Diskussion:Contact EMV

"V PAY ist eine neue - von Visa Europe entwickelte – europäische Chip- und PIN-basierte Bankkarte (in Deutschland häufig "ec-Karte" genannt)." (http://www.vpay.com/de/main.html) Hier geht es um die Einführung eines neuen, europäischen Debitkarten-Systems von VISA, welches ausschließlich Chip-basiert funktioniert und somit auch keinen Magnetstreifen mehr auf der Karte führt.

V PAY ist nicht die generelle Umstellung auf EMV-Chip-Karten und insbesondere handelt es sich hier nicht um Kreditkarten.--Konterbande - 2. Jan. 2009

Es ist meiner Meinung nach nicht ausreichend gewuerdigt worden, dass durch die Einfuehrung des EMV-Chips sich das Risiko eines Betruges vom Haendler auf den Kunden verschiebt. Wurden in der Vergangenheit Zahlungen allein durch die Vorlage der Karte (und eventuell Auslesens des Magnetstreifens) und eine Unterschrift des Karteninhabers authorisiert, ist heute eine PIN erforderlich. Dies fuehrt dazu, das ein "persoenlicher Schluessel" (die Unterschrift) durch einen "unpersoenlichen Schluessel" (die willkuerlich von der Bank vergebenen PIN) ersetzt wird. Waehrend in der Vergangenheit die Haendler es unterliessen, die Validitaet der Unterschrift ausreichend zu pruefen (z.B. durch Vorlage eines Ausweises etc), reicht es heute, eine 4-stellige PIN einzugeben, die nichts aber auch gar nichts mit dem Kunden zu tun hat (dass jemand die PIN weiss, heisst noch lange nicht, dass diese Person auch berechtigt ist, diese Karte zu nutzen). Wenn Mike Tyson mit einer Kreditkarte von Mutter Theresa bezahlen will und die PIN weiss, wird die Transaktion durchgefuehrt. Es wird ja nicht mal mehr der Name oder das Geschlecht (Karte auf eine Frau ausgestellt, aber ein Mann kauft ein) geprueft.. Allein die PIN genuegt. Der Haendler sieht ja nicht mal mehr die Karte, da der Kunde sie selbst in das PIN-Terminal einschiebt und die PIN eingibt. Den Schaden hat im Zweifelsfalle der Kunde, da die PIN wahrscheinlich auf der KArte stand...(ok.. der letzte Satz war purer Zynismus). mfg Bang Olafson, 16/07/2009 (nicht signierter Beitrag von 213.163.193.226 (Diskussion | Beiträge) 14:39, 16. Jul 2009 (CEST))

Es hat einen einfachen Grund, weshalb die oben angesprochene Würdigung nicht erfolgt ist: Es ist in zweifacher Form schlicht falsch!

1.) Die Einführung des EMV-Chips ist völlig unabhängig von den zwei verschiedenen Zahlverfahren "Unterschrift-basiert" und "PIN-basiert" zu sehen. Auch zu Zeiten der reinen Magnetkarten gab es beide Varianten. Hierbei handelt es sich um das PIN-gestützte Zahlungsverfahren der Banken, mit der der Händler eine garantierte (weil autorisierte) Zahlung erhielt für die er eine Gebühr entrichten muss; gesichert durch eine Geheimnummer (PIN), die nur der Kunde selber kennen kann. Alternativ wählt der Handel gerne das Elektronische LastschriftVerfahren (ELV) beim dem die Unterschrift des Kunden ausreicht. Hier erfolgt keine Autorisierung über eine Online-Anfrage bei der Bank, die Zahlung ist damit nicht garantiert und der Händler zahlt entsprechend auch keine Gebühr. Diese Variante zieht sich nur die Daten des Kunden vom Magnetstreifen und der Händler veranlasst eine "normale", durch die Unterschrift erlaubte Lastschrift; vom Kunden jederzeit innerhalb von 6 Wochen zurückgebbar. Somit entscheidet sich DER HÄNDLER für eine der zwei Zahlungsvarianten, indem er Risiko (Rücklastschrift) gegen Kosten (Gebühr für Zahlungsgarantie) abwägt.

