Zur Sicherheit des ec-PIN-Verfahrens: Anmerkungen zum Urteil des AG Hannover1

Zur Sicherheit des ec-PIN-Verfahrens: Anmerkungen zum Urteil des AG Hannover¹

Marcus Janke, Peter Laackmann

DuD Datenschutz und Datensicherheit 21, 1997, 11, 657.

In Heft 9/97 diskutierten Hortmann und Niehoff das Urteil des OLG Hamm¹ zur Sicherheit des ec-PIN-Verfahrens. Anläßlich des noch nicht rechtskräftigen Urteils des AG Hannover² führen Janke und Laackmann diese Diskussion fort.

Der Beweis des ersten Anscheins³, der gegen die Kl. spricht, konnte durch das vorliegende Gutachten des Sachverständigen Pausch, welches auf den drei folgenden Angriffsmethoden basiert, nicht entkräftet werden:

Die zur rechnerischen Ermittlung der PIN erläuterte "Smart Attack" ist dadurch gekennzeichnet, daß aus den kombinierten Kartendaten (als x-Werte) sowie den bekannten PIN (als y-Werte) mehrerer ec-Karten eine Funktion errechnet wird, aus welcher die unbekannte PIN einer weiteren Karte durch Interpolation ermittelt werden soll. Während einer Verhandlung vor dem AG Darmstadt 1989 lieferte dieses Verfahren beim 17.Versuch das richtige Ergebnis.⁴ Dies war der bislang einzige dokumentierte Test dieser im Oktober 1995 bekräftigten⁵ Methode, die auf einer Fachtagung des BKA im Mai 1996 ausführlicher erläutert wurde.⁶ Eine experimentelle Verifizierung des Verfahrens konnte jedoch bis heute nicht erbracht werden, auch in der Beweisführung zum Urteil des AG Hannover hat der Sachverständige Pausch eine praktische Demonstration abgelehnt, so daß erhebliche Zweifel an der Zuverlässigkeit der "Smart Attack" bestehen.

Weiterhin wird die Möglichkeit dargelegt, die PIN mit einer Wahrscheinlichkeit von 1:150 aus den auf dem Magnetstreifen enthaltenen Offset-Daten zu "ermitteln". Der ZKA führt hierzu aus, daß einerseits nur maximal zwei der Offset-Werte in dem angesprochenen Zusammenhang zur PIN ständen, andererseits viele Karten heute keine gültigen Offsets mehr enthielten.⁷ Zur juristischen Klärung im Einzelfall muß die betreffende Karte zwecks Analyse der vorhandenen Offsets vorliegen. Der falsche Terminus "Ermitteln" (statt "Erraten") führte weiterhin zu einem Mißverständnis: Ohne die statistische Verteilung der benötigten Rateversuche zu beachten, wurde von der maximalen Zahl der Rateversuche mit Rücksetzen des Fehlerzählers (Offline-Betrieb des Geldautomaten) ausgegangen, und aus Gründen der kurzen Zeitspanne geschlossen, daß diese Methode hier nicht erfolgreich eingesetzt werden konnte.

Der dritte wichtige Punkt des Gutachtens diskutiert die Sicherheit des zur PIN-Verschlüsselung eingesetzten DES-Verfahrens. Die vollständige Problematik der "Brute-Force"-Methode wurde nicht ausreichend erörtert, so daß hier durch fälschliche Kombination zweier Zeitrahmen erneut ein Mißverständnis zum Nachteil der Kl. auftrat. Ein DES-Institutsschlüssel muß nur einmalig ermittelt werden, um über die Geheimnummern aller ec-Karten zu verfügen. Die Zeiträume für die Schlüsselsuche und für die Errechnung der PIN aus den Daten einer entwendeten ec-Karte sind daher voneinander völlig unabhängig. Da die erwähnte Hardware zur Schlüsselsuche beliebig linear skaliert werden kann, ist keineswegs ein Millionenbetrag nötig: Eine Maschine, die den gesamten Schlüsselraum innerhalb von zwei Jahren absucht, hätte 1995 nach vorsichtigen Schätzungen für unter 10.000,- DM erbaut werden können. Ist der seit vielen Jahren unveränderte Schlüssel bekannt, kann damit mit Hilfe eines kleinen Taschencomputers jede PIN ausgehend von den auf der Karte aufgedruckten Daten sofort errechnet werden.⁸

Ein einfacher und effektiver Angriff, der am 20.4.1997 erstmals publiziert wurde⁹ und die im zweiten Schritt des PIN-Verfahrens entstehende Ungleichverteilung der Ziffern der PIN nutzt,¹⁰ wurde vom Gutachter Pausch vernachlässigt und ist daher auch in der Begründung nicht vertreten:

216 Geheimzahlen bilden eine Gruppe mit größter Auftrittswahrscheinlichkeit, der etwa zehn Prozent aller ec-Karten angehören. Diese Geheimzahlen beginnen mit einer Eins, die folgenden drei Stellen enthalten nur Ziffern von Null bis Fünf. Ein Täter mit dieser Kenntnis kann nach der Entwendung einer Karte für die drei PIN-Eingabeversuche am Geldautomaten stets drei dieser Geheimnummern ausprobieren. Für jeden zehnten ec-Karteninhaber bedeutet diese Vorgehensweise ein hohes Risiko, denn die Wahrscheinlichkeit, eine der 216 häufigsten PIN mit drei Versuchen zu erraten, beträgt (1/216) + (1/215) + (1/214) = 1:72.

Gerade die Einfachheit dieser Angriffsmethode (der Täter benötigt keinerlei Hilfsmittel) macht diese Ungleichverteilung zu einem hohen Sicherheitsrisiko. Präventiv wurde Bankkunden, deren Geheimnummer zur Gruppe der höchsten Auftrittswahrscheinlichkeit gehört, daher empfohlen, eine neue ec-Karte und damit durch Änderung der in das PIN-Verfahren eingehenden Kartenfolgenummer eine neue PIN zu beantragen.¹¹

Literatur
^{1 OLG Hamm, Urteil v. 17.3.1997, Az. 31 U 72/96, abgedruckt in DuD 9/1997, S.540 ff.; vgl. NJW-CoR 1997, S.283-285.
^{2 AG Hannover, Urteil v. 9.5.1997, Az. 567 C 9676/94, nicht rkr.;WM 1997, S. 1208; abgedruckt in DuD Recht in diesem Heft.
^{3 Zum Anscheinsbeweis siehe Petri, Gateway in diesem Heft.
^{4 AG Darmstadt Az. 36 C 4386/87; WM 1990, S.543; NJW-RR 1989, S.1138.
^{5 NDR, Manuskript ARD Ratgeber Technik 29.10.1995.
^{6 M.Pausch, "Sicherheit der persönlichen Geheimzahl auf Magnetkarten", Script zum Vortrag 15.5.1996.
^{7 Stellungnahme des ZKA zum Urteil des OLG Hamm.
^{8 M.Hortmann, DuD 10/1997, S.532-533.
^{9 M.Janke, P.Laackmann,Entwicklung eines optimierten PIN-Rateverfahrens unter Nutzung der durch den PIN-Algorithmus entstehenden Ziffernhäufung, Studie im Auftrag des NDR, Hamburg, Kiel 1997;
N.Peerenboom, Manuskript ARD Ratgeber Technik 20.4.1997; FinanzTest 8, 1997, S.22-25.
^{10Ausführliche Darlegung: P.Laackmann, M.Janke in Card-Forum 9/1997, S.39-47.
^{11Sendung ARD Ratgeber Technik, 20.4.1997.}}}}}}}}}}}