerkt haben: Verfügungsrahmen der Karte möglichst gering halten, gerade so, dass es für meinen alltäglichen Bedarf reicht.
@19: das könnte ziemlich einfach sein, wenn es so gelöst ist:
Die PIN ist ausschließlich im RZ gespeichert. Wenn du an den ATM gehst, tippst du die PIN ein. Die wird mit der Kartennummer, Kontonummer oder einer anderen eindeutigen Kennzeichnung der Karte in das RZ geschickt. Das vergleicht und gibt sein OK zurück.
D.h. die aktuelle Lücke muss nicht einmal bei der PIN liegen. Sie könnte überall dazwischen liegen.
@17: Es wäre schon ziemlich naiv von den Banken, wenn die Anzahl Fehlversuche auf der Karte gespeichert wären. Die Ausschließung bestimmter PINs (0000, 1111, usw) hingegen denkbar.
@20,21
Das kann so nicht sein, denn es werden ja auch Offline-Transaktionen per PIN authorisiert, wie auch im Artikel beschrieben ist, bei der am Terminal gezahlt wird und erst später eine Übermittlung (aus Neuseeland) erfolgt.
Habe mal irgendwo gelesen, daß die Karte eine 'interne' Kartennummer hat, die zusammen mit Konto-Nr und Pin in irgend einer geheimen Modulo-Rechnung einen gültigen Hash-Wert ergeben muß. Habe leider keine Belege dafür gefunden, aber sollte es tatsächlich so sein, und das Verfahren mittlerweile korrumpiert sein -wie es die Beispiele des Verbraucherschützers schon fast nahelegen- haben die Kreditinstitute in der Tat ein Problem..
@22:
stfw! der konjunktiv ist hier verfehlt.
.~.
@23: Man kriegt an Offline-Automaten tatsächlich Geld via PIN?
Das ist mir neu.
@26:
sieht ganz so aus:
"..Hebt ein Kunde aus Düsseldorf in Neuseeland am Automaten Geld ab, dann gibt es keine direkten Übertragungsweg."
Zumindest habe ich selbst im ferneren Ausland auch schon Waren an der Kasse via Karte&PIN bezahlt und die Lastschrift kam gute 14 tage später, was auch nicht gerade eine Onlineverbindung nahelegt..
@9, Man kann den Chip beobachten. So ein Chip ist an einem gewissen Punkt nicht nur ein logischer Schaltkreis, sondern auch ein physikalischer. Man kann also gucken, wie er auf bestimmte Eingaben reagiert: beispielsweise verrät die Zeit, die er braucht, um zu antworten etwas darüber, welcher Berechnungspfad gewählt wurde. Man kann den Chip kaum oder gar nicht öffnen und reingucken. Aber du kannst genau messen, was an seinen Anschlüssen anliegt und du kannst auch versuchen, ihn geschickt außerhalb der Spezifikation zu bedienen, etwa in der Hoffnung, dass er dir mehr als drei Anfragen durchgehen lässt.
Wenn die Banken immer wieder behaupten "Die PIN ist sicher", dann erinnert mich das an die amerikanische Tabakindustrie, die lange die Gesundheitsschäden des Rauchens leugnete.
Natürlich sind PINs nicht sicher. Selbst wenn das rein technische Verfahren sicher sein sollte, so sind ein Großteil der EC-Terminals so gebaut, dass es fast unmöglich ist, die PIN verdeckt einzutippen. Man denke nur an die DB-Automaten.
Auch die zahlreichen Bilder von <a href="http://www.pfiffige-senioren.de/bildergeldautomat.htm" rel="nofollow">fast unbemerkbar manipulierten Geldautomaten</a> zeigt sehr deutlich, wie leicht das System angreifbar ist.
