Funktionsweise von EC-Karten
Mathias Waag
Inhaltsverzeichnis
Einleitung
Magnetkarten
Abmessungen der Magnetkarte und Lage des Magnetstreifens
Die drei ISO-Spuren innerhalb des Magnetstreifens
Codierung der Information
Das magnetische Aufzeichnungsverfahren
Vorteile
Nachteile
Aufbau und Inhalt der Spur 1
Aufbau und Inhalt der Spur 2
Aufbau und Inhalt der Spur 3
Das MM-Schlüssel-System
Sicherheitsmerkmale
PIN
Data Encryption Standard (DES)
Generierung der PIN mit dem DES-Verfahren
Ratewahrscheinlichkeit
Offset
Sicherheit von DES
Änderungen seit 1997
Gerichtsurteile
Beispiele von EC-Kartenbetrug
Bedeutung der EC-Kartensymbole
Literatur
Leider war es mir bis zum Vortragszeitpunkt des Seminars nicht
möglich, die aktuellsten Informationen zu EC-Karten zu bekommen, so
dass ich mich hier mit der EC-Karte bis 1997 beschäftige. Unter ´Änderungen seit 1997´ findet man neuere
Informationen.
Eine Magnetkarte besteht im wesentlichen aus zwei Bestandteilen: dem
Trägermaterial - beispielsweise bei Bankkarten Kunststoff
(Polyvinylchlorid, kurz PVC) und bei Parkscheinen Pappe - und dem
Magnetstreifen. Von der Anwendung hängt auch die Wahl des
Magnetstreifens ab. Möchte man eine ISO-konforme Karte mit drei Spuren
haben, wählt man ein 12.7 mm (1/2 Zoll) breites Magnetband. Der
Träger einer Bankkarte besteht aus vier Schichten. Als
Ausgangsmaterial dient ein ca. 90 mm bis 100 mm breites Kunststoffband
mit einer Dicke von 200 µm. Diese vier Kunststoffbänder werden dann
durch Hitze und einen hohen Druck miteinander
"verschmolzen". Anschließend wird der Magnetstreifen mit einem
Schmelzkleber auf den Träger gebracht und in einem letzten Schritt
gegen ein eventuelles Ablösen gesichert. Beim Herstellungsprozess ist
darauf zu achten, dass die maximale Kartendicke von 0.76 mm, die nach
ISO erlaubt ist, nicht überschritten wird.
Die äußeren Abmessungen der Magnetkarte und die Lage des
Magnetstreifens auf dem Trägermaterial sind genormt. Die Karte hat
eine Länge von 85.6 mm und eine Breite von 54.1 mm. Die abgerundeten
Ecken der Karte weisen einen Radius von 3.18 mm auf.
Der Bereich für den Magnetstreifen wird in Bezug auf die obere und die
rechte Kante der Magnetkarte angegeben. Der Magnetstreifen darf
maximal 5.54 mm von der oberen und 2.92 mm von der rechten Bezugskante
entfernt liegen. Die Breite des Magnetstreifen hängt davon ab, welche
Spuren man verwenden möchte. Nach den ISO-Vorschriften muß sich der
Magnetstreifen bis 11.89 mm unterhalb der oberen Bezugskante
erstrecken, wenn man nur Spur 1 und 2 verwendet (für den Lesebetrieb
spezifiziert), und 15.82 mm, wenn man noch zusätzlich die Spur 3
verwendet (kann auch beschrieben werden).Das erste gültige Datenbit
muß in einem Abstand von 7.44 mm von der rechten Kartenkante gesehen
auf dem Magnetstreifen stehen. Hier handelt es sich um das erste Bit
des Startzeichens. Das letzte Daten-Bit, dabei handelt es sich um das
des LRC (Longitudinal Redundancy Check)-Zeichens, muß spätestens 6.93
mm vor der linken Kartenkante stehen.
Die Informationen stehen auf den 3 Spuren mit unterschiedlichen
Bit-Dichten. Auf Spur 1 und 3 beträgt die Bit-Dichte 210 bpi (bpi =
bits per inch). Das sind 8.3 Bit/mm. Auf Spur 2 beträgt die
Schreibdichte 75bpi (3 Bit/mm). Diese Spur kann auch von
Durchzugslesegeräten gelesen werden, die nur Daten mit geringer
Bitdichte lesen können. Die Darstellung der Zeichen auf der Spur 1
wird mit 7-Bit inklusive Paritäts-Bit, welches die Daten-Bits auf
ungerade Parität ergänzt, codiert. Damit lassen sich auf dieser Spur
alphanumerische Zeichen unterbringen. Auf Spur 2 und 3 werden die
Zeichen mit 5-Bit inklusive einem Paritäts-Bit codiert. Durch die
5-Bit breiten Zeichen lassen sich nur numerische Zahlen im BCD (Binary
Coded Decimal)-Code darstellen. Aus der Schreibdichte und der Anzahl
der Bits pro Zeichen ergibt sich eine maximale Anzahl von Zeichen, die
auf jede Spur geschrieben werden können. Auf Spur 1 beträgt diese 79,
auf Spur 2 maximal 40 und auf Spur 3 maximal 107 Zeichen. Das
niederwertigste Bit (b0) kommt jeweils zuerst, das Parity-Bit zum
Schluss als fünftes (b4) beziehungsweise als siebtes Bit (b6).
Bei der 5-Bit-Codierung lassen sich mit 4-Bit insgesamt 16 Zeichen
darstellen. Darunter befinden sich numerische Ziffern zwischen 0 und 9
im BCD-Code sowie ein Start-, Stop- und Trennzeichen. Die Codierung
auf Spur 1 erfolgt mit 7-Bit inklusive Paritäts-Bit. Mit den 6-Bit
[BIT] lassen sich insgesamt 64 Zeichen darstellen. Darunter
befinden sich numerische und alphanumerische Ziffern sowie ein Start-,
Stop- und Trennzeichen. Mit dem Paritäts-Bit kann die Gültigkeit des
Zeichens überpüft werden. Die Berechnung des Bits erfolgt so, dass die
Anzahl der Daten-Bits mit einer 1 ungerade wird, d.h. die Zeichen
werden auf ungerade (odd) Parität ergänzt. Falls aber beim Lesen eine
gerade Anzahl Bits kippen, bleibt der Fehler unerkannt. Am Ende jedes
Datensatzes einer Spur gibt es ein LRC-Zeichen, welches zur
Überprüfung der Gültigkeit des gesamten Datensates dient. Die Bitlänge
des LRC-Zeichens entspricht der der Zeichen. Die Berechnung der
einzelnen Bits geschieht folgendermaßen: Man zählt von allen Zeichen,
also inklusive Start- und Stopzeichen, alle "1" Bits an derselben
Bitposition und setzt dann das Bit derselben Position des LRC-Zeichens
so, daß die Anzahl gerade wird. Dies wiederholt man für alle
Bitpositionen, außer der Position des Paritäts-Bits. Das Paritäts-Bit
des LRC-Zeichens wird ganz normal auf ungerade Parität ergänzt.
