wie funktionen tan-generator?



  • wenn ich per onlinebanking etwas überweisen möchte, muss ich meine karte in so ein kleines gerät stecken, wo ich auf "ok" klicke und eine data-zahl (die mir die website bei der überweisung genereiert) eingeben muss, dann muss ich eine code-zahl angeben (das sind immer paar letzte zahlen von der zielkontonummer) muss und dann spuckt er mir die tan-nummer raus.

    Wie funktioniert das?
    Das Gerät ist niergendswo angeschlossen. D.h. doch das da nur ein mathematischer Algorythmus hinter steckt oder?



  • topo schrieb:

    Das Gerät ist niergendswo angeschlossen. D.h. doch das da nur ein mathematischer Algorythmus hinter steckt oder?

    Was den sonst? Denkst da sitzt ein kleines Männchen drin das sich die Zahlen ausdenkt?

    Bedenke vllt. dass die Eingabe ja aus deiner Karte, dem Data und der Code-Zahl besteht, selbst wenn das Gerät die Zahlen jetzt nur noch addiert wäre das ja nicht schlimm, oder? Worauf zielt deine Frage ab?



  • Vorweg: ich weiss nicht wie es funktioniert, ich kann nur raten 🙂

    Vermutlich wird in der Karte ein mehr-oder-weniger geheimer (besser mehr) Key stecken, den der Chip auf der Karte verwendet um aus den eingetippten Zahlen den TAN zu berechnen.
    Wenn deine Bank den Key ebenfalls kennt, kann sie das gegenchecken.

    Und wenn die Bank vom Shop-Betreiber verlangt, dass er keine zwei Buchungen mit der selben "Data-Zahl" machen darf (bzw. ihm die Überweisung einfach nicht macht wenn er es doch tut), dann ist das ganze sogar gegen doppelte Abbuchungen sicher.



  • Mario Sandler schrieb:

    Bedenke vllt. dass die Eingabe ja aus deiner Karte, dem Data und der Code-Zahl besteht, selbst wenn das Gerät die Zahlen jetzt nur noch addiert wäre das ja nicht schlimm, oder?

    Das wäre sehr schlimm, denn dann könnte man einfach auf die Daten zurückrechnen die nicht vom Shop geliefert werden, also alles was in der Karte drin ist. Und dann könnte man beliebige Abbuchungen mit Karten machen, von denen man 1x einen gültigen Code bekommen hat.

    Worauf zielt deine Frage ab?

    Vermutlich möchte er es verstehen.



  • ich vermute auch mal, die karte führt die berechnung durch und das kästchen dient nur der eingabe und anzeige 😉



  • wollte nur mal aus spaß versuchen, eine richtige tan zu errechnen ohne mein bank-rechner.

    data-zahl
    und
    code-zahl

    sind mir gegeben.

    Muss halt nur noch rausbekommen, wie diese beiden Zahlen zur richtigen Tan führen....



  • topo schrieb:

    Muss halt nur noch rausbekommen, wie diese beiden Zahlen zur richtigen Tan führen....

    Dann nimm noch die passende Uhrzeit und deine PIN mit in die Berechnung auf...
    Soweit ich weiss, sind diese generierten TANs zeitlich eingeschränkt und irgendwie wird der Erstellungszeitpunkt mit einbezogen.
    Wobei da die Frage ist, welcher Zeitpunkt genommen wird. Der vom erstellen der Data/Code Werte oder vom erstellen der eigentlichen TAN...





  • topo schrieb:

    wollte nur mal aus spaß versuchen, eine richtige tan zu errechnen ohne mein bank-rechner.

    Wenn das so einfach waere, ist das ganze System sinnlos. Wahrscheinlich ist auf deiner Karte ein Key, den die Bank auch kennt. Mit deiner Eingabe zusammen wird die Tan berechnet.



  • knivil schrieb:

    Wahrscheinlich ist auf deiner Karte ein Key, den die Bank auch kennt. Mit deiner Eingabe zusammen wird die Tan berechnet.

    Klingt logisch.

    Vermutung:
    Und gegen Abhörer wird kartenkey+zielkontonummer+vonbankwürfelnummer durch eine Hashfunktion geschickt, damit der Abhörer nicht aus 10 oder 20 Buchungen den Kartenkey zurückrechnen kann.
    Damit auch ohne Zurückrechnen nicht pro kartenkey+zielkontonummer die gleiche tan rauskommt, wird die von der Bank erwürfelte tan noch miteingegeben. Die Bank kann auch statt nur zu würfeln, die letzten 1000 würfelnummern speichern und nicht verwenden.
    Dann müßte der Angreifer, um wenn er den Verkehr überwacht, mindestens 1000 Überweisungen abwarten, bis er zum nächsten mal die Chance hat, eine schonmal gesehene kartenkey+zielkontonummer+vonbankwürfelnummer zu Gesicht zu bekommen, also die tan vorhersagen zu können.
    Oder sie speichert alle würfelnummern für diese Karte.

    Das wäre aber sehr bankenuntypische Kryptographie. Banken bauen lieber zusätzlich einen "geheimen" key in den tan-Generator ein, lassen die würfelnummern aber möglichst platt. Läßt sich leichter dem Vorstand verkaufen.



  • ne laufende Nummer nicht vergessen, damit TANs nur für eine Transaktion gültig sind bzw. keiner außer der Reihe TANs generieren kann


  • Mod

    zwutz schrieb:

    ne laufende Nummer nicht vergessen, damit TANs nur für eine Transaktion gültig sind bzw. keiner außer der Reihe TANs generieren kann

    Wozu eine laufende Nummer? Viel zu einfach erratbar. Lieber einen PRNG mit einem schwer erratbaren inneren Zustand.



  • SeppJ schrieb:

    Wozu eine laufende Nummer? Viel zu einfach erratbar. Lieber einen PRNG mit einem schwer erratbaren inneren Zustand.

    Ist doch egal, wie einfach zu erraten. Die Stärke muß in der Hash-Funktion liegen.
    Die laufende Nummer hat zum Vorteil, daß sie sich nicht wiederholt.



  • SeppJ schrieb:

    Wozu eine laufende Nummer? Viel zu einfach erratbar. Lieber einen PRNG mit einem schwer erratbaren inneren Zustand.

    ich mein ja nicht als alleiniges merkmal. Aber der Generator weiß, wie viel TANs er generiert hat und die Bank weiß, wie viele TANs genutzt wurden. Wenn der Zähler der Bank weiter ist, als der des Generators, kann man so einen Missbrauch erkennen



  • wenn man nur eine bestimmte anzahl braucht und die nicht am stueck will, wuerden sich rueckgekoppelte schieberegister fuer die nummern anbieten.


Log in to reply