Als ob das Problem nur der PIN wäre. die Diebe gehen inzwischen recht geschickt vor. Das Anrempeln ist nur ein Beispiel. Da werden GAs manipuliert, das fällt dem Kunden nicht auf, weil die Dinger teilweise eh von Anno Schnuff sind und entsprechend verdellt. eine Delle mehr oder weniger interessiert da wenig.
http://www.pfiffige-senioren.de/geldautomat.htm
http://www.cardscout.de/rat/notfall/204101.html
Das gesamte Verfahren ist unsicher. Die Manipulationen reichen von Kartenklau bis hin zum unbemerkten Kartenkopieren.
Und insofern ist die Verbandsklage nicht mehr wie berechtigt. Solange sich die Banken immer wieder aus der Verantwortung stehlen können, weil der Kunde ja der Depp ist, werden die Geräte nicht sicherer gemacht. Und so bleiben wir ein Eldorado für Kartendiebe.
Mir sind hier zwei Punkt juristisch unklar:
1.) Wenn die Kunden ihre Forderungen an die Verbraucherzentrale verkauft haben, dann ist das doch überhaupt keine Verbandsklage, sondern da stehen ganz normal zwei Parteien zivilrechtlich gegeneinander, und das Gericht muß klären, wem das Geld zusteht. Wie kann denn da die Zulässigkeit der Klage in Frage stehen?
2.) Letztlich will doch die Bank Geld vom Kunden.
Sie behauptet, daß er das irgendwo abgehoben hat, und das will sie dann von seinem Konto abbuchen.
Dann hat doch auch die Bank letztlich die Beweispflicht, daß diese Forderung zu Recht besteht, d.h. daß ihr Verfahren mit PIN usw. einen klaren Nachweis liefert.
Wie kann es da überhaupt möglich sein, daß die Bank dieses Verfahren nicht vor Gericht offenlegt? Damit fehlt doch ein entscheidendes Stück der Beweiskette und die Forderung bleibt substanzlos.
Ist es nicht so, das kopierte Karten an den ATM außerhalb Deutschlands noch akzeptiert werden?
Karte kopieren, Karte mit "gescheitem" PGM bearbeiten( Name ist ähnlich wie Karte :-) ), 3 Fehlversuche => False Flag wieder rücksetzen => neuer Versuch.
bei OK,Karte schnappen => ICE nach Amsterdam => 23:50 und 0:05 Geld abheben.
Soll so schon sehr oft mit "gefundenen" karten im Frankfurter Bahnhofsviertel geschehen sein :-)
Außerdem sollen die Pin lt. Gerüchten in Bankenkreisen nur 3-4 Verschiedene Nummern gehabt(noch?) haben. Daraufhin haben viele Leute neue Karten +Pin bekommen.
@27: Und woher weisst du, dass die PIN geprüft wurde?
PIN soll sicher sein? Von wegen. Bei nur wenigen tausend Kombinationen ist selbst Raten sehr erfolgsversprechend.
Und in der Kryptographie gilt immer noch der Grundsatz: Ein System/Einen Algorithmus, der nicht dem Peer Review standgehalten hat, ist wertlos. Soviel zur sicheren Übertragung der Daten von den ATMs zur Bank.
"Entgegen den Behauptungen des ZKA ist ein solches Vorgehen durchaus möglich, da bei Offline-Automaten und im Ausland keine zentrale Speicherung der Fehlversuche erfolgen kann. Gegenüber der theoretischen Wahrscheinlichkeit von eins zu neuntausend, die sich aus einer vierstelligen PIN ohne Null als erste Ziffer ergibt, stellt dies eine deutliche Verschlechterung der Sicherheit dar. Die Möglichkeit der statistischen Analyse der PIN-Verteilung ist auch den Banken spätestens seit 1989 bekannt."
Offlineautoautomaten und Automaten im Ausland speichern nicht zentral die Anzahl Fehlversuche, aber ich wette sie speichern sie lokal (d.h. nach 2 Versuchen ist ein Automat unbrauchbar geworden) und eben NICHT oder nur alternativ/redundant auf der Karte.
