Re: was sagt ihr dazu? - hw token proxy

From: Juergen Ilse <ilse@xxxxxxxxxxxxxxxxxxxx>
Date: 18 Dec 2008 18:54:22 GMT

Hallo,

Jan Schejbal <jan.schejbal_news@xxxxxx> wrote:

IMHO schöner Ansatz, AAAAAAABER - so wie ich es verstanden hab macht
der User onlinebanking, indem er seinen Rechner nutzt, die Anfragen an
das Gerät schickt und dieses "signiert" sie indem es sie über eine mit
einem enthaltenen Client-Zertifikat gesicherte SSL-Verbindung schickt.
Der Key kann natürlich nicht geklaut werden, d.h. Angreifer können
nicht von ihrem Rechner aus onlinebanking machen.
Was aber hindert den Angreifer daran, einen Trojaner zu schreiben, der
die Daten vor dem Versenden an das Sicherheitsmodul verändert? Der
Nutzer loggt sich ganz normal ein, macht eine Überweisung, und zwischen
Benutzeroberfläche und Modul wird der Empfänger der Überweisung
geändert und der Betrag "optimiert".

Gegen dieses Szenario wuerde ein Klasse3 Smartcardreader, ein vom PC aus
nicht auslesbarer privater Schluessel auf der Smartcard (der zum signieren
der Uebeweisung verwendet werden muss), die "sichere PIN-Eingabe" am Smart-
cardreader samt Anzeige der zu signierenden Daten *vor* der PIN-Eingabe
auf dem Display des Klasse3-Readers helfen (ja, AFAIK gibt es durchaus
solche Systeme, aber ein Klasse3 Reader ist i.d.R. doch deutlich teurer
als ein Klasse2 Reader ohne ein solches Display und die Banken verlangen
fuer Online-Banking per Smartcard nur einen Klasse2 Reader ...).
Oder war das jetzt flacsh zusammengefasst?

Tschuess,
Juergen Ilse (juergen@xxxxxxxxxxxxxxxxxxxx)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
.

References:
- was sagt ihr dazu? - hw token proxy
  - From: mak
- Re: was sagt ihr dazu? - hw token proxy
  - From: Jan Schejbal

Prev by Date: Re: was sagt ihr dazu? - hw token proxy
Next by Date: Re: was sagt ihr dazu? - hw token proxy
Previous by thread: Re: was sagt ihr dazu? - hw token proxy
Next by thread: Re: was sagt ihr dazu? - hw token proxy
Index(es):
- Date
- Thread

Relevant Pages

Re: SmartCard login despite exclusive mode to reader
... > for about a second then the security service starts and only the default ... > they do is connecting to the smartcard in EXCLUSIVE MODE. ... >>> an other application and service that connects to my smartcard reader ...
(microsoft.public.platformsdk.security)
Re: Smartcard logging - No valid certificates found
... Im using the blackberry smart card reader and I dont have problems about the ... compatible with VISTA. ... Im trying to log on to VISTA throug smartcard and when the windows validate ...
(microsoft.public.windows.vista.security)
Re: Smartcard Security - Suggested Hardware
... They sell readers, card emulators and inline sniffers to see the data being passed between a smart card and a reader. ... They make quality hardware I've used on a couple of assessments, they also make a great magstripe analysis tool. ... The Smartcard Explores Set is a good starting point. ...
(Pen-Test)
Re: HQI Beleuchtung
... Auf meinem Rechner ist vermutlich irgendwo irgendeine Einstellung anders, ... Deshalb kann ich es trotz gleichem Reader nicht ... Prev by Date: ... Next by Date: ...
(de.rec.tiere.aquaristik)
Re: Kryptographie
... Smartcard auf den Rechner. ... Was für eine Kompromittierung genau? ... Die eine entschlüsselte Nachricht ...
(de.sci.mathematik)