Wie sicher ist die Postcard?

Der Vortrag „A not so smart card“ am 23rd Chaos Communication Congress hat bei der Schweizerischen Post bzw. Postfinance, die die „Postcard“ herausgibt, offenbar bereits im Vorfeld für Wirbel gesorgt. So hatte man dem Redner am 14. Dezember einen Brief geschickt, in dem er aufgefordert wurde, bloss keine Unwahrheiten zu behaupten, denn die Postcard sei selbstverständlich sicher und das Sicherheitssystem funtkioniere ganz anders, als von ihm dargestellt. Doch Bernd R. Fix bleibt dabei und berichtete in seinem Vortrag davon, dass die Postcard alles andere als sicher sei:

Die Postcard identifiziert sich nämlich gegenüber dem Terminal mit Hilfe eines Schlüsselpaares, das mit RSA zu 320 Bit arbeitet – während angesichts der fortschreitenden Rechenleistung Algorithmen zu 1.024 Bit bereits zur Diskussion stehen. Zwar braucht man eine PIN, um Transaktionen vorzunehmen. Aber die PIN beschützt nicht etwa das Schlüsselpaar, von dem beide Teile in einem read-only Speicher auf der Karte hinterlegt sind. Sondern die PIN wird gebraucht, um sich Zugang zu einem anderen read/write-Speicher der Karte zu verschaffen, auf dem sämtliche Transaktionsdaten gespeichert werden. Nach Auslesen und Knacken der ungeschützten Schlüssel kann die Karte geklont und zu einer „YesCard“ programmiert werden, die jeden PIN annimmt. […]

Der Vortragende verlieh seinem Anliegen Nachdruck, dass die Schweizer Postbank ihre Kunden nicht weiterhin um die vermeintliche Sicherheit ihrer Karten betrügen dürfe. Er berichtete von einem alten Mann, dessen Postcard während eines Krankenhausaufenthalts im Schrank aufbewahrt wurde und der hinterher um rund 20.000 CHF (ca. 12.500 ¤) ärmer war. Zugesprochen wurde ihm nur ein minimaler Schadensersatz. Denn die PostFinance sichert sich in ihren Geschäftsbedingungen bei Vertragsabschluss dahingehend ab, dass sie nur bei Ausschluss von Fahrlässigkeit handelt. Das bedeutet, dass der Kunde beweisen muss, dass er die PIN nicht weitergegeben hat, was praktisch unmöglich ist.

Wenn man die PIN nun aber gar nicht benötigt, um die Karte unautorisiert zu gebrauchen, ist das eine heikle Angelegenheit. Die Karte ist dann nicht sicher, was den Haftungsausschluss von PostFinance in Frage stellt. Daher der böse Brief, mutmaßt der Vortragende. Denn bei einem Test mit Karten von Freunden aus der Schweiz vor einigen Monaten habe sich gezeigt, dass die Karte sicherheitstechnisch immer noch so leicht geknackt werden kann wie 2002.

Das mag bei einem Diebstahl der Karte durch einen „einfachen“ Taschendieb zwar kein Problem darstellen, bei Personen mit grösserem technischen Wissen könnte so durchaus ein Sicherheitsproblem entstehen. Wie sich die Postfinance zum Thema äussert und wie sicherheitsrelevant die Sache aus ihrer Sicht ist, konnte ich bisher nicht in Erfahrung bringen, aber ich bleibe natürlich dran…

(Danke mds für den Hinweis in den Kommentaren!)

2 Comments

  1. mds 1.01.2007
  2. RaFF 5.02.2007