In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

PowerPoint-Präsentation

Werbung 
Bezahlen im Internet: Geldkarte
Oliver Vornberger
Fachbereich Mathematik/Informatik
Universität Osnabrück
49069 Osnabrück
[email protected]
1
à la card
electronic cash
POZ
Kreditkarte
Geldkarte
PIN
Unterschrift
Unterschrift
Chip
Online
Online
Online
Batch
garantiert
nicht garantiert
garantiert
garantiert
0,3 %
10 Pf
5%
0,3 %
2
Ec-Karte
Spur 1: read only
79 • 6 Bit Konto-Nr, Name, ...
Spur 2: read only
40 • 4 Bit Konto-Nr, Verfallsdatum,...
Spur 3: read/write 107 • 4 Bit Fehlbedienungszähler
3 Offsets
3
Altes ec-PIN-Verfahren (eigenes Institut)
Bankleitzahl
Kontonummer
12345678
1234567890
Kartenfolgenummer
1
DES-Algorithmus mit Institutsschlüssel 56 Bit
3EA2B79853C41FD6
Umwandlung in 4
Dezimalzahlen
ohne führende Null
1217
PIN
4
Altes ec-PIN-Verfahren (fremdes Institut)
Bankleitzahl
Kontonummer
12345678
1234567890
Kartenfolgenummer
1
DES-Algorithmus mit Poolschlüssel 56 Bit
21AF9C1234CD3976
Umwandlung in 4
Dezimalzahlen mit
führender Null
0592
Pool-PIN
+
1725
Offset
=
1217
PIN
5
Schwächen des alten ec-PIN-Verfahrens
Schlüssellänge
Gefährdeter Poolschlüssel
Fehlbedienungszähler auf Karte
Ungleichverteilung von PIN-Ziffern
6
Verteilung der PIN-Ziffern
Erstes Zeichen:
Hex-Symbol 0 1 2 3 4 5 6 7 8 9 A B C D E F
PIN-Ziffer
1 1 2 3 4 5 6 7 8 9 1 1 2 3 4 5
Zweites, drittes, viertes Zeichen:
Hex-Symbol 0 1 2 3 4 5 6 7 8 9 A B C D E F
PIN-Ziffer
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
typische PIN  [1]  [0..5]  [0..5]  [0..5]

1 •
6
•
6
•
6 = 216 Möglichkeiten
 bei 3 Versuchen beträgt die Trefferwahrscheinlichkeit
statt 1:3000 nur noch 1:72
7
Gerichtsurteile
Wer haftet bei Mißbrauch einer entwendeten Karte ?
Amtsgericht Darmstadt, 24.2.1989,
Ingeborg Winter gegen Dresdner Bank:
Der Sachverständige Pausch, an dessen Sachkunde das Gericht keinerlei
Zweifel hat, hat bei einem Versuch, bei welchem ihm 7 verschiedene
Scheckkarten mit 5 bekannten und zwei unbekannten Geheimnummern
zur Verfügung standen, mittels eines Heimcomputers binnen 8,5 Stunden
Rechnerzeit die Geheimnummer errechnen können.
Die Beklagte wird verurteilt, an die Klägerin 900 DM
nebst 4% Zinsen zu zahlen.
8
Neues ec-PIN-Verfahren (ab 1997)
PIN-Generierung:
würfeln oder wählen
PIN-Verifizierung:
Kein Poolschlüssel mehr im Automat
Eingabe der PIN
Onlineverbindung zum Institutsserver
dort Triple-DES unter Verwendung von
PIN, Kartendaten, 2 x 128 Bit-Schlüssel
Vergleich mit Referenzwert auf Karte
Fehlversuchszähler nicht mehr auf Karte
9
Geldkarte
Chip
21 mm2
CPU
8 Bit 3.5 MHZ
ROM
32 K Betriebssystem
EEPROM 16 K Anwendung (Geldkarte, Fahrausweis, ...)
RAM
1 K Arbeitsspeicher
10
Geldkarte: Konten
Zähler
Karte
aktueller Saldo
Girokonto
Bank
Karten-Nr, Pers-Daten
Schattenkonto
Evidenzzentrale aktueller Saldo
BörsenverrechnungsKonto
Bank
Summe aller
Kartensalden
11
Geldkarte: Ablauf
12
Challenge Response
Terminal
Chipkarte
Zufallszahl x
y := DESBANK ( x )
?
y = DESBANK ( x )
Problem: alle Karten enthalten globalen Schlüssel BANK
13
Challenge Response mit lokalem Schlüssel
Terminal
Chipkarte
Kartennummer k
vorberechneter Schlüssel
lokal
lokal := DESMaster( k )
Zufallszahl
x
y := DESlokal ( x )
?
y = DESlokal ( x )
14
Geldkarte: reklamieren
Karte merkt sich
die letzten 3 Ladeaktionen
die letzten 15 Bezahlvorgänge
Nach Ablauf der Laufzeit kann Guthaben erstattet
werden.
Nach Anforderung des Kunden darf die EvidenzZentrale den Saldo an die Bank melden.
Auch bei weißen Karten ist Erstattung möglich, da auch
ein Schattenkonto geführt wird.
15
Cashmouse
zertifiziert vom ZKA
Java-fähiger Web-Browser
vorher Software installieren
zum Shoppen zur Web-Seite des Händlers
zum Zahlen zur Web-Seite des Händlerkartenservers
Java-Applet laden, Kommunikation in HTTP, SSL
http://www.scard.de/shop/sh.htm
16
C:/CashmouseProtokoll
20.04.2001 13:21:33 Zahlung
Gebucht:
EUR
0,05
Rest:
EUR
51,08
Empfaenger: Computop
Buchungsdatensatz
01
D1 00 01 67 25 72 90 02 11 00 00 62 9D 80 00 01
31 00 00 05 00 00 05 00 51 08 00 01 20 01 04 20
13 20 04 14
15 E7 83 57 C1 1F C9 D4
00
67 29 20 18 03 00 04 92 92 8D 03 12 00 10 01 02
80 45 55 52 01 2A 00 01
17
Literatur
www.ecash-technologies.com
Chaum, Fiat, Naor Untraceable electronic cash, CRYPTO 1988
S. Brands
Electronic Cash, Chapter 44 in Handbook on
Algorithms and Theory of Computation, 1998
Dresen/Dunne
Penny Lane, iX 12/1997
Rankl/Effing:
Handbuch der Geldkarten
Sparkassenverlag: Verfahrensbeschreibung zum Geldkarte-System
H.-B. Beykirch:
Chipgeld iX, 12/1998
18
Zugehörige Unterlagen
Die Lösung
Die Lösung
Drake TR 7/ R7: Reparaturen
Drake TR 7/ R7: Reparaturen
Das optische chip-Tan-Verfahren
Das optische chip-Tan-Verfahren
Hinweisblatt für elektronische Haushaltszähler eHZ
Hinweisblatt für elektronische Haushaltszähler eHZ
Beobachtungen aus dem Web 2.0
Beobachtungen aus dem Web 2.0
Phantomspeisung - Die Schaltung
Phantomspeisung - Die Schaltung
Sicherheitsmedium wechseln VR
Sicherheitsmedium wechseln VR
Untitled - Alan-Albrecht Service
Untitled - Alan-Albrecht Service
Titel - HAK Amstetten
Titel - HAK Amstetten
herunterladen
herunterladen
LC-Display Seiko/Tecdis G242CX5R1AC
LC-Display Seiko/Tecdis G242CX5R1AC
Signavio On-Premise Server Systemvoraussetzungen
Signavio On-Premise Server Systemvoraussetzungen
Herunterladen
Werbung