2.) Die Unterschrift, die jeder lesen kann (der die Karte stiehlt oder findet), die jeder zu Hause in Ruhe oder auch mal schnell im Bushäuschen üben kann, die selbst vom richtigen Eigentümer geschrieben immer mal anders aussehen kann und die entsprechend unkritisch vom Handel überprüft wird ist nicht sicherer als die GEHEIMzahl. Die oben bemängelte "Unpersöhnlichkeit" der PIN ist ein weiterer Sicherheitsaspekt dieses Systems, denn sie kann entsprechend nicht erraten werden oder ähnliches. Die PIN ist nur dem Kunden bekannt, weder Mike Tyson noch Mutter Theresa. Es sei denn der Kunde teilt ihnen seine persönliche Geheimnummer mit. Und wenn er dieses tut ... dann kann ihm wohl auch nicht mehr geholfen werden - dann will er ausgeraubt werden und könnte Herrn Tyson oder Frau Theresa auch direkt das Bargeld in die Hand drücken und noch eine gute Reise wünschen.

Ich hoffe, ich bin bei meiner Antwort nicht zu zynisch geworden. ;-) In der Regel wird die Auffassung, dass die allen ersichtliche Unterschrift auf der Karte gegenüber der geheimen PIN sicherer ist, vom Handel und entsprechender Lobby getragen und propagiert (ob sie es selber wirklich glauben bezweifle ich ernsthaft), um den ELV zu erhalten bzw. zu unterstützen. Der Handel kämpft seit langem gegen die Gebühren beim PIN-Verfahren und hat nunmehr mit Einführung von sichereren Chip-Transaktionen anscheinend auch das Problem, dass die bisherigen ELV-Datenauslesungen der Karten aufgrund einer einhergehenden, veränderten Magnetstreifenbeschriftung zumindest erschwert werden. --Konterbande 16:58, 24. Jul. 2009 (CEST)Beantworten

Errm... ich moechte hier noch einmal auf persoenliche und unpersoenliche Schluessel und deren Sicherheitsaspekte eingehen... Wir sind uns einig, dass Passwoerter und PINs etc unpersoenliche Sicherheitsmerkmale sind, also willkuerlich vergeben werden und zufaellig sein sollten. Darueber hinaus gibt es die persoenlichen Merkmale, die an eine bestimmte Person gekoppelt sind. Beispiele hier sind Unterschrift, Foto, Fingerabdruck, Stimme etc. Es wurde angefuehrt, dass die Unpersoenlichkeit einer PIN ein Sicherheitsmerkmal sei. Ich bezweifle das. Die Unpersoenlichkeit fuehrt dazu, dass eine korrekt eingegebene PIN zu keiner weiteren Ueberpruefung fuehrt. Sie wird als unfehlbar und korrekt akzeptiert. Niemand wuerde die Legitimitaet einer Karte-Kunde-Kombination infrage stellen, wenn die PIN stimmt. Weder die Herkunft der Karte (z.B. gestohlen oder gefaelscht/dupliziert) oder die Herkunft der PIN (erspaeht, durch Skimming oder "Social Engineering" erlangt oder einfach nur erraten) wird hinterfragt. Als Kunde, der unverschuldet Opfer eines Kartenmissbrauches (unverschuldet= PIN wurde ausgespaeht oder durch Skimming erlangt, Karte wurde entweder gestohlen oder beim Skimming kopiert, PIN wurde NICHT auf der Karte oder in der Naehe notiert und die Karte wurde auch nicht fahrlaessig irgendwo zum Diebstahl "angeboten") geworden ist, sieht sich mit dem FAKT (es ist unstreitig ein Fakt, also nicht ironisch gemeint) konfrontiert, dass (s)eine Karte mit SEINER korrekten PIN benutzt wurde. Wie soll er beweisen, dass er das nicht war?

