« Home

Mathematik im Alltag

Handy | EC-Karte | Beispiel | Schwächen | Internet | Navigation

Handy
      Faktor 9:

EC-Karte
      Die PIN der Scheckkarte wird aus Kontonummer und Bankleitzahl
      wie folgt berechnet:
  • Die letzten 5 Ziffern der Bankleitzahl, die (evtl. durch führende Nullen ergänzte) 10-stellige Kontonummer des Kunden und eine aus einer einzigen Ziffer bestehende (und oft auch auf der Karte vermerkte) Kartenfolgenummer, insgesamt also 16 Ziffern, werden hintereinander als BCD's notiert, d.h. jede Ziffer wird in 4 Bit codiert: 0 wird 0000, 1 wird 0001, 2 wird 0010, 3 wird 0011, 4 wird 0100, ... , 9 wird 1001.

  • Diese 64 Bit dienen als Eingabe für den Triple-DES-Algorithmus. Dieser geht aus dem symmetrischen DES-Verfahren hervor, indem nacheinander mit einem 56-Bit-Schlüssel verschlüsselt, einem zweiten 56-Bit-Schlüssel ent(!)schlüsselt und erneut mit dem ersten Schlüssel verschlüsselt wird. Diese insgesamt 112 Schlüsselbits werden der Institutsschlüssel genannt. Ausgabe dieser Aktion sind 64 Bit.

  • Die ersten 16 Bit davon werden in 4 Blöcke à 4 Bit aufgeteilt. Jeder dieser Blöcke wird in die der Binärdarstellung entsprechende Dezimalziffer verwandelt. Da mit 4 Bit aber Zahlen von 0 bis 15 dargestellt werden können, werden die Zahlen 10 bis 15 wieder als 0 bis 5 aufgefaßt.

  • Die sich daraus ergebenden 4 Ziffern bilden die PIN. Sollte die erste Ziffer jedoch eine Null sein, wird noch eine von der Bank festgelegte Zahl hinzuaddiert.

Beispiel
      Angenommen, die (fiktive) Kontonummer sei 56599173 bei einer Bank
      mit der Bankleitzahl 40030590.
  • Die letzten 5 Ziffern der Bankleitzahl sind somit 30590, die Kontonummer ist 0056599173, und die Kartenfolgenummer sei 1. Der zu verschlüsselnde Bitstrom lautet damit:
    0011 0000 0101 1001 0000 0000 0000 0101 0110 0101 1001 1001 0001 0111 0011 0001.

  • Nach Anwendung von Triple-DES mit dem (geheimen) Institutsschlüssel sei die Ausgabe:
    0011 0101 1101 1000 .....
    Dies entspricht dezimal: 3 5 13 8.

  • Daraus ergibt sich die PIN: 3538 (die 13 gilt als 3). Da die PIN nicht mit Null beginnt, wird auch nichts mehr dazuaddiert.

Schwächen






  • Mit der Kenntnis von nur 4 oder 5 Kontonummern mit zugehöriger PIN
    (z.B. Privat- und Geschäftskonto, Zusammenarbeiten mit Freunden und Bekannten, ...) ist es bereits möglich, den Institutsschlüssel zu berechnen.

  • Da auch noch bis vor kurzem das einfache DES-Verfahren mit nur 56 Bit Schlüssellänge benutzt wurde, und bei der Umstellung auf 112 Bit oft einfach die ersten 56 Bit übernommen wurden, ist der Aufwand bei Kenntnis seiner damaligen PIN gerade mal doppelt so hoch (statt exponentiell). Und 56-Bit-Schlüssel können inzwischen relativ schnell berechnet werden (wenige Tage mit erschwinglichen legal erhältlichen Geräten).

  • Bei bekanntem Institutsschlüssel kann jede PIN eines jeden Kontos dieser Bank in Sekundenbruchteilen berechnet werden! Dadurch gibt es nicht zuletzt auch Beweisnot vor Gericht: wenn schon weniger als 5 Minuten nach dem Diebstahl der Karte Geld mit korrekt eingegebener PIN abgehoben wurde, ist bisher immer gegen den Kunden entschieden worden („die PIN stand bestimmt auf der Karte“). So ändern die Banken (natürlich) nie etwas an diesem Verfahren...

  • DES an sich ist zwar stark in Substitution und Konfusion, d.h. die Änderung eines Bits der Eingabe ergibt eine völlig andere Ausgabe. Trotzdem wird bei dem gegebenen Verfahren die Sicherheit nicht einmal annähernd ausgenutzt: es wird an festen Stellen mit Nullen aufgefüllt, es gibt die Beschränkung auf BCD-Ziffern (es werden nur 10 statt 16 verschiedene 4er-Blocks verwendet), und 48 der 64 Ausgabe-Bit werden verworfen. Von den über 65.000 verbleibenden Möglichkeiten werden auch nur maximal 9.000 genutzt.

  • Durch die Mehrfachbelegungen der Ziffern 0 bis 5 (auch 10 bis 15 ergeben schließlich 0 bis 5) sind die PIN's nicht gleichverteilt über den möglichen Zahlenraum von 1000 bis 9999. Die Chance eines Brute-Force-Angriffs (Ausprobieren bzw. Raten der PIN am Geldautomaten) ist somit wesentlich besser als 3 : 8997. Außerdem wird ein potentieller Betrüger nicht nur eine einzige Karte stehlen, sondern immer mehrere, um dadurch eine erhöhte Erfolgsquote zu erreichen.

  • Die Kartenfolgen-Nummer wird bei Diebstahl oder Verlust der Karte immer nur einfach um 1 erhöht, um eine neue (andere) PIN zu berechnen. D.h. der Dieb kann sogar die neue PIN bestimmen und mit einer selbst hergestellten Karte (ein Magnetkarten-Rohling kostet weniger als 30 Pfennig) weiter Geld zapfen. Das Hologramm auf der regulären Karte braucht er dabei gar nicht nachzumachen, da dieses nur von etwa einem Drittel der Automaten geprüft wird und wegen der Temperaturanfälligkeit dieser Einrichtung häufig auch Karten bei negativem Hologramm-Test akzeptiert werden.

  • Zusätzlich zum Institutsschlüssel gibt es drei weitere sogenannte Poolschlüssel für die Verwendung bei ausländischen Geldautomaten, die über keine Online-Anbindung an das deutsche Bankennetz verfügen. Die Offsets der damit errechneten PIN's zur Haupt-PIN sind auf der Karte gespeichert. Es genügt, einen dieser insgesamt 4 Schlüssel zu kennen!

  • Abgesehen davon gibt es natürlich noch unzählige weitere Angriffsmöglichkeiten, die nicht direkt etwas mit der PIN-Berechnung zu tun haben (Beobachtung der Eingabe der PIN vor der Entwendung der Karte, Besprühen der Tastatur mit Haarlack zum Ablesen der Fingerdruckspuren beim vorigen Kunden am selben Automaten, ...).

Internet
      Faktoren zwischen 10 und 15:

Navigation
      Faktoren zwischen 15 und 20:

Anfang | Topic | Homepage | E-Mail

Stand: 22. März 2013