Eurocheque-Karten: Sicherheitsmängel des ec-PIN-Verfahrens
Marcus Janke, Peter Laackmann
Card Forum, 9, 1997, S. 39-47.
Um die Sicherheit der eurocheque-Karte mit Geheimnummer (PIN) wird seit 1985 eine extrem kontroverse Diskussion geführt. Beispielsweise zeigte ein Bericht des ARD Ratgeber Technik [1], wie mit Hilfe einer manipulierten ec-Karte an einem Tag das Vielfache des Auszahlungslimits von einem Konto abgehoben wurde. Seitdem sorgten widersprüchliche Aussagen aller Beteiligten für Verwirrung, was unter anderem eine optimale juristische Beurteilung der eurocheque-Betrugsfälle extrem erschwerte. So wurde die Möglichkeit, die Geheimzahl einer eurocheque-Karte zu errechnen oder mit wenigen Versuchen zu erraten, von einigen Gerichten in Betracht gezogen, von anderen jedoch aus unterschiedlichen Gründen, unter anderem wegen fehlender Verifizierung des für einen erfolgreichen Angriff benötigten Rechenverfahrens abgewiesen. Die Übersicht in Tabelle 1 zeigt die inhomogene rechtliche Entwicklung dieser Problemstellung.
Tabelle 1
|
Datum |
Aktenzeichen, Literaturstellen |
Fragestellung im Rahmen der Verhandlung |
Entscheidung |
|
16.5.1986 |
LG Hamburg 74 O 177/86 NJW 87, 658. |
Ist die Geheimzahl in verschlüsselter Form auf dem Magnetstreifen enthalten ? |
Ja |
|
27.5.1987 |
LG Saarbrücken 17 S 402/86 NJW 87, 2381. |
Ist eine Ermittlung der PIN aus der Karte möglich ? |
Unwahrscheinlich |
|
11.2.1988 |
AG Bochum WM 88, 1629. |
Ist eine Ermittlung der PIN aus der Karte möglich ? Wenn ja, wie lange dauert die Berechnung ? |
Dauer der Berechnung: "Jahre" |
|
24.2.1989 |
AG Darmstadt 36 C 4386/87 NJW-RR89, 1138; WM 90, 543. |
Ist eine Ermittlung der PIN aus der Karte in wenigen Minuten möglich ? Haftet die Bank bei Entschlüsselung der PIN ? |
Ja |
|
18.12.1990 |
LG Hamburg 9 S 31/89 |
Kenntnis der Banken von der Möglichkeit der Ermittlung der PIN aus den Kartendaten |
vor 1986 nein |
|
22.11.1991 |
BGH 2 StR 376/91 NJW 92, 445; JZ 92, 1031. |
Ist die Geldentnahme aus einem GAA mit einer gefälschten Karte Computerbetrug ? |
Ja |
|
24.6.1993 |
ByObLG 5 St RR 5/93 WM 93, 2079; wistra 93, 304. |
Ist die Manipulation der Kto-Nr. auf dem ec-Magnetstreifen mit erfolgloser Eingabe in den GAA ein versuchter Computerbetrug ? |
Ja |
|
20.9.1994 |
LG Köln 11 S 338/92 WM 95, 976. |
Ist die PIN ohne das Zutun des Karteninhabers zu ermitteln ? |
Nein |
|
11.1.1995 |
LG Bonn 5 S 163/94 NJW-RR 95, 815; MDR 95, 277; WM 95, 575. |
Ist es möglich, die PIN in einem überschaubaren Zeitraum zu ermitteln ? |
Nein |
|
24.2.1995 |
AG München 111 C 29965/93 WM 95, 1995. |
Ist eine erfolgreiche Benutzung einer ec-Kopie auf Blankokarte am GAA möglich ? |
Nein |
|
6.9.1995 |
AG Diepholz 2 C 254/95 WM 95, 1919. |
Ist die PIN Nummer mit Computer in 30 min zu ermitteln ? |
Nein
|
|
6.2.1996 |
AG Oschatz Cs 253 Js 40126/95; NJW 96, 2385; DuD 21, 1997, 295. |
Ist eine Manipulation der Abhebezeiten möglich ? Ist das Errechnen der PIN in Minuten möglich ? |
Ja |
|
17.3.1997 |
OLG Hamm 31 U 72/96 ZIP 97, 878. |
Ist das Erraten der PIN in kurzer Zeit möglich ? Ist die Entschlüsselung der PIN möglich ? |
nicht ausgeschlossen |
|
9.5.1997 |
AG Hannover 567 C 9676/94 9.5.1997. |
Ist das Erraten der PIN in kurzer Zeit möglich ? Ist die Entschlüsselung der PIN möglich ? |
Nein
|
Das Urteil des OLG Hamm und seine Medienwirksamkeit erschütterte gewissermaßen die langjährig vertretene Position der Kreditinstitute. Dennoch wird aus dem Urteilsspruch des AG Hannover, der nur zwei Monate später gefällt wurde, deutlich, daß eine eindeutige juristische Klärung aller Risikofaktoren noch aussteht. Zahlreiche nichtbelegbare Informationen aus unseriöser Berichterstattung sowie spekulative Ratewahrscheinlichkeiten für eine PIN, die sich im Bereich von 1:72 Billiarden [2] (bei einer vierstelligen Geheimzahl!) bis zu einem Treffer in 17 Versuchen für ein nicht reproduzierbares Experiment [3] bewegen, erschweren die Diskussion um eine effektive Risikoabschätzung.