@34: Zustimmung, bei einem PIN mit Stellen gibt es ja nicht allzu viele Möglichkeiten, man kann also leichter auf den PIN kommen, als im Lotto gewinnen, wenn man jetzt zig tausende EC-Karten zur Verfügung hat und immer einfach 2x probiert, könnte man irgentwann mal einen Treffer landen !
Gehen wir dann noch davon aus das es bestimmter PIN-Kombinationen nicht gibt z.B. 0000, 0001, 1000, 1111, 2000 2222, dann kann man noch weiter einschränken und die Wahrscheindlichkeit einen Treffer zu landen wird noch höher.
Mit etwas Insider-Wissen welche Zahlenkombinationen es gibt, geht es dann noch leichter ….
.. @24 btw. zweiter Googlehit
Warum eigentlich sollte es bestimmte PINs wie 1111 nicht geben?
@32: Wozu durch die Gegend fahren? Wenn man das weiterdenkt, besteht doch auch die Möglichkeit die ausgelesenen Kartendaten einfach übers Netz an einen Komplizen im Ausland zu übertragen. Der beschreibt seinen Kartenrohling mit den Daten und ab gehts. Das liefert irgendwelchen Subjekten auch gleich ein nigelnagelneues Argument das Internet platt zu machen.
"Nein, die elektronische Wegfahrsperre in Fahrzeugen ist nicht knackbar. Wenn ihr Auto trozdem geklaut wurde, haben Sie halt Pech und erhalten von uns keinen Schadensersatz. Ätschi Bätsch" ließen die Versicherungen vor einiger Zeit noch verlauten.
Es ist doch mittlerweile mehr als lächerlich, wie vor technologischen Möglichkeiten die Augen geschlossen werden.
@38, danielj:
Eigentlich gibt es keinen zwingenden Grund, z.B. Schnapszahlen auszuschließen; aber die gefühlte Sicherheit einer "zufälligen" Nummer ist höher (auch wenn eine 2222 genauso zufällig ist, aber erkläre das doch bitte meiner Oma).
@41: Dazu fällt mir nur ein:
de.wikipedia.org/wiki/One...3.A4lliger_Schl.C3.BCssel
@41: OTP (oder altdeutsch: i-Wurm) zum Text-verschlüsseln udn die PIN haben so rein garnix miteinander zu tun.
Die effektivste Variante zum Knacken, von der ich gelesen habe, geht von einer stemmbaren Investition aus (<100k€) sowie handhabbarem logistischen Aufwand aus, um PINs zu knacken. Der "nicht-öffentliche" Algorithmus *hust* macht die PIN ganz sicher weder "unberechenbar" noch "unerratbar" (<- so ein Blödsinn…).
@43: Ich vermute mal, die Antwort ging an mich (#42). Gemeint war nicht, dass man OTP einsetzen solle, sondern vielmehr der verlinkte Abschnitt. Ich zitiere:
'Ein Mensch würde – vor die Aufgabe gestellt, eine möglichst zufällige Buchstabenfolge zu erzeugen – wohl davor zurückschrecken, in so kurzem Abstand fünfmal auf die gleiche Taste zu tippen. Er würde die Buchstaben eher gleichmäßiger verteilen – was tatsächlich aber ein Fehler wäre und keine gute Zufälligkeit ergäbe, denn er hätte dabei den Grundsatz verletzt: „Der Zufall hat kein Gedächtnis!“'
In diesem Fall gilt wie in der gesamten Kryptologie das Prinzip von "Wer nichts zu verbergen hat". Kryptografische Verfahren gelten nur dann als sicher, wenn sie offengelegt, und von möglichst vielen Experten auf Schwachstellen untersucht wurden. Wenn die Banken meinen, ihre Verfahren wären "sicher", dann verstehe ich nicht, warum sie diese Verfahren nicht einfach veröffentlichen und der gesammelten Expertenschaft zur Untersuchung freigeben. So bleibt wieder nur das ungute Gefühl von Security by Obscurity. Dass die Banken immer noch nicht gelernt haben, dass genau das eine dumme Idee ist, leuchtet mir nicht einmal ansatzweise ein.