Beim magnetischen Aufzeichnungsverfahren wird die zu speichernde
Information auf magnetischem Material durch eine örtlich verteilte
remanente (zurückbleibende) Magnetisierung aufgezeichnet. Dies hat den
Vorteil, daß man die Information bei Bedarf wieder löschen oder
verändern kann. Die Magnetisierung wird mit einem kombinierten
Schreib-/Lesekopf vorgenommen. Dabei bewirkt ein Wechsel der
Signalstromrichtung einen magnetischen Wechselfluß innerhalb des
Ringkerns des Schreib-/Lesekopfes. Die magnetischen Feldlinien können
am Spalt des Ringkerns austreten und in der vorbeilaufenden
magnetisierbaren Schicht des Magnetbandes eine remanente
Magnetisierung hinterlassen.
Um die in Form von remanenter Magnetisierung aufgebrachte Information
wieder zu lesen, wird das Magnetband am Lesekopf vorbei geführt. Das
auf dem Band befindliche Magnetfeld induziert in der Wicklung des
Lesekopfes eine elektrische Spannung. Diese wird verstärkt und
anschließend zu logischen Pegeln "0" oder "1" aufbereitet. Heutige
Magnetbänder, die bei der Magnetkarte zum Einsatz kommen, bestehen aus
einem etwa 16 µm dicken Kunststoffträgerband, auf das ein sehr dünnes
und homogen verteiltes magnetisierbares Material aufgebracht
ist. Standardbänder werden mit einem Magnetfeld der Stärke 238 A/cm
beschrieben. Magnetkarten mit diesen Bänder werden als
LoCo-Karten (Low Coercitivity) bezeichnet. Man spricht von
HiCo-Karten (High Coercitivity), wenn sich auf der Magnetkarte
Bänder mit einer Koerzitivkraft von 2180 bis 3180 A/cm
befinden. Solche Magnetkarten werden im Bereich der Schwerindustrie
eingesetzt, um ein versehentliches Löschen der Information durch
äußere Magnetfeldeinwirkungen zu verhindern. Ein weiteres
Anwendungsgebiet von HiCo-Karten ist der Einsatz bei
sicherheitsrelevanten Daten, da übliche Magnetköpfe nicht in der Lage
sind, so hohe Magnetfelder zu erzeugen, daß die Daten auf dem
Magnetband gelöscht oder verfälscht werden können.
- Hohe Standardisierung und Verbreitung.
- Preisgünstige Karten, Codierung und Lese-/Schreibgeräte.
- Daten können gespeichert und umcodiert werden.
- Breites Anwendungsspektrum.
- mit Einsteck- oder Durchzugsleser nutzbar.
- da 3 Spuren zur Verfügung stehen, eignet sich die Karte für
kombinierte Anwendungen.
- nicht zur Speicherung geheimer Informationen geeignet, da die
Daten leicht ausgelesen oder verändert werden können.
- da der Magnetstreifen leicht kopiert werden kann, beruht die
Sicherheit einer Magnetkartenanwendung nur auf der persönlichen
Identifikationsnummer (PIN), sofern nicht zusätzliche
Kartenechtheitsmerkmale oder spezielle Sicherheitsverfahren verwendet
werden.
- die softwaretechnische Anbindung der Karte an den Benutzer bedarf
einer vertrauenswürdigen dritten Instanz, die die PIN des Bnutzers
kennt oder rekonstruieren kann.
- begrenzte Lebensdauer der Karte durch mechanische Einflüsse
(z.B. Kratzer) oder Abrieb des Magnetstreifens.
- Einflüsse von Magnetfeldern müssen beachtet werden; diese können
Daten beschädigen oder ganz löschen.
Diese Spur wird bei der Kreditkarte benutzt, nicht aber bei der
EC-Karte.
| SS | FC | PAN | FS | NAME | FS | ADDITIONAL
DATA | ES | LRC |
|---|
| | | Primary Account
Number
(max. 19 Stellen) | |
Name
(max. 26 alphanumerische Zeichen) |
| Expiration Date
Service
Code
Discretionary Data | | |
- Start Sentinel: Der Datensatz beginnt mit dem Startzeichen '%'.
- Format Code: Es sind zwei Datenformate zulässig. Diese werden
mit einem "A" und einem "B" gekennzeichnet. Das Format "A" ist für
Anwendungen des Kartenausgebers reserviert. Das Format "B" wird bei
Kreditkarten verwendet. Die folgenden Angaben beziehen sich auf dieses
Format.
- Primary Account Number: Zur Identifizierung der Karte steht auf
der Magnetspur die Kontonummer (Primary Account Number), die auch die
Kartennummer ist. Diese besteht aus numerischen Ziffern zwischen 0 und
9, und darf maximal 19 Stellen lang sein. Dieses Feld wird mit einem
Trennzeichen (Field Separator) abgeschlossen.
- Name: Der Name des Karteninhabers muß eine Länge von
mindestens 2 Zeichen haben, darf aber 26 Zeichen nicht
überschreiten. Dieses Feld wird mit einem Trennzeichen (Field
Separator) abgeschlossen.
- Expiration Date: Das Gültigkeitsdatum steht im Format
"JJMM". Das bedeutet, daß die Einer- und Zehnerstelle des Jahres sowie
die laufende Nummer des Monats codiert sind. Beispiel: Eine Karte ist
bis zum 31. Dezember 1994 gültig, dann steht für Expiration Date
"9412".
