Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Gemalto-Chef schließt Austausch von…

Softwareupdate der Karten?

  1. Thema

Neues Thema Ansicht wechseln


  1. Softwareupdate der Karten?

    Autor: FragendeF 07.01.10 - 12:35

    Ist denn ein Update der Karten überhaupt möglich?
    Ich dachte immer die Karten seien "manipulationssicher".

  2. Re: Softwareupdate der Karten?

    Autor: Narv 07.01.10 - 12:39

    Dachte ich auch als ich das gelesen hab

    naja vllt gibts ja bald irgendeinen inoffiziellen jailbreak xD
    dann kann man sich minigames und apps draufladen ^^

  3. Re: Softwareupdate der Karten?

    Autor: DasGute 07.01.10 - 13:02

    mit dem richtigen Schlüssel lassen sich die Karten auch beschreiben im gegensatz zu Magnetsreifen die sich immer beschreiben und manipulieren lassen.

    Würde sich der Chip nicht beschreiben lassen könnte die Bank ja nicht deine Daten auf diesem speichern

  4. Re: Softwareupdate der Karten?

    Autor: Vorteile nutzen 07.01.10 - 13:06

    Wenn man die Karten nachträglich ändern kann, stellt sich die Frage, ob der ZKA diese überhaupt für Bankgeschäfte zertifizieren darf.

    Bei ATMEL-Karten gibts auch ein Bit bzw. Flag, so das das Eprom auf der Chipkarte nicht mehr ausgelesen werden kann. Das war als Kopierschutz für die Software gedacht.
    Früher hatten Mainboards auch Jumper als Schutz gegen BIOS-überschreiben.
    Für das Schreiben der Maestro-Karten-Firmwares müsste es auch so einen Schutz geben, der nicht mehr enfernbar ist.

    Bei HBCI mit Karte muss man ja selber teure Lesegeräte mit eigener Tastatur und Schnick-Schnack kaufen. Damit keiner automatisch mit manipulierten Geldkarten oder nachgemachten Maestro-Karten oder sonstwie sein Konto auffüllt.

    Aber bei EC-Automaten und eigenen EC-Karten ist Sicherheit anscheinend nicht so wichtig. Der BGH hat ja wohl beschlossen, das man normalerweise selber schuld sein soll.

    Mit solchen unbrauchbaren Programmier-Vorbildern kann man eigentlich alle Bruce Schneier Bücher ins Altpapier packen.
    Und diese Franzosen sind sicher stolz auf ihre Mathematiker und Informatiker.

  5. Re: Softwareupdate der Karten?

    Autor: Smartcard 07.01.10 - 13:08

    @DasGute

    das ist falsch was Du sagst !
    Ein Chip ist kein Datenträger im Herkömmlichen Sinne.
    Man kann dem Chip (oder eher seinem Betriebssystem) sehr wohl sagen etwas darf nicht mehr verändert werden, da hilft dann auch kein Schlüssel.

    Daß es beschreibbaren Bereiche auf der Karte gibt, bedeutet das nicht automatisch, daß DER GANZE Chip beschreibbar ist.
    Das Betriebssystem entscheidet was und wann beschrieben werden kann.

    Bedenke bitte: Bankkarten sind anders gestrickt als GSM oder PayTV Karten :-)

  6. Re: Softwareupdate der Karten?

    Autor: Tantalus 07.01.10 - 13:23

    DasGute schrieb:
    --------------------------------------------------------------------------------
    > Würde sich der Chip nicht beschreiben lassen könnte die Bank ja nicht deine
    > Daten auf diesem speichern

    WORM anyone?

    Gruß
    Tantalus



    1 mal bearbeitet, zuletzt am 07.01.10 13:23 durch Tantalus.

  7. Das Zauberwort heißt Kryptographie.

    Autor: kirsche40 07.01.10 - 13:27

    Vorteile nutzen schrieb:
    --------------------------------------------------------------------------------
    > Wenn man die Karten nachträglich ändern kann, stellt sich die Frage, ob
    > der ZKA diese überhaupt für Bankgeschäfte zertifizieren darf.
    >
    Das Zauberwort heißt Kryptographie. Wenn sich die neuen Daten gegenüber dem Chip authentisieren können, dann können die Daten auch geschrieben werden. Das Chipkommando heißt UpdateRecord.