"Michaela Roth pflichtet ihr bei. Sie sitzt beim Deutschen Sparkassen- und
Giroverband, der momentan im Deutschen Kreditausschuss die Feder führt: 'Der PIN ist …'"
Die gute Frau weiß offensichtlich nicht einmal, daß das N in PIN für "Nummer" steht. Wie mag es um ihr weiteres Fachwissen bestellt sein?
@45: Ich könnte verstehen, wenn kryptografische Verfahren in Bezug auf die TAN-Listen angeführt würden. Aber bei der PIN?
Es gibt Banken, bei denen man die PIN nach Belieben und zwar zwischen 4 und IIRC 6 oder gar 8 Stellen setzen kann (z.B. ehemals First Union, USA). Da das ganze sogar das Maestro-Logo trägt, funktioniert das auch mit hiesigen Automaten. BTDT.
Als jemand, der schon Kryptohardware entwickelt, aber sich nie genauer mit EC-Karten befaßt hat: An eine Übertölpelung im Sinne einer "Errechnung" oder "gezielten Ratens" der PIN glaube ich bei Online-Verfahren nicht. So bescheuert kann, ja *darf* das System gar nicht sein. Wenn die Verbindung zum Server steht, wird rückgefragt und die Karte nur für die Kontendaten verwendet.
Man-in-the-middle-Attack — meinetwegen. Aber auch hier frage ich mich, wo außer dem Automaten selbst die stattfinden soll. Andernfalls wäre nämlich das Banken-VPN kompromittiert und das sollte den Banken aus noch ganz anderen Gründen als ihren lästigen Privatkunden aufstoßen…
Bleibt also nur der Offline-Fall: Hier *sollte* die PIN natürlich ebenfalls nicht auf der Karte gespeichert sein, sondern nur ein Hashwert. Da kann es theoretisch zu Kollisionen kommen — umso wahrscheinlicher, wenn es lustige Inhouse-Entwicklungen sind, da ein herkömmlicher MD5 oder SHA1 natürlich zu "unprofessionell" gewesen wären.
Kann aber auch nicht *so* einfach sein, wie so mancher befürchtet, sonst wäre das System schon längst großkriminell ausgehebelt worden. An Name und Kontenverbindung kommt man schließlich auch ohne Karte, den grundsätzlichen Aufbau der Kartendaten besorgt man sich per social engineering, wenn er nicht ohnehin in irgendeinem ETSI-Standard schriftlich verewigt ist.
Ich kenne mich mit den technischen Details bei der Kommunikation zwischen Geldautomat und Rechenzentrum überhaupt nicht aus, aber ich könnte mir vorstellen, dass der kritische Punkt an dem ganzen PIN Verfahren gar nicht der PIN selbst bzw. dessen Erratbarkeit/Errechenbarkeit ist, sondern die Rückmeldung vom Rechenzentrum an den Automaten, wie das Ergebnis des Abgleiches mit dem in der Datenbank abgelegten Datensatz war, d.h. ob ein korrekter PIN eingegeben wurde oder nicht.
Wird ein korrekter PIN eingegeben, könnte ich mir vorstellen, dass in der Rückmeldung der gesendete PIN wieder verschlüsselt mit zurückgesand wird und im Automaten erneut mit der lokal zwischengespeicherten PIN Eingabe verglichen wird, um auszuschließen, dass quasi ein universelles Freigabesignal existiert, dass – an einen Automaten gesendet – die Geldfreigabe auslöst. Eventuell sind noch Kontostand sowie eventuelle Limits in der Rückantwort vom Rechenzentrum mit enthalten.
Im Falle einer falschen PIN Eingabe kann das jedoch nicht sein, da ja sonst der richtige PIN, Kontostand usw. aus der Datenbank mit zurück gesand würde (Sicherheitsproblem !) und diese vom Automaten sowieso nicht sinnvoll verarbeitet werden könnten.