- Service Code: Der Service Code ist dreistellig und gibt den
Freizügigkeitsschlüssel oder die Einschränkung bei der Benutzung der
Karte an. Die Bedeutung der drei Stellen ist in ISO 7813
definiert.
- Discretionary Data: In diesem Feld stehen frei wählbare
Daten des Kartenausgebers.
- End Sentinel: Der Datensatz endet mit dem Stopzeichen '?'.
- Longitudinal Redundancy Check: Zur Überprüfung des gesamten
Datensatzes wird ein Prüfzeichen (LRC) angehängt.
| SS | PAN | FS | ADDITIONAL
DATA | ES | LRC |
|---|
| | Primary Account Number
(max. 19 Stellen) |
| Country Code
Expiration
Date
Service Code
Discretionary Data |
| |
- Start Sentinel: Der Datensatz beginnt mit dem Startzeichen ';'.
- Primary Account Number: Zur Identifizierung der Karte steht auf
der Magnetspur die Kontonummer (Primary Account Number), die auch die
Kartennummer ist. Diese besteht aus numerischen Zeichen zwischen 0 und
9, und darf maximal 19 Stellen lang sein. Dieses Feld wird mit einem
Trennzeichen (Field Separator) abgeschlossen.
- Country Code: Der Länderschlüssel wird benötigt, um zu
gewährleisten, daß im internationalen Zahlungsverkehr die Rechnungen
zum richtigen Land gelangen, damit sie dort weiterverarbeitet werden
können. Der Länderschlüssel besteht aus 3 Stellen, die in ISO
3166 [3166] definiert sind. Danach hat Deutschland den
Länderschlüssel "276".
- Expiration Date: Das Gültigkeitsdatum steht auf dieser Spur im
gleichen Format wie auf Spur 1.
- Service Code: Der Service Code ist dreistellig und gibt den
Freizügigkeitsschlüssel oder die Einschränkung bei der Benutzung der
Karte an. Die Bedeutung der drei Stellen ist in ISO 7813 definiert.
- Discretionary Data: In diesem Feld stehen frei wählbare Daten
des Kartenausgebers.
- End Sentinel: Der Datensatz endet mit dem Stopzeichen '?'.
- Longitudinal Redundancy Check Zur Überprüfung des gesamten
Datensatzes wird ein Prüfzeichen (LRC) angehängt.
| SS | FC | PAN | FS | USE AND SECURITY
DATA | ADDITIONAL DATA | ES | LRC |
|---|
| | | Primary
Account Number
(max. 19 Stellen) | | Country Code
Currency Code
Currency
Exponent
Amount Authorizized per Cycle Period
Amount remaining
this Cycle
Cycle Begin
Cycle Length
Retry
Count
PINPARM
Interchange Control
PAN Service
Restriction
SAN-1 Service Restriction
SAN-2 Service
Restriction
Expiration Date
ard Sequence Number
Card Security
Number | SAN-1
SAN-2
Relay
Marker
Crypto Check Digits
Transaction Date
Additional
Verification Value
Alternative Card Sequence
Number
Discretionary Data | |
|
- Start Sentinel: Der Datensatz beginnt mit dem Startzeichen ';'
(Bitsequenz:11010).
- Format Code: Beim Format Code handelt es sich um eine
zweistellige Kennziffer für den Spuraufbau, die in ISO 4909 näher
spezifiziert ist.
- PAN: Die erste Kontonummer (Primary Account
Number) setzt sich aus dem Kartenausgeberschlüssel, der
Kundenkontonummer und einer Prüfziffer zusammen. Der
Kartenausgeberschlüssel (Issuer Identification) besteht aus mindestens
3 und maximal 11 Stellen, die in der ISO 7812 definiert sind.
- Field Separator: Die erste Kontonummer wird mit einem
Feldseparator beendet.
- Country Code: siehe Spur 2
- Currency Code: Im internationalen Zahlungsverkehr wird ein
Währungsschlüssel (Currency Code) benötigt, der angibt in welcher
Währung abgerechnet wird. Dieser Schlüssel ist dreistellig und in der
ISO 4217 für alle Länder der Erde definiert.
- Currency Exponent: Zu jeder Währung wird ein Währungsexponet
(Currency Exponet) zur Basis 10 angegeben. Dieser ist einstellig. So
läßt sich z.B. DM 100 als "100" mit dem Währungsexponenten 0 angeben
(100 x 100). Möglich ist auch die Darstellung als 10 mit
dem Exponenten 1 (10 x 101).
- Amount Authorized per Cycle Period: Hier wird das Limit des
Geldbetrags pro Zyklusdauer definiert. Die Zahl ist vierstellig und
muß mit dem Währungsexponenten multipliziert werden.
- Amount Remaining this Cycle: Hier wird der Restbetrag, der im
Zyklus noch zur Verfügung steht, angegeben. Diese Zahl ist ebenfalls
vierstellig und mit dem Währungsexponenten zu multiplizieren.
- Cycle Begin: In diesem Feld steht der Zyklusbeginn im Format
"JTTT". D.h. es wird die Einerstelle des Jahres und der fortlaufende
Tag des Jahres eingetragen.
- Cycle Length: In diesem Feld wird die Zykluslänge
angegeben. Man kann somit bestimmen, in welchem Zeitraum das Limit zur
Verfügung steht.
- Retry Count: Die Anzahl der
Fehleingaben der persönlichen Geheimzahl werden in einem einstelligen
Fehlbedienungszähler (Retry Count) protokolliert.
- PIN Control Parameters: Dieses Feld besteht aus einem
zweistelligen Algorithmusschlüssel, der angibt, welche Methode zur
Verschlüsselung der PIN angewendet worden ist, und einem vierstelligen
Prüfwert, der das Ergebnis der Verschlüsselung ist. Die Bedeutung des
Algorithmusschlüssels findet man in der ISO 4909.
- Interchange Control: In diesem Feld steht ein einstelliger
Freizügigkeitsschlüssel.
- PAN Service Restriction: Dieses Feld gibt die Kontenart und
etwaige Einschränkungen für die Benutzung der ersten Kontonummer
an. Die zwei Stellen dieses Feldes sind in ISO 4909 spezifiziert.
- SAN-1 Reservice Restriction: Wie PAN Service Restriction, nur
für die zusätzliche Kontonummer SAN-I.
- SAN-2 Reservice Restriction: Wie PAN Service Restriction, nur
für die zusätzliche Kontonummer SAN-2.