    > Bei ATMEL-Karten gibts auch ein Bit bzw. Flag, so das das Eprom auf der
    > Chipkarte nicht mehr ausgelesen werden kann. Das war als Kopierschutz für
    > die Software gedacht.
    > Früher hatten Mainboards auch Jumper als Schutz gegen BIOS-überschreiben.
    > Für das Schreiben der Maestro-Karten-Firmwares müsste es auch so einen
    > Schutz geben, der nicht mehr enfernbar ist.
    >
    Sowas gibt es bei den Karten zurecht nicht. Damit wäre ja jede Art von Manipulation möglich.

    > Bei HBCI mit Karte muss man ja selber teure Lesegeräte mit eigener
    > Tastatur und Schnick-Schnack kaufen. Damit keiner automatisch mit
    > manipulierten Geldkarten oder nachgemachten Maestro-Karten oder sonstwie
    > sein Konto auffüllt.
    >
    Da steckt auch ein bissel andere Logik dahinter als in einer "trivialen" Tastatur oder einem "simplen" Kartenleser.

    > Aber bei EC-Automaten und eigenen EC-Karten ist Sicherheit anscheinend
    > nicht so wichtig. Der BGH hat ja wohl beschlossen, das man normalerweise
    > selber schuld sein soll.
    >
    Falsch. Das BGH hat zu einem speziellen Fall ein Urteil gefällt.

    > Mit solchen unbrauchbaren Programmier-Vorbildern kann man eigentlich alle
    > Bruce Schneier Bücher ins Altpapier packen.
    > Und diese Franzosen sind sicher stolz auf ihre Mathematiker und
    > Informatiker.
    Und Du bist sicher stolz darauf, dass Du hier Dein Unwissen und Deine haltlosen Verdächtigungen zur Schau stellen durftest...

  8. Re: Softwareupdate der Karten?

    Autor: ZiPPo 07.01.10 - 13:37

    Smartcard schrieb:
    --------------------------------------------------------------------------------
    > @DasGute
    >
    > das ist falsch was Du sagst !
    > Ein Chip ist kein Datenträger im Herkömmlichen Sinne.
    > Man kann dem Chip (oder eher seinem Betriebssystem) sehr wohl sagen etwas
    > darf nicht mehr verändert werden, da hilft dann auch kein Schlüssel.
    >
    > Daß es beschreibbaren Bereiche auf der Karte gibt, bedeutet das nicht
    > automatisch, daß DER GANZE Chip beschreibbar ist.
    > Das Betriebssystem entscheidet was und wann beschrieben werden kann.
    >
    > Bedenke bitte: Bankkarten sind anders gestrickt als GSM oder PayTV Karten
    > :-)

    Nee, das ist Qutasch. Natürlich kannst du die Chips neu beschreiben dafür brauchst du aber den Auth.Schlüssel.
    Warum sonst glaubst du wollen sie die Karten über die Automaten patchen wenn das nicht gehen würde.

    Die Frage ist nur ob die Kartenleser aller Automaten auch die Möglichkeit haben die Karten zu beschreiben da nicht in jedem Automat der gleiche Kartenleser/Schreiber verbaut sein dürfte

  9. J/XFS (Java eXtensions for Financial Services)

    Autor: kirsche40 07.01.10 - 14:08

    ZiPPo schrieb:
    > Nee, das ist Qutasch. Natürlich kannst du die Chips neu beschreiben dafür
    > brauchst du aber den Auth.Schlüssel.
    > Warum sonst glaubst du wollen sie die Karten über die Automaten patchen
    > wenn das nicht gehen würde.
    >
    Korrekt!

    > Die Frage ist nur ob die Kartenleser aller Automaten auch die Möglichkeit
    > haben die Karten zu beschreiben da nicht in jedem Automat der gleiche
    > Kartenleser/Schreiber verbaut sein dürfte
    Zauberwort J/XFS. Die Hardware ist dank J/XFS völlig egal.