Ich halte es also für wahrscheinlich, dass die Rückmeldung "PIN falsch" vom Rechenzentrum in einer ziemlich identischen Art und Weise übermittelt wird, unabhängig davon, welcher PIN falsch eingegeben wurde. Lediglich eine SessionID u.ä. könnte zusätzlich zu den Kartendaten mit in dem Datensatz enthalten sein.
Gelingt es also nun Betrügern über längere Zeit die Kommunikation zwischen einem Automaten und dem Rechenzentrum komplett zu protokollieren, z.B. mit einem MP3 Player (http://www.heise.de/newsticker/meldung/81279/ ), dann können sie vermutlich das Rückmeldungs-Singnal "PIN falsch" erraten bzw. es mit hinreichender Genauigkeit von einem Algorithmus unter Kenntnis der Kartendaten vorhergesagen lassen. Damit bestünde die Möglichkeit, dass es durch einen Man-in-the-middle Angriff aus der Kommunikation zwischen Rechenzentrum und Geldautomat herausgefiltert und verworfen werden könnte.
Das Programm des Geldautomaten muss eine Timeout-Funktion vorsehen, (falls die Verbindung einmal unterbrochen sein sollte) um bei fehlender Rückmeldung vom Rechenzentrum nach einiger Zeit in den Ausgangsmodus zurückzukehren. Dabei müsste, z.B. mit dem Hinweis auf technische Störungen auf dem Display die Karte wieder freigeben werden.
Denkt man sich nun eines der vielen EC Bezahlgeräte, wie sie in Läden häufig zu finden sind, eine Software die dem Rechenzentrum eine PIN Eingabe an einem solchen Gerät simuliert sowie einen Filter der vor der Rückmeldung ans Gerät das "PIN falsch" Signal aus der Kommunikation herausfiltert, dann lassen sich die möglichen PINs sicherlich innerhalb von 30 Minuten durchprobieren, ohne dass die Karte gesperrt würde. Mit der so ermittelten PIN ab zum nächsten Geldautomaten und dann kräftig abheben.
Möglicherweise wird die Anzahl der Fehlversuche auch im Rechenzentrum gespeichert, aber das könnte man sicherlich dadurch umgehen, dass zeitgleich mehrere Karten durchprobiert werden und so zwischen jeder Anfrage bzw. Anfrage Dupletts oder Triptletts Anfragen für mehrere andere Karten gesendet werden.
@47
wie lange dauert wohl das anlegen einer hash-tabelle für 10.000 vierstellige zahlen? da macht es keinen unterschied mehr ob man den pin gehasht oder groß mit schwarzem edding auf die karte draufschreibt…
Man sollte vielleicht dazu sagen, daß es sich hierbei um historische Gerichtsverfahren handelt. Das PIN-Verfahren ist mittlerweile weithin als gebrochen akzeptiert — Stichwort "Skimming". In diesen Fällen gibt es aber verwertbare Spuren, bei den historischen gibt es eben nur die Aussage, man habe die PIN nicht notiert oder weitergegeben (von dem oft zitierten, aber wenig substanzierten Umschlagsbeispiel abgesehen).
Ich wollte eigentlich nur einige der Annahmen, wie das mit der PIN funktioiniert, einerseits präzisieren, andererseits korrigieren und aus dem mystischen ans Licht holen.
Wie funktioniert die PIN?
Das Verfahren nennt sich MM-Sicherungsverfahren (Meyer und Matyas "Cryptography – A New Dimension in Computer Data Security, Wiley, New York 1982")
Die Bank braucht die letzen 4 Ziffern der Bankleitzahl, die auf 10 Stellen aufgefüllte Kontonummer des Kunden und ein Hash (einstellig) über die Kartenfolgenummer. Alles zusammen ist 15 Zeichen (50 bit) lang. passt also bequem in 64 Bit. Diese Zahl wird per DES mit dem Institutsschlüssel (hochgeheim) verschlüsselt. Aus 2 Bytes des so ermittelteten Werts, macht die Bank mit einem relativ unsicheren verfahren eine PIN. Diese kann zur Bequemlichkeit des Kunden mit einem Offset gezielt modifiziert werden.