Bei persoenlichen Schluesseln laesst sich eine Faelschung wenigstens (hoffentlich) nachweisen, da der unterschiebene Beleg vorgelegt werden kann und die Unterschriften verglichen werden koennen. Ja, eine Unterschrift als einzelnes Merkmal ist recht duerftig. Allerdings in Kombination mit einem 2. persoenlichen Merkmal (Foto?) weitaus sicherer, als jede PIN/Passwort-Kombination.

Und noch einmal... die Sicherheitsrisiken durch eine mangelnde Unterschriftskontrolle der Einzelhaendler (die mit Sicherheit bestehen/bestanden und dringend haetten beseitigt werden muessen) sind hier zulasten der Sicherheit der KUNDEN korrigiert worden.

Noch eine Klarstellung: Mir geht es hier nicht speziell um den ELV, sondern besonders um Kreditkarten (Visa, Mastercard etc). Die mit dem ELV verbundenen Probleme (fehlende Deckung, Widerspruch etc) rechtfertigt moeglicherweise das PIN-Verfahren hier... dies gilt jedoch nicht bei Kreditkarten, wo man z.B. in Irland und UK nur noch mit PIN bezahlen kann. Europaweit soll das bis 2011 eingefuehrt werden. Dann kann man nicht mehr "mit seinem guten Namen" sondern nur noch mit seiner (hoffentlich eigenen) PIN bezahlen).

mfg Bang Olafson 17/08/09 (nicht signierter Beitrag von 213.163.193.226 (Diskussion | Beiträge) 12:21, 17. Aug. 2009 (CEST)) Beantworten

EMV ist inzwischen "geknackt". http://www.heise.de/newsticker/meldung/PIN-Pruefung-im-EMV-Verfahren-bei-EC-und-Kreditkarten-ausgehebelt-929528.html mfg Bang Olafson (nicht signierter Beitrag von 109.78.129.67 (Diskussion | Beiträge) 11:47, 13. Feb. 2010 (CET)) Beantworten

Nein, EMV ist nicht geknackt, auch wenn das die Medien suggerieren. Leider haben die Medien keine Ahnung vom EMV-Standard. Die aktuelle Version des Standards erwartet seit ca. 2 Jahren, dass der Chip einen Check der empfangenen Daten durchführt. Dabei würde der Chip erkennen, dass der PIN-Block eben nicht bereits geprüft wurde. Selbiges läuft in Gegenrichtung zum Terminal ab. Der gezeigte Angriff ist nur wegen Übergangsfristen bzgl. des Chip-OS Secos v5 (noch) möglich. Mit Secos v6 läuft der Angriff ins Leere. Ich habe bereits den Artikel ergänzt. Leider hat die Truppe um Steven Murdoch meine Anmerkungen zum Hack zwar dankend entgegen genommen aber immer noch nicht ins Paper eingearbeitet. :( --AndreasKirsch 11:15, 24. Aug. 2010 (CEST)Beantworten

Kannst du für deine Aussage, dass der Fehler behoben sei, Quellen nennen? Während sich der Hinweis auf die Sicherheitslücke im Artikel auf eine wissenschaftliche Veröffentlichung stützt, ist deine darauf folgende Relativierung des Problems völlig unbelegt. --87.186.18.44 19:08, 27. Dez. 2010 (CET)Beantworten

Wie wäre es, wenn Du dem Hinweis auf die Spezifikation (Common Payment Application Specification) folgst und diese dann auch noch liest? Wer diese Spezifikation nicht erfüllt bekommt für sein Gerät keine Zulassung. Die selbe Spec ist 1:1 ins Deutsche übersetzt worden und in Deutschland dank Absegnung des ZKA für alle Hersteller verbindlich. Du kannst also sofort beim Bankenverlag/ZKA nachfragen, die werden Dir die angeführten Fakten nochmal bestätigen. Möchtest Du vielleicht auch noch meinen Mail-Verkehr mit Herrn Murdoch nachlesen? Was zum Geier willst Du denn noch für eine Quelle haben, die Du für relevant hältst? Ich entferne dann mal vorsorglich für Dich diesen albernen Wartungbaustein... Ergänzung zum Nachlesen beim ZKA! --- AndreasKirsch 21:53, 4. Jan. 2011 (CET)Beantworten

