1 / 18

Bezahlen im Internet: Geldkarte

Bezahlen im Internet: Geldkarte. Oliver Vornberger Fachbereich Mathematik/Informatik Universität Osnabrück 49069 Osnabrück oliver@uos.de. electronic cash. POZ. Kreditkarte. Geldkarte. à la card. PIN Online garantiert 0,3 % . Unterschrift Online nicht garantiert 10 Pf .

leanne
Télécharger la présentation

Bezahlen im Internet: Geldkarte

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezahlen im Internet: Geldkarte Oliver Vornberger Fachbereich Mathematik/Informatik Universität Osnabrück 49069 Osnabrück oliver@uos.de

  2. electronic cash POZ Kreditkarte Geldkarte à la card PIN Online garantiert 0,3 % Unterschrift Online nicht garantiert 10 Pf Unterschrift Online garantiert 5 % Chip Batch garantiert 0,3 %

  3. Spur 1: read only 79 • 6 Bit Konto-Nr, Name, ... Spur 2: read only 40 • 4 Bit Konto-Nr, Verfallsdatum,... Spur 3: read/write 107 • 4 Bit Fehlbedienungszähler 3 Offsets Ec-Karte

  4. Bankleitzahl Kontonummer Kartenfolgenummer 12345678 1234567890 1 DES-Algorithmus mit Institutsschlüssel 56 Bit 3EA2B79853C41FD6 1217 Altes ec-PIN-Verfahren (eigenes Institut) Umwandlung in 4 Dezimalzahlen ohne führende Null PIN

  5. Bankleitzahl Kontonummer Kartenfolgenummer 12345678 1234567890 1 DES-Algorithmus mit Poolschlüssel 56 Bit 21AF9C1234CD3976 0592 + 1725 = 1217 Pool-PIN Offset PIN Altes ec-PIN-Verfahren (fremdes Institut) Umwandlung in 4 Dezimalzahlen mit führender Null

  6. Schwächen des alten ec-PIN-Verfahrens • Schlüssellänge • Gefährdeter Poolschlüssel • Fehlbedienungszähler auf Karte • Ungleichverteilung von PIN-Ziffern

  7. Zweites, drittes, viertes Zeichen: Hex-Symbol 0 1 2 3 4 5 6 7 8 9 A B C D E F PIN-Ziffer 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 Erstes Zeichen: Hex-Symbol 0 1 2 3 4 5 6 7 8 9 A B C D E F PIN-Ziffer 1 1 2 3 4 5 6 7 8 9 1 1 2 3 4 5 Verteilung der PIN-Ziffern typische PIN  [1]  [0..5]  [0..5]  [0..5]  1 • 6 • 6 • 6 = 216 Möglichkeiten  bei 3 Versuchen beträgt die Trefferwahrscheinlichkeit statt 1:3000 nur noch 1:72

  8. Gerichtsurteile • Wer haftet bei Mißbrauch einer entwendeten Karte ? • Amtsgericht Darmstadt, 24.2.1989,Ingeborg Winter gegen Dresdner Bank:Der Sachverständige Pausch, an dessen Sachkunde das Gericht keinerlei Zweifel hat, hat bei einem Versuch, bei welchem ihm 7 verschiedene Scheckkarten mit 5 bekannten und zwei unbekannten Geheimnummern zur Verfügung standen, mittels eines Heimcomputers binnen 8,5 Stunden Rechnerzeit die Geheimnummer errechnen können. • Die Beklagte wird verurteilt, an die Klägerin 900 DM nebst 4% Zinsen zu zahlen.

  9. Neues ec-PIN-Verfahren (ab 1997) • PIN-Generierung: • würfeln oder wählen • PIN-Verifizierung: • Kein Poolschlüssel mehr im Automat • Eingabe der PIN • Onlineverbindung zum Institutsserver • dort Triple-DES unter Verwendung von PIN, Kartendaten, 2 x 128 Bit-Schlüssel • Vergleich mit Referenzwert auf Karte • Fehlversuchszähler nicht mehr auf Karte

  10. Chip 21 mm2 Geldkarte • CPU 8 Bit 3.5 MHZ • ROM 32 K Betriebssystem • EEPROM 16 K Anwendung (Geldkarte, Fahrausweis, ...) • RAM 1 K Arbeitsspeicher

  11. Geldkarte: Konten • Zähler Karte aktueller Saldo • Girokonto Bank Karten-Nr, Pers-Daten • Schattenkonto Evidenzzentrale aktueller Saldo • Börsen- Bank Summe allerverrechnungs- KartensaldenKonto

  12. Geldkarte: Ablauf

  13. Terminal Chipkarte x y x Challenge Response Zufallszahl x y := DESBANK ( ) ?= DESBANK ( ) Problem: alle Karten enthalten globalen Schlüssel BANK

  14. Terminal Chipkarte k x x y Challenge Response mit lokalem Schlüssel Kartennummerk lokal := DESMaster( ) vorberechneter Schlüssellokal Zufallszahlx y := DESlokal ( ) ?= DESlokal ( )

  15. Geldkarte: reklamieren • Karte merkt sich die letzten 3 Ladeaktionen • die letzten 15 Bezahlvorgänge • Nach Ablauf der Laufzeit kann Guthaben erstattet werden. • Nach Anforderung des Kunden darf die Evidenz-Zentrale den Saldo an die Bank melden. • Auch bei weißen Karten ist Erstattung möglich, da auch ein Schattenkonto geführt wird.

  16. Cashmouse • zertifiziert vom ZKA • Java-fähiger Web-Browser • vorher Software installieren • zum Shoppen zur Web-Seite des Händlers • zum Zahlen zur Web-Seite des Händlerkartenservers • Java-Applet laden, Kommunikation in HTTP, SSL • http://www.scard.de/shop/sh.htm

  17. C:/CashmouseProtokoll • 20.04.2001 13:21:33 Zahlung Gebucht: EUR 0,05 Rest: EUR 51,08 Empfaenger: Computop Buchungsdatensatz01D1 00 01 67 25 72 90 02 11 00 00 62 9D 80 00 0131 00 00 05 00 00 05 00 51 08 00 01 20 01 04 2013 20 04 14 15 E7 83 57 C1 1F C9 D4 0067 29 20 18 03 00 04 92 92 8D 03 12 00 10 01 0280 45 55 52 01 2A 00 01

  18. Literatur • www.ecash-technologies.com • Chaum, Fiat, Naor Untraceable electronic cash, CRYPTO 1988 • S. Brands Electronic Cash, Chapter 44 in Handbook on Algorithms and Theory of Computation, 1998 • Dresen/Dunne Penny Lane, iX 12/1997 • Rankl/Effing: Handbuch der Geldkarten • Sparkassenverlag: Verfahrensbeschreibung zum Geldkarte-System • H.-B. Beykirch: Chipgeld iX, 12/1998

More Related