  10. Re: J/XFS (Java eXtensions for Financial Services)

    Autor: Smartcard 07.01.10 - 15:21

    kirsche40 schrieb:
    --------------------------------------------------------------------------------
    > ZiPPo schrieb:
    > > Nee, das ist Qutasch. Natürlich kannst du die Chips neu beschreiben
    > dafür
    > > brauchst du aber den Auth.Schlüssel.
    > > Warum sonst glaubst du wollen sie die Karten über die Automaten patchen
    > > wenn das nicht gehen würde.
    > >
    > Korrekt!
    >
    > > Die Frage ist nur ob die Kartenleser aller Automaten auch die
    > Möglichkeit
    > > haben die Karten zu beschreiben da nicht in jedem Automat der gleiche
    > > Kartenleser/Schreiber verbaut sein dürfte
    > Zauberwort J/XFS. Die Hardware ist dank J/XFS völlig egal.

    was hat die Schnittstelle mit der Funktionalität eines Chips zu tun ?
    Es ist so, als würde ich sagen "über HTTP kann ich Dateien hochladen, also ist jeder HTTP Server beschreibbar".

    Ob das Patchen funktioniert wird gerade geprüft, ich habe von einem Bekannten von einem großen Kartenhersteller (nein, nicht von Gemalto :-) gehört, daß deren Bankkarten nicht modifizierbar und nicht löschbar sind. Dh. mit deren Karten würde so eine nachträgliche Modifikation gesperrter Dateien (EFs) nicht funktionieren. Das hängt allerdings davon ab, an welcher Stelle der Fehler sitzt.

    Natürlich gibt es Schlüssel die es erlauben eine Karte komplett neu zu beschreiben, es gibt sogar verschiedene Stufen der Authentifikation die unterschiedlichen Zugriff erlauben, zB: zum Löschen, zum Initialisieren, zum Personalisieren oder nur bestimmte Dateien (EFs) ändern usw. Übrigens die allbekannte PIN oder PUK (aus dem GSM Bereich) ist einer davon.

    Das was erlaubt ist bestimmt der Kunde (Banken/Konsortium), wenn der Kunde sagt: bestimmte Stufen der Authentifikation sollen abgeschaltet werden, dann - sofern der Hersteller das korrekt umsetzt - sind sie es dann auch.

    Ich hoffe für Gemalto, daß sie diese "Hintertür" nicht gegen des Kundenwillen offen gelassen haben, auch wenn sie in diesem Fall bares Geld sparen kann, so muss der Hersteller danach ein paar unangenehme Fragen beantworten.

    Andere Möglichkeit ist es, durch ein Workaround das gewünschte Verhalten zu erreichen, das muss nicht unbedingt bedeuten der Chip wird 100% "repariert", sondern evtl eine andere Kleinigkeit auf dem Chip abgeschaltet damit ein Nebeneffekt ausgenutzut und daraus entstehende Funktionseinschränkung in Kauf genommen. Das wissen aber nur die betroffenen Entwickler.

  11. Re: J/XFS (Java eXtensions for Financial Services)

    Autor: kirsche40 07.01.10 - 16:33

    Smartcard schrieb:
    --------------------------------------------------------------------------------
    > kirsche40 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > Die Frage ist nur ob die Kartenleser aller Automaten auch die
    > > Möglichkeit
    > > > haben die Karten zu beschreiben da nicht in jedem Automat der gleiche
    > > > Kartenleser/Schreiber verbaut sein dürfte
    > > Zauberwort J/XFS. Die Hardware ist dank J/XFS völlig egal.
    >
    > was hat die Schnittstelle mit der Funktionalität eines Chips zu tun ?
    > Es ist so, als würde ich sagen "über HTTP kann ich Dateien hochladen,
    > also ist jeder HTTP Server beschreibbar".
    >
    Die Schnittstelle ermöglicht das Ansprechen der HW über eine genormte API. Da ist der Kartenleser drunter gerade mal egal, da auch die Chipkommandos genormt sind.

    > Ob das Patchen funktioniert wird gerade geprüft, ich habe von einem
    > Bekannten von einem großen Kartenhersteller (nein, nicht von Gemalto :-)
    > gehört, daß deren Bankkarten nicht modifizierbar und nicht löschbar sind.
    > Dh. mit deren Karten würde so eine nachträgliche Modifikation gesperrter
    > Dateien (EFs) nicht funktionieren. Das hängt allerdings davon ab, an
    > welcher Stelle der Fehler sitzt.
    >
    Und ich kann Dir sagen, dass es eine Lösung für das Problem gibt. Wenn Dein Bekannter die nicht kennt ist das sein Problem. Er kann die Lösung ja dann wo anders einkaufen. ;)

    > Ich hoffe für Gemalto, daß sie diese "Hintertür" nicht gegen des
    > Kundenwillen offen gelassen haben, auch wenn sie in diesem Fall bares
    > Geld sparen kann, so muss der Hersteller danach ein paar unangenehme
    > Fragen beantworten.
    >
    Es handelt sich nicht um eine Hintertür. Das Problem wird typischer Weise mittels UpdateRecord gelöst.