Das ist doch völlig egal, was in Deutschland verbindlich ist. Der Angreifer fährt mal schnell mit den geklauten Karten nach Frankreich rüber, denn dort funktioniert der Angriff! Und der Karteninhaber ist wegen der PIN in der Haftung. EMV ist ein globales System und keine Erfindung des ZKA. Was ist daran nicht zu begreifen? --92.224.140.44 04:26, 5. Jan. 2011 (CET)Beantworten

Ich muss der IP hier mal beipflichten, dass das Problem noch lange nicht behoben ist. Der Angriff funktioniert nach wie vor. Habe letztens erst wieder bei telepolis/heise einen Artikel dazu gelesen...

http://www.heise.de/tp/blogs/8/148994, Printversion

Gelöst ist das Problem wohl kaum, wenn Banken bitten, die Veröffentlichung des Problems zu unterlassen, weil man "damit die Sicherheit des Geldverkehrs gefährden würde". --Juliabackhausen 10:46, 5. Jan. 2011 (CET)Beantworten

Telepolis gilt also neuerdings als verlässliche Quelle? Nebenbei bemerkt möchte ich nochmals darauf hinweisen, dass diese angeblich seriösen Forscher trotz ihrer Zusicherung Anfang 2010 ihr Paper immer noch nicht aktualisiert haben.

EMV gilt, wie die IP richtig bemerkt hat, international. Somit gilt also auch die von mir genannte Common Payment Application Specification, die zu EMV dazu gehört. Der angeblich entdeckte Fehler ist kein Fehler in EMV sondern in der Implementierung eines Herstellers. Für andere Länder existiert das Problem nur bei Verwendung und Zulassung aufgrund völlig veralteter EMV-Spezifikationen oder bei fehlerhafter Umsetzung. Mastercard und Maestro sind davon sowieso nicht betroffen, da diese die EMV-Spec vollständig umsetzen und auch die Funktionalität des Karten-OS vorgeben. Das Problem hat für Deutschland bis, sofern ich mich recht entsinne, 2004 bestanden.

Übrigens ist es Usus, dass Forscher und Forensiker gebeten werden Sicherheitslücken nicht zu veröffentlichen so lange keine Lösung für das Problem gefunden wurde (Stichwort Zero-Day-Exploit). Das wird tagtäglich im Bereich von Software genauso praktiziert und hat rein gar nichts mit von Telepolis propagierten Maulkörben oder ähnlichem zu tun. Jedes Jahr werden auf der BlackHat Vorträge abgekündigt eben weil sie weitreichende und teilweise unabsehbare Folgen für die Infrastruktur von ganzen Staaten haben.

Zur Masterarbeit. Die beginnt schon mit stark verfälschend gekürzten Aussagen, die man im Grunde nur als Lügen bezeichnen kann. Murdoch hat keinen Fehler in EMV gefunden sondern einen Fehler in der EMV-Umsetzung bei bestimmten Herstellern. Soweit ich gesehen habe berücksichtigt auch diese Masterarbeit nicht die von mir genannte aktuelle Spec von 2005. Der Autor schreibt selber, dass er im Januar 2010 über die Entfernung des VERIFY-PIN nachgedacht hätte, ohne zu sagen, dass das nach damaliger und auch heute noch gültiger EMV-Spec gar nicht geht. Auch testet er die Geräte, die nach CAP und nicht nach EMV zugelassen sind. Der Test der gesamten Masterarbeit und der Arbeit des Herrn Murdoch erfolgte an einem einzigen und vor allem am selben Real-Life-Terminal in der hauseigenen Cafeteria. Darauf basierend möchte der Autor also Aussagen über EMV treffen? Die gesamte Arbeit entwertet sich doch aufgrund ihrer qualitativen Mängel komplett selber. Was man im Rückschluss von der Qualität der Uni halten kann, an der sowas als Masterarbeit durchgeht überlasse ich jedem selber.