- Expiration Date: Das Gültigkeitsdatum (Expiration Date) steht
auf dieser Spur im gleichen Format wie auf Spur 1.
- Card Sequence Number: Dieses
Feld gibt eine einstellige Kartenfolgenummer an. Damit lassen sich
verschiedene Karten zur selben Kontonummer unterscheiden.
- Card Security Number: Eine neunstellige Zahl verknüpft die
Daten der Spur mit den Kartendaten nach dem MM-Schlüssel-System.
- SAN-1: In diesem Feld kann eine zusätzliche Kontonummer stehen.
- SAN-2: In diesem Feld kann eine weitere zusätzliche Kontonummer
stehen. Ein Feldseparator beendet anschließend dieses Feld.
- Relay Marker: Mit einer einstelligen Ziffer wird ein
Nachrichtenbegrenzungshinweis (Relay Marker) gesetzt. Je nach Ziffer,
die in der ISO 4909 spezifiziert ist, wird darauf hingewiesen, ob die
nachfolgenden Daten übernommen werden sollen.
- Crypto Check Digits: Als eine weitere Sicherheitsmaßnahme
werden in einer sechsstelligen Zahl die Daten mit Daten des
Magnetstreifens als Gesamtsicherheitsprüfung codiert.
- Transaction Date: Das Datum des letzten Vorgangs wird im Format
"JTTT" wie im Feld Cycle Begin dargestellt.
- Additional Verification Value: In diesem Feld steht eine
achtstellige Zahl, die nach unterschiedlichen Verfahren oder mit
unterschiedlichen Algorithmenschlüsseln zur weiteren PIN-Prüfung
dient.
- Alternative Card Sequence Number: Reicht die Card Sequence
Number nicht mehr aus, d.h. gibt es mehr als zehn Karten mit derselben
Kontonummer, kann in diesem Feld eine weitere dreistellige Folgenummer
stehen.
- Discretionary Data: In diesem Feld können frei wählbare Daten
des Kartenausgebers stehen.
- End Sentinel: Der Datensatz endet mit dem Stopzeichen '?'
(Bitsequenz:11111)
- Longitudinal Redundancy Check: Zur Überprüfung des gesamten
Datensatzes wird ein Prüfzeichen (LRC) angehängt.
Das MM-Schlüssel-System (MM heisst moduliert maschinenfähig) wurde
1979 vom deutschen Kreditgewerbe eingeführt. Es dient dazu, im
institutsübergreifenden Geldausgabeautomaten-System Kartenfälschungen
oder Verfälschungen von Daten auf dem Magnetstreifen sicher maschinell
zu erkennen (dieses Merkmal wird im Ausland nicht überprüft). Dafür
bietet die Industrie die Möglichkeit an, eine Zahl (der
sog. MM-Schlüssel) in das Kartenmaterial einzudrucken, die nicht ohne
Spezialwissen wieder gelesen werden kann. Die unveränderlichen Daten
auf dem Magnetstreifen, wie Kontonummer und Bankleitzahl werden mit
diesem MM-Schlüssel über einen Algorithmus, der wiederum einen
Schlüssel benötigt, verrechnet und das Ergebnis, der MM-Code, wird auf
den Magnetstreifen geschrieben.
Möchte man eine Auszahlung am Geldausgabeautomaten (GAA) vornehmen, so
liest dieser zum einen die Daten, die auf dem Magnetstreifen stehen,
und zum anderen den MM-Schlüssel der Karte. Anschließend wird der
gleiche Verschlüsselungsalgorithmus, wie bei der Personalisierung der
Karte angewendet. Der errechnete MM-Code wird mit dem des
Magnetstreifens verglichen und nur wenn dieser Vergleich positiv
ausfällt, nimmt der GAA die Auszahlung vor.
Werden Daten auf dem Magnetstreifen geändert, stimmt der errechnete
MM-Code nicht mehr mit dem des Magnetstreifens überein. Eine
Verfälschung der Daten wird somit sicher erkannt. Duplikate werden
ebenso sicher erkannt, da sie nicht über den MM-Schlüssel im
Kartenmaterial verfügen. Zum Lesen des MM-Schlüssels sind sogenannte
MM-Boxen in GAA implementiert. Diese bestehen aus einem Sensorkopf,
der den MM-Schlüssel vom Kartenmaterial wieder auslesen kann und aus
einer Recheneinheit, die den MM-Code errechnet. Zu diesem Zweck ist
der Schlüssel, der vom Verschlüsselungsalgorithmus benötigt wird, in
einem nichtflüchtigen Speicher untergebracht. Ein Auslesen dieses
Speichers ist für aussenstehende Personen nicht möglich. Ferner würden
Manipulationsversuche eine Zerstörung des Speichers verursachen. Als
Maßnahme gegen den Diebstahl der MM-Box wird diese im Safe-Bereich des
GAA untergebracht. [VV]
Die c´t hat in ihrer Heftausgabe 7/96 geschrieben, dass man mit etwas
Glück den MM-Schlüssel sehen kann. Dazu muss man die EC-Karte erwärmen
bis sie weich wird. Nun kann man versuchen, die einzelnen Schichten
voneinander zu lösen. Auf der mittleren Schicht wird im unteren
Drittel der Karte eine streifenähnliche Struktur ähnlich eines
Barcodes sichtbar, die beim Durchleuchten nicht zu erkennen ist. Diese
Struktur ergibt sich aus dielektrisch unterschiedlichen Materialien,
aus denen die mittlere Schicht besteht. Das Ganze (einige Bits) lässt
sich kapazitiv abtasten und ergibt dann das `modulierte
Merkmal`. [CM1]
Neben dem MM-Verfahren gibt es noch andere Merkmale, die zur
Sicherheit der Magnetkarte beitragen sollen.
- Watermark Tape: Der Magnetstreifen wird bei der Herstellung mit
nicht zu ändernden Merkmalen ausgestattet. Diese Merkmale werden bei
der Herstellung durch permanente Magnetisierung erreicht und können
durch ein Terminal abgefragt werden.
- Farbige Magnetstreifen: Da herkömmliche Drucktechniken für das
Aufbringen farbiger Magnetstreifen nicht geeignet sind, ist eine
Fälschung oder Reproduktion schwierig.