Die folgende Risikoanalyse, die auf der Studie "Untersuchung zur Sicherheit des eurocheque-PIN-Verfahrens" [4] im Auftrag des Norddeutschen Rundfunks basiert, besitzt den Anspruch, Risikofaktoren in bezug auf Ratewahrscheinlichkeiten für verschiedene Tätertypen und verschiedene eurocheque-Geheimnummern nachvollziehbar darzustellen. Um die Sicherheitsmängel des eurocheque-Systems zu erkennen, ist es zunächst einmal wichtig, den Ablauf der PIN-Generierung zu betrachten:
Erzeugung der eurocheque-Geheimzahl (PIN)
Die PIN wird aus den spezifischen Daten jeder einzelnen eurocheque-Karte erzeugt. Dieses Verfahren ist dadurch gekennzeichnet, daß zunächst aus der Bankleitzahl, der Kontonummer und der Kartenfolgenummer unter Auffüllung fehlender Stellen mit Nullen eine 16-stellige Eingabezahl für die Verschlüsselung generiert wird. Diese Zahlenfolge wird nun unter Verwendung des geheimen 56 Bit langen Institutsschlüssels, der mit acht Prüfbits ("Parity-bits") auf 64 Bit erweitert wird, mit dem DES-Verfahren ("Data Encryption Standard") verschlüsselt. Als Ergebnis dieser Verschlüsselung liegt eine achtstellige Zahlenkette vor, deren Ziffern jedoch dem Hexadezimalsystem zugehören. Dies bedeutet, daß jede der acht Stellen einen Wert von 0 bis 15 annehmen kann, was durch die Zahlen 0 bis 9 sowie zusätzlich durch die Buchstaben A bis F (stellvertretend für die Zahlen 10 bis 15) symbolisiert wird. Die Zahlen von 1 bis 16 werden somit wie folgt in dem Ergebnis dargestellt: 1,2,3,4,5,6,7,8,9,A,B,C,D,E,F.
Um aus dem achtstelligen Ergebnis eine gültige vierstellige PIN zu erhalten, sind weitere Schritte notwendig. Aus dem Ergebnis werden im ersten Schritt vier festgelegte Stellen entnommen. Da es sich immer noch um hexadezimale Ziffern handelt, die auch die Buchstaben A-F enthalten können, die PIN jedoch ausschließlich aus Ziffern zwischen 0 und 9 bestehen darf, werden in einem weiteren Schritt die hexadezimalen Ziffern in das übliche Dezimalsystem gewandelt. Hierzu werden den Buchstaben A-F die Zahlen 0-5 zugeordnet. Aus dem Verschlüsselungsergebnis "2-D-A-A-F-7-3-3" wird somit ueber die entnommenen vier Ziffern "A-A-F-7" durch diesen Vorgang die Zahl "0-0-5-7". Ein letzter Schritt betrifft die erste Stelle dieser Geheimzahl, die laut Konvention der Kreditinstitute niemals Null sein sollte. Erscheint als Ergebnis eine Null in der ersten Stelle, so wird aus dieser Stelle eine Eins. Im vorliegenden Fall erhält man damit letztlich die persönliche Geheimzahl "1-0-5-7".
Die Angriffspunkte
Im oben beschriebenen praktizierten Verfahren wird bei der Umwandlung der hexadezimalen Ziffern ins Dezimalsystem ein wichtiger Schwachpunkt deutlich: Die Zahlen 0-5 kommen durch die doppelte Vergabe statistisch gesehen sehr viel häufiger in den Geheimzahlen vor. Am schwersten ist die erste Stelle der PIN von dieser Ungleichverteilung betroffen: Unabhängig davon, ob das Verschlüsselungsergebnis für die erste Stelle die Ziffern 0, 1, A oder B liefert, wird die endgültige Geheimzahl an dieser Stelle die Zahl Eins erhalten.