    > Andere Möglichkeit ist es, durch ein Workaround das gewünschte Verhalten
    > zu erreichen, das muss nicht unbedingt bedeuten der Chip wird 100%
    > "repariert", sondern evtl eine andere Kleinigkeit auf dem Chip
    > abgeschaltet damit ein Nebeneffekt ausgenutzut und daraus entstehende
    > Funktionseinschränkung in Kauf genommen. Das wissen aber nur die
    > betroffenen Entwickler.
    Workaround ist das Zauberwort. Abgeschalten wird rein gar nix. Und mehr wird nicht verraten. ;)

  12. Re: J/XFS (Java eXtensions for Financial Services)

    Autor: Vorteile nutzen 07.01.10 - 17:23

    kirsche40 schrieb:
    --------------------------------------------------------------------------------

    > > Die Frage ist nur ob die Kartenleser aller Automaten auch die
    > Möglichkeit
    > > haben die Karten zu beschreiben da nicht in jedem Automat der gleiche
    > > Kartenleser/Schreiber verbaut sein dürfte
    > Zauberwort J/XFS. Die Hardware ist dank J/XFS völlig egal.

    Eproms und Chips mit 8051 u.ä. Sachen wie Atmel u.ä. werden teilweise mit höherer Spannung geschrieben. DVDs werden auch mit stärkerem Laser gebrannt als gelesen.
    Von daher muss eine Programmierung nicht unbedingt mit jedem Leser möglich sein.
    Oder nur Teile der Daten sind mit geringerer Spannung schreibbar und die Firmware zu programmieren braucht höhere Spannungen.

    Normalerweise patcht man auch nicht an der Firmware herum. Ein Upgrade-Mechanismus ist sinnvoll und würde ich als Bank auch fordern. Aber das kann durchaus an speziellen Automaten oder Lese-Geräten erfolgen.

    Auch wären die Krypto-Fähigkeiten der Chips interessant. Dann könnte man sie umprogrammieren und mit freien Firmwares als SmartCard für Windows oder Truecrypt nutzen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universität Paderborn, Paderborn
  2. ITEOS, Karlsruhe
  3. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  4. TÜV SÜD Gruppe, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-75%) 3,75€
  3. 26,99€
  4. 1,19€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  2. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch
  3. Handheld Nintendo stellt die Switch Lite für unterwegs vor

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

  1. Windows 10: Windows-Defender-Dateien werden als fehlerhaft erkannt
    Windows 10
    Windows-Defender-Dateien werden als fehlerhaft erkannt

    Der System File Checker in Windows 10 markiert neuerdings Dateien des Windows Defender als fehlerhaft. Der Bug ist auch Microsoft bekannt. Das Problem: Die neue Version des Defenders verändert im Installationsimage verankerte Dateien. Der Hersteller will das mit einem Update von Windows 10 beheben.

  2. Keystone: Mechanische Tastatur passt Tastendruckpunkte den Nutzern an
    Keystone
    Mechanische Tastatur passt Tastendruckpunkte den Nutzern an

    Die auf Kickstarter finanzierte Keystone ist eine mechanische Tastatur mit Hall-Effekt-Schaltern. Diese können die Druckstärke registrieren. Eine Software ermöglicht es der Tastatur, das Tippverhalten der Nutzer zu analysieren und Druckpunkte entsprechend anzupassen.

  3. The Witcher: Erster Netflix-Trailer mit Geralt, Ciri, Triss und Striegen
    The Witcher
    Erster Netflix-Trailer mit Geralt, Ciri, Triss und Striegen

    Netflix stellt den ersten Trailer seiner Serie The Witcher vor. Henry Cavill als Geralt von Riva kämpft dabei gegen Monster und Menschen und verwendet Hexerzeichen, Pirouettenkampf und Zaubertränke. Einige Szenen erinnern an Passagen aus den Büchern.


  1. 13:00

  2. 12:30

  3. 11:57

  4. 17:52

  5. 15:50

  6. 15:24

  7. 15:01

  8. 14:19