- Allgemeine äussere Echtheitsmerkmale: spezieller Farbdruck, ein
Firmenlogo, Hologramm, Wasserzeichen, Unterschrift und ein Foto der
Person.
Speziell für Zahlungskarten existieren weitere Verfahren, die von
deren Herstellern vorgesehen oder bereits eingesetzt werden.
- Sicherheitsdruck - Mikroschrift Dieses Verfahren basiert auf
einer 'mikrofein' gedruckten Schriftzeile, welche für den Betrachter
nur als Linie sichtbar ist. Herkömmliche Kopierer und Laserdrucker
können diesen feinen Druck noch nicht reproduzieren.
- Irisdruck stellt den nahtlosen Übergang von farbigen Linien und
Flächen untereinander dar. Dieser Druck kann ebenfalls nicht von den
herkömmlichen Geräten reproduziert werden.
Das wichtigste Sicherheitsmerkmal ist jedoch die PIN, die im folgenden
erläutert wird.
Zur Berechnung der Geheimzahl (PIN) verwendet die ausgebende Bank
einen geheimen, nur ihr bekannten Code, den Institutsschlüssel. Es
gibt auch noch drei Poolschlüssel (befinden sich in jedem GAA), die in
den Anfangsjahren zur Offline-Authorisierung institutsfremder
EC-Karten dienten. Der aus der vierten bis achten Stelle der
Bankleitzahl, der Kontonummer des Kunden (10 Ziffern) und einer
einstelligen Kartenfolgenummer (wird
bei der Ausgabe einer neuen Karte um eins erhöht, so dass die neue PIN
von der vorherigen unabhängig ist) gebildete 64-Bit-Wert wird nach dem
Verschlüsselungsstandard DES im "electronic codebook"-Modus mit dem
Institutsschlüssel verschlüsselt. Diese Operation ergibt einen
64-Bit-Wert, der ohne Kenntnis des Schlüssels wie eine zufällige
Bitfolge wirkt. Aus vier Zahlen dieses Ergebnisses wird die PIN
gewonnen. Sie kann einen beliebigen Wert von 1000 bis 9999
annehmen. Um die Sicherheitsmängel des eurocheque-Systems (bis 1997)
zu erkennen, ist es zunächst einmal wichtig, den Ablauf der
PIN-Generierung zu betrachten:
Bei DES werden Daten in 64 Bits großen Blöcken mit Hilfe eines
56-Bit-Schlüssels codiert. Der Algorithmus formt 64-Bit-Eingaben
(plaintext) in mehreren Schritten in eine 64-Bit-Ausgabe (ciphertext)
um. DES ist ein symmetrischer Algorithmus, d.h. Ver- und
Entschlüsselung benutzen den gleichen Algorithmus und den gleichen
Schlüssel (abgesehen von kleineren Unterschieden in der Verwendung des
Schlüssels).
Zuerst durchläuft die 64-Bit-Eingabe eine Eingangspermutation. Danach
wird der 64-Bit Block in zwei 32-Bit große Blöcke L und R geteilt. Dem
folgt eine Phase, die aus 16 Iterationen der gleichen Funktion
besteht. Eine Iteration läuft folgendermassen ab:
Zuerst wird Block R in einer Expansion (unter Verwendung einer
Tabelle, die eine Permutation zuzüglich einer Erweiterung definiert)
von 32 auf 48 Bit vergrössert. Die daraus resultierenden 48 Bits
werden mittels XOR mit 48 Bits des Schlüssels kombiniert. Dieses
48-Bit-Ergebnis durchläuft eine Ersetzungsfunktion, die sogenannten
S-Boxen, welche eine 32-Bit-Ausgabe erzeugen, die wiederum permutiert
wird. Nach der Permutation werden die 32 Bit nun mit dem Block L
XOR-verknüpft. Nun wird der Block R in L und das Ergebnis in R
geschrieben und eine Iteration ist beendet.
Bei der Schlüsselerzeugung wird der 56-Bit-Schlüssel zunächst
permutiert (Die Funktion erwartet eigentlich die Eingabe eines
Schlüssels von 64 Bit. Es werden jedoch immer nur 56 Bit davon
verwendet; die übrigen 8 Bit können als Paritätsbits verwendet oder
einfach deaktiviert werden). Der sich ergebende 56-Bit-Schlüssel wird
dann als zwei 28-Bit-Blöcke C und D betrachtet. Bei jeder Iteration
werden C und D einzeln einer kreisförmigen Verschiebung (Rotation)
nach links um 1 oder 2 Bits ausgesetzt. Diese verschobenen Werte
dienen als Eingabe für die nächste Iteration. Ferner dienen sie als
Eingabe für eine zweite Permutation, welche eine 48-Bit-Ausgabe
erzeugt, die wiederum mit R XOR-verknüpft wird. [WIS]
Um nach dem DES-Verfahren aus der 64-Bit-Ausgabe die PIN zu erzeugen,
werden zunächst 4 festgelegte Hexadezimalzahlen aus dem Ergebnis
entnommen. Da die PIN aber aus vier Dezimalzahlen bestehen muss,
werden die Zahlen A, B, C, D, E und F auf 0, 1, 2, 3, 4 und 5
abgebildet (enspricht einer Operation modulo 10). Eine weitere
Einschränkung ist, dass an erster Stelle keine Null stehen darf. Sie
wird zu einer Eins.
Quelle: [MGK]
Bsp: Die vier ausgewählten Hexadezimalzahlen A2C8 werden zu 0228. Ist
der geheime Schlüssel nicht der Institutsschlüssel, sondern einer der
drei Poolschlüssel, so muss zu der erhaltenen 'natürlichen' PIN noch
der Offset der Karte addiert werden, um die endgülige PIN zu
erhalten. Im Beispiel ist der Offset 1707, so dass durch erneutes
'Umklappen' die PIN ensteht.
Durch diese Abbildung der Hexadezimalzahlen auf die Dezimalzahlen
kommen die Zahlen 0-5 statistisch gesehen sehr viel häufiger in den
Geheimzahlen vor. Diese Ungleichverteilung ist besonders an der ersten
Stelle der PIN zu sehen. Hier werden die vier Hexadezimalzahlen 0, 1,
A und B alle auf 1 abgebildet. Daraus folgt, dass bis 1997 jede vierte
PIN eine 1 an erster Stelle hatte.
