{"id":1297,"date":"2006-12-29T20:28:50","date_gmt":"2006-12-29T19:28:50","guid":{"rendered":"http:\/\/bloggingtom.ch\/?p=1297"},"modified":"2006-12-29T20:35:25","modified_gmt":"2006-12-29T19:35:25","slug":"wie-sicher-ist-die-postcard","status":"publish","type":"post","link":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/","title":{"rendered":"Wie sicher ist die Postcard?"},"content":{"rendered":"<p>Der Vortrag &#8222;<a href=\"https:\/\/events.congress.ccc.de\/congress\/2006\/Fahrplan\/events\/1449.en.html\" target=\"_blank\" >A not so smart card<\/a>&#8220; am <a href=\"https:\/\/events.congress.ccc.de\/congress\/2006\/Home\" target=\"_blank\" >23rd Chaos Communication Congress<\/a> hat bei der <a href=\"http:\/\/www.post.ch\/de\/index.htm\" target=\"_blank\" >Schweizerischen Post<\/a> bzw. <a href=\"http:\/\/www.postfinance.ch\" target=\"_blank\" >Postfinance<\/a>, die die &#8222;<a href=\"http:\/\/www.postfinance.ch\/pf\/content\/de\/seg\/biz\/pay\/card\/pcd.na_biz.html\" target=\"_blank\" >Postcard<\/a>&#8220; herausgibt, offenbar bereits im Vorfeld f\u00fcr Wirbel gesorgt. So hatte man dem Redner am 14. Dezember einen Brief geschickt, in dem er aufgefordert wurde, bloss keine Unwahrheiten zu behaupten, denn die Postcard sei selbstverst\u00e4ndlich sicher und das Sicherheitssystem funtkioniere ganz anders, als von ihm dargestellt. Doch Bernd R. Fix bleibt dabei und berichtete in seinem Vortrag davon, dass die Postcard <a href=\"http:\/\/www.heise.de\/tp\/r4\/artikel\/24\/24325\/1.html\" target=\"_blank\" >alles andere als sicher<\/a> sei:<\/p>\n<blockquote><p>Die Postcard identifiziert sich n\u00e4mlich gegen\u00fcber dem Terminal mit Hilfe eines Schl\u00fcsselpaares, das mit RSA zu 320 Bit arbeitet &#8211; w\u00e4hrend angesichts der fortschreitenden Rechenleistung Algorithmen zu 1.024 Bit bereits zur Diskussion stehen. Zwar braucht man eine PIN, um Transaktionen vorzunehmen. Aber die PIN besch\u00fctzt nicht etwa das Schl\u00fcsselpaar, von dem beide Teile in einem read-only Speicher auf der Karte hinterlegt sind. Sondern die PIN wird gebraucht, um sich Zugang zu einem anderen read\/write-Speicher der Karte zu verschaffen, auf dem s\u00e4mtliche Transaktionsdaten gespeichert werden. Nach Auslesen und Knacken der ungesch\u00fctzten Schl\u00fcssel kann die Karte geklont und zu einer &#8222;YesCard&#8220; programmiert werden, die jeden PIN annimmt. [&#8230;]<\/p>\n<p>Der Vortragende verlieh seinem Anliegen Nachdruck, dass die Schweizer Postbank ihre Kunden nicht weiterhin um die vermeintliche Sicherheit ihrer Karten betr\u00fcgen d\u00fcrfe. Er berichtete von einem alten Mann, dessen Postcard w\u00e4hrend eines Krankenhausaufenthalts im Schrank aufbewahrt wurde und der hinterher um rund 20.000 CHF (ca. 12.500 \u00a4) \u00e4rmer war. Zugesprochen wurde ihm nur ein minimaler Schadensersatz. Denn die PostFinance sichert sich in ihren Gesch\u00e4ftsbedingungen bei Vertragsabschluss dahingehend ab, dass sie nur bei Ausschluss von Fahrl\u00e4ssigkeit handelt. Das bedeutet, dass der Kunde beweisen muss, dass er die PIN nicht weitergegeben hat, was praktisch unm\u00f6glich ist.<\/p>\n<p>Wenn man die PIN nun aber gar nicht ben\u00f6tigt, um die Karte unautorisiert zu gebrauchen, ist das eine heikle Angelegenheit. Die Karte ist dann nicht sicher, was den Haftungsausschluss von PostFinance in Frage stellt. Daher der b\u00f6se Brief, mutma\u00dft der Vortragende. Denn bei einem Test mit Karten von Freunden aus der Schweiz vor einigen Monaten habe sich gezeigt, dass die Karte sicherheitstechnisch immer noch so leicht geknackt werden kann wie 2002. <\/p><\/blockquote>\n<p>Das mag bei einem Diebstahl der Karte durch einen &#8222;einfachen&#8220; Taschendieb zwar kein Problem darstellen, bei Personen mit gr\u00f6sserem technischen Wissen k\u00f6nnte so durchaus ein Sicherheitsproblem entstehen. Wie sich die Postfinance zum Thema \u00e4ussert und wie sicherheitsrelevant die Sache aus ihrer Sicht ist, konnte ich bisher nicht in Erfahrung bringen, aber ich bleibe nat\u00fcrlich dran&#8230;<\/p>\n<p>(Danke <a href=\"http:\/\/www.formosa.ch\/\" target=\"_blank\" >mds<\/a> f\u00fcr den Hinweis in den <a href=\"http:\/\/bloggingtom.ch\/archives\/2006\/12\/24\/frohliche-weihnachten\/#comment-72612\" target=\"_top\" >Kommentaren<\/a>!)