Damit man im Ausland Geld (offline) abheben kann, generiert die Bank extra 3 Poolschlüssel, mit denen 3 weitere PINS aktiviert werden. Die Bank verteilt einen der drei Poolschlüssel (nicht etwa den Instuitutsschlüssel) an das befreundete Institut und dieses installiert den Poolschlüssel im Automaten (damit der Automat nicht bei der befreundeten Bank anrufen muss). Das Problem ist, dass die durch die Poolschlüssel generierten PINS nicht identisch mit der PIN der karte sind, weswegen es zu jedem dieser Offline-PINs einen weiteren Offset gibt, um zur "richtigen" PIN zu gelangen
Wenn man also gezielt 3 Automaten verschiedener Geldinstitute klaut (so etwas soll es hin und wieder gegeben haben) und die Poolschlüssel der meisten europäischen Banken aus dem Automaten extrahiert, die der Offline-Prüfung dienen, so kann man allein durch die Poolschlüssel die Anzahl möglicher Pins auf nur wenige Pins einschränken, da sich nicht alle Pins eingeben lassen (unter berücksichtigung verschiedener Nebenbedingungen).
An die Poolschlüssel kommt man auch durch das Sammeln eigener Kreditkarten, die Bank stellt sogar freundlicherweise eine Karte her, für die dann der gleiche PIN gilt (mitanderer Kartenfolgenummer) oder gern auch ein anderen PIN, wenn die Karte mal kaputtgegangen sein sollte, oder schon sehr oll aussieht. Damit besitzt man 3 neue (bekannte) Angriffsvektoren. Man braucht in etwa 20-30 solche Vektoren (Diebe sollten i.A. leicht an solche Karten herankommen, auch nützen die Daten ohne Kenntnis der jeweiligen PIN – da so einige Poolschlüssel verworfen werden können, weil die 3 Poolschlüssel immer die gleiche PIN ergeben müssen). Durch Brute-Force sind mit einem Aufwand von weniger als 10.000 Euro innerhalb von nur wenigen Monaten die Poolschlüssel errechenbar. Ich möchte mal nicht darüber spekulieren, wie sich Botnetze dafür einsetzen lassen.
Hat man die drei Poolschlüssel, so lassen sich mit Hilfe von Brute-Force alle 10000 Kombinationen prüfen und man nimmt die PIN, die bei allen drei Poolschlüsseln den gleichen Wert rauswirft. Es reichen auch 2 Poolschlüssel. Es wird unter den 10000 Möglichkeiten nur eine bis 3 geben, die zusammen mit dem Offset den selben Wert ergeben. Das ist nur eine Frage der Wahrscheinlichkeit.
Ich denke die Kryptoanalyse ist heute deutlich weiter als noch 1982 (lineare, differentielle, algebraische Kryptoanalyse), weswegen ich denke, dass dieses unsichere Verfahren dringend durch ein neues aber sicheres Verfahren ersetzt werden muss.
Im Übrigen sind das öffentlich verfügbare Informationen. Bspw. könnte man sich das oben erwähnte Buch aus einer Bibliothek ausleihen. (Udo, sperr das Posting, wenn es zu heikel ist.)
Ich denke, auch, dass diese Banden, die davon Leben anderer Leute Kreditkarten zu klauen und die Konten räumen, sich bereits so weit professionalisiert haben. Schließlich haben sie das Geld ihrer Opfer zur Verfügung.