Erzeugt man 2000 Geheimzahlen mittels dieser Methode und analysiert
man anschließend die statistische Verteilung der in ihnen enthaltenen
Zahlen, so läßt sich die Ungleichverteilung durch ein Balkendiagramm
darstellen:
Quelle: [JL1]
Wie man sieht, kommen PINs mit einer Eins an erster Stelle und Zahlen
zwischen Null und Fünf an den letzten drei Stellen am häufigsten
vor. Es gibt genau 6*6*6=216 (jeweils 6 Möglichkeiten für die zweite,
dritte und vierte Stelle) PINs, die dieses Kriterium erfüllen. Eine
EC-Karte mit einer PIN aus diesem Bereich wird bei drei Versuchen mit
einer Wahrscheinlichkeit von (1/216) + (1/215) + (1/214) = 1:72
geknackt.
Wenn man die Kartendaten (Bankleitzahl, Kontonummer,
Kartenfolgenummer) nicht mit dem Institutsschlüssel, sondern mit einem
der drei Poolschlüssel verschlüsselt, bekommt man als Ergebnis eine
Zahl, die nicht mit der PIN übereinstimmt. Der Offset ist der Wert,
den man zur Zahl hinzuaddieren muss, um die PIN zu erhalten. Der
Offset wird auf der Karte gespeichert.
Falls nun alle drei Offsets auf der Karte gespeichert sind, so bietet
sich hier eine weitere Angriffsmöglichkeit auf die PIN. Von der
dritten Spur der Magnetkarte lassen sich die drei Offsets auslesen:
Ziel ist es, vier PIN-Ziffern 
zu finden, die am wahrscheinlichsten
mit der PIN der Karte übereinstimmen. 
ist die Zufallsvariable, die die j-te Stelle der PIN
der Karte repräsentiert. 
ist die Zufallsvariable, die die j-te Stelle in
Oi repräsentiert (1<=i<=3,1<=j<=4). Die
Wahrscheinlichkeit, dass an Stelle j die Zahl k steht, ist:
Die bedingte Wahrscheinlichkeit, dass an Stelle j in Oi die
Zahl k steht, unter der Bedingung, dass die Stelle j der PIN gleich l
ist, ist:
Eine höchstwahrscheinliche PIN 
ist ein 
, für
das die bedingte Wahrscheinlichkeit 
maximal wird. Unter der Voraussetzung, dass alle
Stellen der PIN voneinander unabhängig sind, kann man die
wahrscheinlichste PIN bestimmen, indem man für jede Stelle die
maximale bedingte Wahrscheinlichkeit ausrechnet. Mit der Formel von
Bayes erhält man:
Setzt man vorraus, dass die DES-Ergebnisse der drei Poolschlüssel
voneinander unabhängig sind, so kann man die bedingte
Wahrscheinlichkeit zur Kombination der Stellen von allen drei Offsets
durch das Produkt der Wahrscheinlichkeiten der einzelnen Offsetstellen
ersetzen.
Diese Formel lässt sich mit den ausgelesenen Offsets und den
Gleichungen (1a) und (1b) vollständig lösen. Wenn wir jetzt für jede
Stelle die maximale Wahrscheinlichkeit ausrechnen, erhalten wir eine
höchstwahrscheinliche PIN. Die Wahrscheinlichkeit, dass diese PIN
korrekt ist, ist das Produkt der Wahrscheinlichkeiten, dass die
einzelnen Stellen korrekt sind. Die höchste Wahrscheinlichkeit liegt
bei 0,948%. [MGK]
- Am 18. Januar 1999 begann um 9:00 Uhr der DES-Challenge-III
[III]. Nach etwas mehr als 22 Stunden war der 56-Bit-Schlüssel
geknackt. Beteiligt haben sich distributed.net [DIS], deren Rechenkapazität in etwa äquivalent zu der von mehr als
145.000 PII 266MHz Rechnern ist, die 24 Stunden am Tag, 7 Tage in der
Woche und 365 Tage im Jahr laufen und Electronic Frontier
Foundation [EFF] mit ihrem Supercomputer DES-Cracker
[JL2], der 1997 für weniger als U.S. $250,000 (U.S. $200.000
Entwicklungskosten) gebaut wurde und den RSA DES Challenge II-2
alleine in weniger als 3 Tagen gewonnen hatte. Zusammen haben beide
245 Milliarden Schlüssel pro Sekunde getestet. Dieses Ergebnis zeigt,
dass - obwohl die US-Regierung und die Banken das Gegenteil behaupten
- der DES mit 56-Bit Schlüssel heute nicht mehr in der Lage ist, die
Sicherheit zu bieten, die ihm am Anfang zugeschrieben wurde. Der
DES-Cracker selbst müsste einigen Änderungen der Software unterworfen
werden, um die Suche nach einem Instituts/Poolschlüssel
aufzunehmen. Gleichzeitig würde die zu veranschlagende Suchzeit um
etwa den Faktor zehn steigen.
- Wenn man im Besitz von mindestens fünf EC-Karten ist, von denen
auch die PIN bekannt ist, so ist es möglich, den Schlüssel
auszurechnen. Es werden mehrere Karten benötigt, da aus dem
16-stelligen DES-Ergebnis nur vier Stellen zur Berchnung der PIN
entnommen werden und so Information verloren geht. Dabei liefern
Karten mit einer PIN aus dem Zahlenbereich 6-9 eine grössere
Information, da sie vom gleichen DES-Ergebnis abstammen. Die PIN 1299
stammt von einem der folgenden DES-Ergebnisse ab, und liefert deswegen
weniger Information: 1299, 0299, 1C99, 0C99, BC99, B299, A299 und
AC99.
- Eine Maschine, die den gesamten Schlüsselraum innerhalb von zwei
Jahren absucht, hätte 1995 nach vorsichtigen Schätzungen für unter
10.000,- DM erbaut werden können.
- In dem Report Minimal Key
Lengths for Symmetric Ciphers [MIN] steht unter
anderem:
Even the U.S. Data Encryption Standard with 56-bit keys is
increasingly inadequate. [...] To protect information adequately for
the next 20 years in the face of expected advances in computing power,
keys in newly-deployed systems should be at least 90 bits long.