Erste Stelle der PIN
E: (Eingabe) hexadezimale Zahl aus dem DES-Ergebnis
A: (Ausgabe) PIN Ziffer
|
E |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
A |
B |
C |
D |
E |
F |
|
A |
1 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
1 |
1 |
2 |
3 |
4 |
5 |
Daraus resultieren folgende Wahrscheinlichkeiten für das Auftreten einer Zahl P in der ersten Stelle der PIN:
A: (Ausgabe) PIN Ziffer
P: Auftrittswahrscheinlichkeit dieser Ziffer
|
A |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
P |
0 |
4/16 |
2/16 |
2/16 |
2/16 |
2/16 |
1/16 |
1/16 |
1/16 |
1/16 |
Zweite, Dritte und Vierte Stelle der PIN
E: (Eingabe) hexadezimale Zahl aus dem DES-Ergebnis
A: (Ausgabe) PIN Ziffer
|
E |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
A |
B |
C |
D |
E |
F |
|
A |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
0 |
1 |
2 |
3 |
4 |
5 |
Daraus resultieren folgende Wahrscheinlichkeiten für das Auftreten einer Zahl P in der zweiten, dritten und vierten Stelle der PIN:
A: (Ausgabe) PIN Ziffer
P: Auftrittswahrscheinlichkeit dieser Ziffer
|
A |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
P |
2/16 |
2/16 |
2/16 |
2/16 |
2/16 |
2/16 |
1/16 |
1/16 |
1/16 |
1/16 |
Erzeugt man 2000 Geheimzahlen mittels dieser Methode und analysiert man anschließend die statistische Verteilung der in ihnen enthaltenen Zahlen, so läßt sich die Ungleichverteilung durch ein Balkendiagramm darstellen:
Abb. 1
Ziffer #1 bis Ziffer #4 sind die vier Stellen der Geheimzahl, "0" bis "9" die in diesen Stellen auftretenden Zahlen. Deutlich ist zum Beispiel zu erkennen, daß die "1" in der ersten Stelle viermal häufiger vorkommt als die "6".
Einem Angreifer geht es vornehmlich darum, zu wissen, welche Geheimzahlen am häufigsten auftreten, um diese dann für seine Rateversuche zu verwenden. Um also herauszufinden, wie häufig eine bestimmte Geheimzahl ausgegeben wird, errechnet man für jede mögliche Geheimzahl eine Gesamtwahrscheinlichkeit, die sich aus den Wahrscheinlichkeiten der Ziffern zusammensetzt. Zwei Beispiele verdeutlichen diese Strategie:
PIN 8677
Wahrscheinlichkeit für eine 8 in der ersten Stelle = 1/16 = 0.0625
Wahrscheinlichkeit für eine 6 in der zweiten Stelle = 1/16 = 0.0625
Wahrscheinlichkeit für eine 7 in der dritten Stelle = 1/16 = 0.0625
Wahrscheinlichkeit für eine 7 in der vierten Stelle = 1/16 = 0.0625
Gesamtwahrscheinlichkeit für das Auftreten dieser PIN:
P(8677) = 0.0625 x 0.0625 x 0.0625 x 0.0625 = 0.00001525879
Die PIN "8677" wird nur mit geringer Wahrscheinlichkeit ausgegeben.
PIN 1152
Wahrscheinlichkeit für eine 1 in der ersten Stelle = 4/16 = 0.250
Wahrscheinlichkeit für eine 1 in der zweiten Stelle = 2/16 = 0.125
Wahrscheinlichkeit für eine 5 in der dritten Stelle = 2/16 = 0.125
Wahrscheinlichkeit für eine 2 in der vierten Stelle = 2/16 = 0.125
Gesamtwahrscheinlichkeit für das Auftreten dieser PIN:
P(1152) = 0.250 x 0.125 x 0.125 x 0.125 = 0.00048828125
Die PIN "1152" wird dagegen mit hoher Wahrscheinlichkeit ausgegeben.Die Auftrittswahrscheinlichkeit der PIN "1152" ist 32 mal höher als die Auftrittswahrscheinlichkeit der PIN "8677".
Führt man diese Rechnung für alle möglichen PIN von 1000 bis 9999 durch, und sortiert dann nach absteigender Auftrittswahrscheinlichkeit, so erhält man eine Liste, in der die häufigsten Geheimzahlen die oberen Plätze belegen [5].