Die Geldautomaten sind so konzpiert, dass sie auch offline eine PIN-Prüfung durchführen können. Konfigurierbar ist auch die Geldbetrag, ab dem in jedem Fall online geprüft wird (oder die Auszahlung verweigert wird, z.B. bei Leitungsstörung). Sowie zufällig erforderte Online-Authorisierung.
Das war vor gut 10 Jahren noch so.
Andere amüsante Story, die man sich in Sicherheitskreisen erzählt:
Systemhandbuch eines britischen Geldautomaten lag in einem Fach im Geldautomaten. Auf der Umschlagseite fand sich handschriftliche eine Ziffernfolge. Tippte man diese über das Tastenfeld ein, erfolgte eine "Testausgabe" von 10 Geldscheinen. (Where Security Fail, Ross Anderson, Cambridge… mal nch googlen).
Auf derlei Dinge spielt sicherlich auch der BSI-Mann an, der oben in einem der Kommentare zitiert wurde. Denn selbst wenn das theoritische Verfahren als "sicher" einzustufen ist, ist es nicht automatisch auch die technische Umsetzung!
Ich hatte mal die PIN "2345"…
Zeitweise waren aber manche Ziffern als erstes deutlich erhöht, da einerseits keine Null am Anfang vorkommen durfte (wurde m.W. auf "1" gesetzt in diesem Fall anstatt eine neue PIN auszurechnen…) und zudem das System 4 Hexadezimale Ziffern erzeugte, wobei A-F eben auf 0-5 "gemappt" wurde…
Inzwischen soll das ganze sicherer funktionieren, aber….
Einen, IMHO SEHR, wahrscheinlichen Angriffsvektor hat er vergessen zu erwähnen – so ist es nämlich in vielen Geschäften inzwischen üblich die Überwachungskameras so aufzustellen, dass sie den Kunden beim Eingeben der PIN genau filmen. Warum ist das nur so? Jeder der nicht immer daran denkt die Eingabe mit der anderen Hand zu verdecken, hat sehr wahrscheinlich einer großen Menge an Leuten seine PIN bereits mitgeteilt (ohne dies zu wollen oder einen größeren Fehler gemacht zu haben – ich finde keinesfalls das jemand "dumm" ist, nur weil er einmal NICHT die Hand darüber gehalten hat).
Das PIN-Verfahren ist doch gar nicht geheim. Es gibt mittlerweile genügend öffentliche Dokumente zu dem Thema.
Die PIN ist nicht auf der Karte gespeichert, weder so noch verschlüsselt. Das Terminal/der Automat kann also nur eine Online-Prüfung durchführen. Die Datenübertragung erfolgt verschlüsselt.
Einzige Ausnahme sind die EMV-Chipkarten. Mit diesen ist auch eine Offline-Autorisierung möglich. Aber auch bei diesen ist die PIN nicht auslesbar.
Was bisher nicht offengelegt ist, ist die konkrete Umsetzung des Standards durch die einzelne Bank. Hier besteht insbesondere die Frage, wie die PINs generiert werden. Denn nur eine wirklich zufällige PIN ist auch sicher. An dieser Stelle darf man also ruhig mal ein wenig nachhaken.
Weiterhin kann man sich auch mal fragen, warum man die EC-Karten nicht für den Auslandseinsatz sperren kann. Im Ausland wird das Modulierte Merkmal (eine Art Kopierschutz für die Karte) nicht überprüft. Und in der Tat gibt es einige theoretische Angriffsvektoren, wenn man Zugang zu den Netzknoten und den Security Modules hat.
In der Praxis sind aber alle diese theoretischen Verfahren viel zu kompliziert und deutlich unwahrscheinlicher als die zwei Möglichkeiten: 1. die PIN wurde ausgespäht; 2. die PIN stand doch irgendwo
@51: Dieses Verfahren wird seit über 10 Jahren nicht mehr so angewendet. Die Offsets gibt es auch nicht mehr. Früher war es in der Tat möglich, die PIN zu ermitteln, weil sie "verschlüsselt" auf der Karte gespeichert war. Das ist aber wie bereits gesagt bereits mehr als zehn Jahre her.