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Vortrag &#8222;A not so smart card&#8220; am 23rd Chaos Communication Congress hat bei der Schweizerischen Post bzw. Postfinance, die die &#8222;Postcard&#8220; herausgibt, offenbar bereits im Vorfeld f\u00fcr Wirbel gesorgt. So hatte man dem Redner am 14. Dezember einen Brief geschickt, in dem er aufgefordert wurde, bloss keine Unwahrheiten zu behaupten, denn die Postcard sei [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[10],"tags":[],"class_list":["post-1297","post","type-post","status-publish","format-standard","hentry","category-nachgefragt"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.1.1 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Wie sicher ist die Postcard? - BloggingTom<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"BloggingTom\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"2\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/\"},\"author\":{\"name\":\"BloggingTom\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\"},\"headline\":\"Wie sicher ist die Postcard?\",\"datePublished\":\"2006-12-29T19:28:50+00:00\",\"dateModified\":\"2006-12-29T19:35:25+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/\"},\"wordCount\":443,\"commentCount\":5,\"publisher\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\"},\"articleSection\":[\"Nachgefragt\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/\",\"url\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/\",\"name\":\"Wie sicher ist die Postcard? - BloggingTom\",\"isPartOf\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#website\"},\"datePublished\":\"2006-12-29T19:28:50+00:00\",\"dateModified\":\"2006-12-29T19:35:25+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/bloggingtom.ch\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Wie sicher ist die Postcard?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#website\",\"url\":\"https:\/\/bloggingtom.ch\/blog\/\",\"name\":\"BloggingTom\",\"description\":\"Die t\u00e4glichen Abenteuer im Cyberspace...\",\"publisher\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/bloggingtom.ch\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":[\"Person\",\"Organization\"],\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\",\"name\":\"BloggingTom\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g\",\"caption\":\"BloggingTom\"},\"logo\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/\"},\"sameAs\":[\"http:\/\/bloggingtom.ch\"],\"url\":\"https:\/\/bloggingtom.ch\/blog\/archives\/author\/bloggingtom\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Wie sicher ist die Postcard? - BloggingTom","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/","twitter_misc":{"Verfasst von":"BloggingTom","Gesch\u00e4tzte Lesezeit":"2\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/#article","isPartOf":{"@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/"},"author":{"name":"BloggingTom","@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c"},"headline":"Wie sicher ist die Postcard?","datePublished":"2006-12-29T19:28:50+00:00","dateModified":"2006-12-29T19:35:25+00:00","mainEntityOfPage":{"@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/"},"wordCount":443,"commentCount":5,"publisher":{"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c"},"articleSection":["Nachgefragt"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/","url":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/","name":"Wie sicher ist die Postcard? - BloggingTom","isPartOf":{"@id":"https:\/\/bloggingtom.ch\/blog\/#website"},"datePublished":"2006-12-29T19:28:50+00:00","dateModified":"2006-12-29T19:35:25+00:00","breadcrumb":{"@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/12\/29\/wie-sicher-ist-die-postcard\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/bloggingtom.ch\/blog\/"},{"@type":"ListItem","position":2,"name":"Wie sicher ist die Postcard?"}]},{"@type":"WebSite","@id":"https:\/\/bloggingtom.ch\/blog\/#website","url":"https:\/\/bloggingtom.ch\/blog\/","name":"BloggingTom","description":"Die t\u00e4glichen Abenteuer im Cyberspace...","publisher":{"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/bloggingtom.ch\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":["Person","Organization"],"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c","name":"BloggingTom","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g","caption":"BloggingTom"},"logo":{"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/"},"sameAs":["http:\/\/bloggingtom.ch"],"url":"https:\/\/bloggingtom.ch\/blog\/archives\/author\/bloggingtom\/"}]}},"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/pa6Ev-kV","jetpack_likes_enabled":true,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/posts\/1297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/comments?post=1297"}],"version-history":[{"count":0,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/posts\/1297\/revisions"}],"wp:attachment":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/media?parent=1297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/categories?post=1297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/tags?post=1297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}