- Das NIST (National Institute of Standards and Technology) hat 1977
DES als Standard festgeschrieben. Alle 5 Jahre zertifiziert NIST den
DES Algorithmus. Die letzte Zertifizierung fand 1993 statt und es
wurde festgelegt, dass keine erneute Zertifizierung erfolgen wird, da
DES nicht mehr den heutigen Sicherheitsanforderungen genügt. Das NIST
will nun einen DES Nachfolger als neuen Standard für symmetrische
Verschlüsselungsverfahren festlegen: den Advanced Encryption Standard
[AES].
- Der Poolschlüssel findet seit einigen Jahren keine Verwendung
mehr.
- Alle Autorisierungsanfragen aus dem In- und dem Ausland gehen
grundsätzlich online zum Kartenausgeber oder einer vom ihm
beauftragten Stelle.
- Es ist geplant,die PIN durch den Kunden frei wählen zu lassen,
allerdings wird dies aus technischen Gründen erst ab 2002 auf Basis
einer Chipkarte erfolgen.
- Derzeit gibt es in Deutschland etwa 45 Mio ec-Karten. Statistische
Daten kann man auf den Internet-Seiten der Deutschen Bundesbank [DB]
finden.
- Die PIN wird für ec-Karten der privaten Banken nicht errechnet,
sondern sie entstammt einem Zufallsprozess.
- Sofern ein DES-Schlüssel von Personen eingegeben werden muss,
schreibt das Key-Management immer zwei Personen vor.
- Alle Schlüssel werden grundsätzlich zufällig generiert.
- Sollte ein Institut frei wählbare PINs einführen, kann die Zahl
der Stellen über vier liegen.
- Da die PINs zufällig ermittelt werden, ist eine statistische
Gleichverteilung gegeben.
- Sofern in ein Kryptogramm die PIN als ein Eingangswert eingeht,
wird grundsätzlich Triple-DES verwendet. [JF]
- Das Urteil
[HAM] vom 17.3.1997 des OLG-Hamm sorgte für grosses Aufsehen,
da erstmals auf die Fragestellung im Rahmen der Verhandlung 'Ist das
Erraten der PIN in kurzer Zeit möglich ?' und 'Ist die Entschlüsselung
der PIN möglich ?' die Entscheidung 'nicht ausgeschlossen' fiel. Wie
wenig man sich aber auf juristischer Ebene über die Sicherheit der PIN
einig ist, zeigt das Urteil vom AG Hannover vom 9.5.1997, das auf
beide Fragen mit nein entschied.
- Das AG
Frankfurt [AGF] hielt es für praktisch bewiesen, dass die
PIN selbstständig durch Entschlüsseln anhand der auf der Karte
gespeicherten Daten ermittelt werden könne. Dem schloss sich das LG
Frankfurt jedoch nicht an. Auf die Berufung der beklagten Bank hin hob
es das Urteil des AGs auf und wies die Klage ab (Az. 2/1 S
336/98). Das LG stimmte der Auffassung des AG nicht zu, dass die PIN
ermittelt werden könne. [MMK]
- Ende 97 räumte ein High-Tech-Ganove mehr als 200 Konten der
Noris-Bank leer. In einer Filiale in Offenburg hatte der Täter
offensichtlich am Magnetkartenleser einen speziellen Minisender
angebracht, der die Daten von der Scheckkarte des Kunden auf ein bis
zu 400 Meter entfernten Empfänger überträgt. Mit einem Zusatzgerät,
das Magnetkarten beschreibt, konnte er dann zu Hause Kopien der Karten
anfertigen. Da die Karte allein nicht aussreicht, um auf die Konten
zugreifen zu können, musste der Gauner auch die dazugehörige
Geheimnummer ausspionieren. Zwei Möglichkeiten bieten sich
an. Entweder benutzte er eine Mini-Kamera mit Sender oder eine
hauchdünne Folie, die über die Tastatur gespannt wird und alle
Bewegungen des Kunden am GAA ebenfalls zu einem Empfänger in der
Umgebung übertraegt.
- Am 12.01.96 schrieben die 'Achener Nachrichten':
Mit kopierten Scheckkarten sind bei Aachen noch mehr Bankkonten
geplündert worden, als zunächst befürchtet.... Die Täter haben
insgesamt 400.000 DM von den Konten abkassiert, teilte die
Staatsanwaltschaft Aachen am Donnerstag mit. Die Polizei geht davon
aus, dass die Täter zwei Geldautomaten der Deutschen Bank in
Hückelhoven und Jülich so manipuliert haben, dass die Daten auf dem
Magnetstreifen und die PIN abgelesen und gespeichert wurden. Mit
diesen Informationen haben die Täter offensichtlich neue Scheckkarten
gebastelt und damit in den Niederlanden mehere Tage hintereinander
jeweils die Höchstsumme von 1.000 Gulden abgehoben. Für den enstanden
Schaden kommen die Versicherungen (Eurocheque-Versicherung, die je
nach Institut mindestens neunzig Prozent des Schadens zahlt) auf,
erklärte ein Sprecher der Deutschen Bank.
- Mitte 1985 ereignete sich in Köln folgender Fall. Der Täter
entwickelte ein Vorsatzgerät, das er vor der Kartenöffnung eines GAA
anbrachte und in das er eine Karte ohne Magnetstreifen eingeführt
hatte. Kam nun ein Kunde und schob seine Automatenkarte in den für ihn
nicht als solches zu erkennenden Aufsatz, so drückte er damit die
Karte ohne Magnetstreifen in den 'richtigen' GAA. Dieser erkannte
diese Karte wegen nicht vorhandenen Magnetstreifens als Fälschung und
teilte dem Kunden mit, 'seine' Karte sei eingezogen worden. Entfernte
sich der Kunde vom Automaten, so entnahm der Täter die echte Karte aus
dem Aufsatz. Das Tastenfeld hatte der Täter mit Make-up-Puder
präperiert, um so die PIN heraus zu bekommen. Für die richtige
Anordnung der Ziffern einer vierstelligen Zahl gibt es 24
Möglichkeiten. Da der GAA aber nur zwei falsche Eingaben toleriert,
fertigte der Täter Kopien von der zuvor erlangten Karte an. Auf diese
Weise gelangen ihm 172 Barabhebungen über insgesamt 70.500 DM.