@55, 56 (X): Für die ganzen Behauptungen hast du bestimmt auch eine Quelle, oder? Und jetzt erzähl mir bitte nicht, dass ja "die Banken" das versichern würden. Security By Behauptung ist einfach kein sinniges Verfahren.
Und was sind denn die sicheren Alternativen zu den jetzigen Karten mit PINS:
1. PINS mit 15 Stellen (die sich niemand merken kann, also werden sie irgendwo notiert und im Geldbeutel abgelegt)?
2. Bargeld? Das ist weder in der eigenen Tasche noch im Haus sicher.
Je sicherer Karten werden, umso dreister und gewalttätiger werden die Diebe: Geiselnahme von Familienmitgliedern, Bedrohung mit Waffen.
"Denn nur eine wirklich zufällige PIN ist auch sicher." Jede gültige PIN ist eine zufällige PIN. Eine "als zufällig ausgewählte" PIN ist eben nicht mehr zufällig sondern ausgewählt.
@Matthias: "Ich kenne mich mit den technischen Details bei der Kommunikation zwischen Geldautomat und Rechenzentrum überhaupt nicht aus"
Richtig! Mit einem MP3 Player, womöglich direkt am Geldautomaten angeschlossen? Welche Art von Musik hörst du am liebsten?
So kann man sich das vorstellen, aber die Realität sieht anders aus. Die Entwickler von GA und von Verschlüsselungen sind keine Anfänger. Das schwächste Glied ist immer noch der Mensch.
@Ben: Es wurde schon über viele behauptet, "das sind doch Profis" und dennoch fand man später raus, dass sie Fehler gemacht haben. Diese Aussage hat quasi keinen Wert.
Selbst falls der Mensch das schwächste Glied sein sollte – und schon dies kann man anders sehen -, so wäre er doch nicht der einzige Angriffspunkt. Und so darf er auf keinen Fall so unter Generalverdacht gestellt werden, wie dies die Banken derzeit machen.
Bei der "zufälligen PIN" ging es wohl um die Güte des verwendeten Pseudozufallsgeneratoren. Wird hier ein schlechter verwendet, dann kann man eben wesentlich einfacher "geschickt raten". Und Details wie eben der verwendete Generator sollten sich veröffentlichen lassen um a) das Vertrauen in das System zu stärken und b) ohne die Sicherheit zu kompromittieren.
@48 Ich hatte das letzte mal vor einigen Jahren mit Bankeninfrastruktur zu tun, schon damals waren die Automaten ins interne Netzwerk der Bank eingebunden mit 4MBit Token Ring Netzwerkkarten und das wurde dann auf 16 MBit umgestellt. Mit dem MP3 Player kann da nicht viel abgehört werden. Die Zeiten als Geldautomaten in Banken noch mit Telefonmodem kommuniziert haben waren bereits längst vorbei als der erste MP3-Player gebaut wurde! Wie heise schon schreibt ist hierzulande bei Bankautomaten auch nicht mit dem dort Beschriebenen Angriff zu rechnen.
Mir wurde 2001 eine VISA-Karte gestohlen und 2.100 DM innerhalb von ca. 3 Stunden abgehoben. Prozess und Berufung brachten nichts (Anscheinsbeweis).
2004 wollte ich die PIN meiner neuen VISA-Karte sperren und sollte dazu 3mal eine falsche PIN eingeben, da eine Sperrung systemtechnisch nicht möglich sei. Als ich eine falsche PIN eintippte gab der Geldautomat 500 EUR aus !!! Das Ganze habe ich ein paar mal wiederholt und auch auf Video festgehalten (vgl. http://www.kreditkartendiebe.de). Der BGH hat sich an der Sache sehr interessiert gezeigt (Schreiben des BGH liegt vor). Falls jemand Material für einen Prozess braucht, einfach bei mir melden. Vielleicht kann man ja doch noch etwas bewegen.