Noch ein Wort zum Thema Sicherheit. Absolute Sicherheit kann und wird es niemals geben. Angriffssicherheit wird in Euro gemessen. In Deutschland gilt nach Vorgabe des ZKA jeder Hack als erfolgreicher Angriff, der mehr als 25.000€ kostet. Sprich, jedes System muss "nur" bis zu einem Wert von 25.000€ gesichert werden. Vor dem Hintergrund relativiert sich automatisch die scheinbare Gefährlichkeit einiger Angriffsvektoren.

Was ist also die Faktenlage?

1. EMV ist nicht gebrochen.
2. Es gibt fehlerhafte EMV-Implementierungen.

-- AndreasKirsch 15:48, 5. Jan. 2011 (CET)Beantworten

Richtig. EMV ist nicht gebrochen. Es gibt fehlerhafte Implementierungen. Dem Kunden ist der Grund, warum sein Konto leer ist, aber letztlich egal, es ist ein Softwarefehler, der zum Verlust von Geld führen kann. Der Artikel sollte darstellen, dass das Problem auch heute noch auftreten kann, mit Quelle. Ferner ist es auch dem Kunden egal, ob die Bank erst einen Schaden oberhalb von 25K€ als erfolgrichen Angriff wertet oder nicht (Quelle?), sein Schaden ist da, und der ist ab dem ersten Cent gegeben. Je nach persönlicher Situation liegt die Schmerzgrenze vielleicht höher, aber jedermanns Schaden dürfte groß genug sein, auch wenn keine 25K€ erreicht sind.–-Juliabackhausen

Okay, halten wir also nochmal fest. Der Wartungsbautein ist bzgl. der Quellenlage überflüssig, da der beschriebene Hack eben nicht EMV gebrochen hat und die Quellenlage bzgl. EMV eindeutig ist. Die Quellenlage bzgl. dem britischen CAP, worauf sich im Endeffekt Murdochs Arbeit wirklich bezieht, auch wenn er anderes behauptet, ist dagegen nicht eindeutig.

Es gibt fehlerhafte EMV-Implementiereungen, was im WP EMV-Artikel vermerkt werden soll. Vor welchen Produkten wir warnen sollen wissen wir nicht. Wir wissen lediglich, dass das Cafeteria-Terminal der University of Cambrigde, das nach CAP zertifiziert wurde (in welchem Jahr?) betroffen ist. Der Hersteller- und Netzbetreibername fehlen in Murdochs Paper. Wie wir diese Problem lösen wollen ist mir nicht klar. Vielleicht hat jemand einen Vorschlag dazu?

Die Information über die 25.000€ für die Angriffssicherheit erhielt ich in 2005 in einem Gespräch mit Dr. Hanke von T-Systems bei einer ZKA-Zulassung. Die Summe ergibt sich aus den Anforderungen in TA 7.0 Kapitel 9. Irgendwo in den Annalen des ZKA ist die Summe sicher auch nochmal separat aufgeführt. Leider habe ich keinen Zugang mehr zu den Dokumenten des Bankenverlages. Wenn einer hier Zugriff hat, kann er ja nochmal nachschauen. Ansonsten könnte die betreffende Person auch mehrere hundert Euro in die Hand nehmen und sich die PDFs vom Bankenverlag schicken lassen... -- AndreasKirsch 13:48, 6. Jan. 2011 (CET)Beantworten

Auf den ec-Karten-Belegen finden sich etliche Daten aufgedruckt. Unter EMV-Daten finden sich dann Daten wie die der folgenden Beispiele von völlig verschiedenen EC-Karten:

8000048000/6800/0400000000/F850ACF800/FC50ACA000/020300
0000000000/E800/0400000000/F850ACF800/FC50ACA000/440302
0000008000/E800/0400000000/F850ACF800/FC50ACF800/410302