- In den USA erwarben Gauner einen echten GAA, fütterten ihn mit
ihrer eigenen Software und stellten ihn in einem belebten Kaufhaus
auf. Der Automat verlangte von seinen Opfern Karte samt PIN,
speicherte die Daten ab, zahlte dann aber wegen eines angeblichen
Defektes nichts aus. Möglich wurde dieser Betrug durch eine typische
Sicherheitseinbahnstrasse: Zwar muss man sich selbst durch PIN und
Karte legitimieren, der Automat aber beweist zu keinem Zeitpunkt, dass
er 'echt' und unmanipuliert ist. [CM1]
- Zu Beginn des eurocheque-Karten-Systems konnte man mit einem
motorbetriebenen Magnetstreifenschreib/lesegerät den Fehlbedinungszähler wieder
zurücksetzen. So konnte man die Anzahl der Rateversuche erhöhen. Dies
ist heute nicht mehr möglich, da der Fehlbedienungszähler sowohl auf
der Karte als auch in einem Zentralrechner gespeichert wird
(Online-Autorisierung).
- Die 'Black Box', die in jedem GAA die Rohdaten entschlüsselt und
mit der eingegebenen PIN vergleicht, ist immer noch eines der
bestgehüteten Industriegeheimnisse unserer Zeit. Mafiösen
Organisationen sollte es aber nicht allzu schwer fallen, an diese
Logik heranzukommen, um im Trial- and Error-Verfahren die PIN einer
vorliegenden Karte zu ermitteln, denn knapp 10000 Versuche bei einer
vierstelligen PIN sind weitaus weniger als die mindestens
256 = 72.057.594.037.927.936, die der 64-Bit-DES erfordern
würde. Aus Norwegen ist ein Fall bekannt, in dem mit Hilfe solcher
Komponenten ein Abfragegerät gebaut wurde. [CM2]
Geldkarte
edc
(electronic debit card): In ganz Europa kann in Geschäften mit diesem
Zeichen bezahlt werden.
Maestro:
Überall auf der Welt, wo dieses Zeichen zu finden ist, kann bargeldlos
bezahlt werden und Geld am GAA abgehoben werden.
electronic
cash: Überall in Deutschland, wo sich dieses Zeichen befindet,
kann bargeldlos bezahlt werden.
GAA-Service: Mit dieser Karte kann an GAA Geld abgehoben
werden. In Deutschland gibt es laut Bundesverband deutscher Banken 375
000 GAA. Mittlerweile akzeptieren auch sehr viele GAA von Banken im
europäischen Ausland die EC-Karte.
Wem die EC-Karte abhanden kommt, der sollte sie sofort unter der
Telefon-Nummer 01805/021021 sperren lassen.
- [3166]:
ISO 3166.
http://www.quantum.de/cgi-bin/welcome/zahlen/country.html.
- [AES]:
Advanced Encryption Standard.
http://csrc.nist.gov/CryptoToolkit/aes/.
- [AGF]:
AG Frankfurt.
http://www.ccc.de/CRD/CRD19980921.html.
- [BG]:
Bernhard O. Gramberg:
EC-Karten: Unsicherheit,
Entwicklung und Status.
http://home.t-online.de/home/gramberg/ec-karte.htm.
- [BIT]:
6-BIT-Codierung.
http://www.informatik.fh-muenchen.de/labs/lro/micro/iso3554code.html.
- [CM1]:
Carsten Meyer:
Nur Peanuts - Der Risikofaktor
Magnetkarte.
c´t 7/96 Seite 94-96, http://wwwdb.ix.de/ct/ftp/projekte/streifenweise/nur_peanuts/art.shtml.
- [CM2]:
Carsten Meyer:
Sichere Lücken.
c't 1/94, Seite
183.
- [DB]:
Deutsche Bundesbank.
http://www.bundesbank.de.
- [DIS]:
distibuted.net.
http://www.distributed.net/des.
- [EFF]:
EFF - ELECTRONIC FRONTIER FOUNDATION.
http://www.eff.org/descracker.html.
- [EFF1]:
EFF - ELECTRONIC FRONTIER FOUNDATION:
Cracking DES.
http://cryptome.org/cracking-des.htm.
- [FAQ]:
news:de.comp.security:
FAQ: Sicherheit von
EC-Karten.
http://www.fitug.de/ulf/faq/pin.html.
- [HAM]:
OLG Hamm.
http://userpage.fu-berlin.de/~dittbern/Archiv/OLG_Hamm_1997.html.
- [III]:
DES-Challenge-III.
http://www.rsasecurity.com/rsalabs/des3.
- [JF]:
Joachim Fontaine:
Briefantwort des Bundesverbandes
deutscher Banken.
- [JL1]:
Marcus Janke, Peter Laackmann:
Eurocheque-Karten:
Sicherheitsmängel des ec-PIN-Verfahrens.
http://home.t-online.de/home/gramberg/forum.htm.
- [JL2]:
Marcus Janke, Peter Laackmann:
Endgültiger Abschied
vom Data Encryption Standard (DES).
http://home.t-online.de/home/gramberg/l_des.htm.
- [MIN]:
Minimal Key Lengths for Symmetric Ciphers.
ftp://ftp.research.att.com/dist/mab/keylength.txt.
- [MGK]:
Markus G. Kuhn:
Probability Theory for Pickpockets
-- ec-PIN Guessing.
http://www.cl.cam.ac.uk/~mgk25/ec-pin-prob.pdf.
- [MMK]:
Dr. M. Michael König:
Wenn der Anschein trügt.
c´t
25/99, S. 248-250 .
- [VV]:
Francesco P. Volpe, Safinaz Volpe:
Magnetkarten -
Grundlagen, Techniken, Anwendungen.
Verlag Heinz Heise, 1995.
- [WES]:
Werner Störmer:
Elektronische Kartensysteme -
Technik und Einsatzmöglichkeiten.
Hüthig Gmbh Heidelberg, 1997.
- [WIS]:
William Stallings:
Sicherheit im Datennetz.
Prentice Hall Verlag Gmbh, 1995.
|
Letzte Änderung: 2002-06-13 11:11:25
|
![[Universität Karlsruhe]](/images/ico_uni.png)
![[Institut für Technische Informatik]](/images/ico_home.png)
![[E-Mail an Autor]](/images/ico_mail.png)