Ich habe die Stichwörter Autorisierungsmerkmal, Autorisierungskennzeichen gefunden. Die Terminal Action Codes (Denial, Online, Default) sollen jeweils 5 Byte groß sein, das könnte den dritten bis fünften Block erklären. Was heißt das jetzt genau? Und was bedeuten die anderen Blöcke? --Juliabackhausen

Das sind die Autorisierungsmerkmale/Autorisierungskennzeichen. Ich zitiere mal TA 7.0 Kapitel "4.2.13.2.8 Autorisierungsmerkmal":

Das Autorisierungsmerkmal wird nur dann ausgedruckt, wenn die Transaktion durch den Kartenausgeber bei einer Online-Kommunikation genehmigt wurde, das electronic cash-Terminal also eine korrekte Antwortnachricht mit Antwortcode 00 erhalten hat.

In diesem Fall wird das Autorisierungskennzeichen aus BMP 38 (electronic cash EMV- und electronic cash Spur 2-Transaktionen) bzw. aus BMP 59 (electronic cash ecc- und electronic cash Spur 3-Transaktionen) der Antwortnachricht mit der Legende "Autorisierungsmerkmal:" auf dem Kundenbeleg ausgedruckt.

Anderenfalls wird weder das Autorisierungskennzeichen noch die Legende ausgedruckt.

-- AndreasKirsch 16:54, 5. Jan. 2011 (CET)Beantworten

TA 7.0 ---> Technischer Anhang 7.0 ---> Kann ich den irgendwo im Internet finden? - Danke. --Juliabackhausen 11:41, 6. Jan. 2011 (CET)Beantworten

Ja, beim Bank-Verlag. Du brauchst allerdings ein BV Corporate Banking Login, dass nicht gerade billig ist. Wie die ISOs ist auch keine einzige ZKA-Spec kostenlos im Netz erhältlich. -- AndreasKirsch 13:45, 6. Jan. 2011 (CET)Beantworten

Die Aussage, der Angriff funktioniere bei Mastercard nicht, ist definitiv falsch. Vom Blog eines der Autoren: "Newnight (sic) filmed both Visa and Mastercard transactions, and we used a different card on each shot (to get a representative survey). Every single test worked." Der Fehler liegt auch nicht bei dem Betriebssystem der Karte, sondern in der Umsetzung eines vom EMV-Standard erlaubten, aber unsicheren Verfahrens. --Mario d 12:28, 29. Apr. 2011 (CEST)Beantworten

Ich denke das könnte einige hier interessieren:

http://streaming.media.ccc.de/relive/6120/ (Vorabmitschnitt)

http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2504/original/presentation_2014.pdf --RipperFox (Diskussion) 04:14, 28. Dez. 2014 (CET)Beantworten

nach WP:WEB sollten keine unterseiten kommerziellen webseiten verlinkt werden. --Mario d 17:41, 25. Apr. 2012 (CEST)Beantworten

Hierzu gibt es leider noch keinen eigenen Abschnitt. (nicht signierter Beitrag von 84.146.252.211 (Diskussion) 12:25, 30. Nov. 2012 (CET))Beantworten

Beim Einführen in den Schlitz eines Bankautomaten wohl wie üblich durch Kontaktstifte. Und dann kenne ich das optische Verfahren, was hier wohl keine Anwendung findet. Das Magnetverfahren soll hier zur Anwendung kommen, wie kann ich mir das vorstellen? Welche Entfernungen können hier überbrückt werden? Ist da Hochfrequenz im Spiel, oder Induktion? Die Frequenz?? Kann man mit einem starken Magneten das Ganze beeinflussen, oder die Karte zerstören? Und wie schütze ich mich, wenn die Karte in meiner Geldbörse mittels Magnetsystem ausgelesen wird? Dann soll das Ganze ja ein Chip sein, der mit Strom funktioniert. Ist da ein Akku drin, oder wird der Strom mit Induktion übertragen? Alles Fragen, wo es in diesem Artikel leider keine Antworten gibt. --Voss-seligenstadt (Diskussion) 12:11, 8. Dez. 2018 (CET)Beantworten