Somit ist die statistische Verteilung der Geheimzahlen unter den eurocheque-Karteninhabern festgelegt: Aus dieser Liste lassen sich sechs Wahrscheinlichkeitsgruppen entnehmen, die im folgenden Kreisdiagramm (Abb. 2) als Sektoren dargestellt sind (Gruppe 1: höchste Wahrscheinlichkeit, Gruppe 6: niedrigste Wahrscheinlichkeit). Die jeweilige Größe der Sektoren zeigt die Anzahl der eurocheque-Karten der betreffenden Gruppe in Prozent der Gesamtmenge aller eurocheque-Karten.
Abb. 2
Die weitaus am häufigsten vergebenen Geheimzahlen bilden eine Gruppe von 216 PIN, die in der obigen Grafik als ausgerückter roter Sektor gezeigt sind (Gruppe 1). Diese Geheimzahlen sind dadurch gekennzeichnet, daß nach einer führenden Eins die letzten drei Stellen dieser Geheimnummern die Ziffern Null bis Fünf enthalten. Aufgrund der hohen Auftrittswahrscheinlichkeit dieser 216 Zahlen besitzen etwa zehn Prozent der ec-Karteninhaber eine PIN aus dieser Gruppe. Da die betreffenden 216 PIN im April dieses Jahres veröffentlicht wurden, ist davon auszugehen, daß heute eine große Personengruppe das Wissen über diese Sicherheitslücke besitzt, und daß auch in kriminellen Kreisen diese Ungleichverteilung bekannt ist. Ein Täter mit dieser Kenntnis würde nach der Entwendung einer Karte für die drei PIN-Eingabeversuche am Geldautomaten stets drei Geheimnummern aus der Gruppe der häufigsten 216 PIN nutzen. Für die oben erwähnten zehn Prozent der eurocheque-Karteninhaber bedeutet diese Vorgehensweise ein hohes Risiko, denn die Wahrscheinlichkeit, eine der 216 häufigsten PIN mit drei Versuchen zu erraten, beträgt (1/216) + (1/215) + (1/214) = 1:72. Gerade die Einfachheit dieser Angriffsmethode - der Täter braucht jedesmal, wenn er eine Karte entwendet, nur beispielsweise die Geheimzahlen 1331, 1332, 1333 auszuprobieren - macht diese Ungleichverteilung zu einem hohen Sicherheitsrisiko [6].
Gleichzeitig wird deutlich, daß das Risiko für diesen Fall für die einzelnen Kunden extrem unterschiedlich ist. Besitzt ein Kunde eine PIN, die nicht aus der besagten Gruppe stammt, so trägt er für diesen speziellen Angriff kein Risiko, denn seine Geheimzahl wird hierbei mit Sicherheit nicht erraten.
Soll ein Kartenbetrugsfall juristisch im Sinne eines Angriffs durch Raten einer Geheimzahl beurteilt werden, so sind zwei Parameter für eine optimale Einschätzung wichtig: Die Angriffsmethode (und damit der Tätertyp) sowie die persönliche Geheimzahl des Kunden. Tabelle 2 zeigt in vereinfachter Form die Kriterien für eine diesbezügliche Beurteilung:
|
Tätertyp und Angriffsmethode |
Bereich der Rateversuche |
maximales Risiko (drei Rateversuche) |
|
Kenntnis der Stellenzahl der PIN |
vierstellige Zahlen 0000 bis 9999 |
ca. 1:3333 für alle Kunden
|
|
Kenntnis des Zahlenbereichs der PIN |
vierstellige Zahlen 1000 bis 9999 |
ca. 1:3000 für alle Kunden Lit.[8] |
|
Kenntnis der häufigsten 216 PIN |
vierstellige Zahlen 1.Stelle "1", 2.-4.Stelle "0" bis "5" |
ca. 1:72 für etwa 10.5% der ec-Karten |
Besitzt beispielsweise ein Kunde die PIN "1422" und verliert seine Karte, so kann ein (unehrlicher) Finder durch Eingabe dreier Geheimzahlen aus der Liste der 216 wahrscheinlichsten PIN die richtige Zahl mit einer Wahrscheinlichkeit von 1:72 erraten.
Besitzt ein Kunde jedoch die PIN "2422", die ihrerseits nicht zu den 216 wahrscheinlichsten PIN gehört, so ist diese Methode wirkungslos. Der Täter mit hoher Systemkenntnis hat somit in diesem speziellen Fall keine Chance; ein Täter, der dagegen in Unkenntnis der Ungleichverteilung eine beliebige vierstellige Zahl eingibt, kann jedoch die PIN treffen, wenn auch nur mit der Wahrscheinlichkeit von 1:3000. Diese Beispiele machen deutlich, daß in jedem Fall das Täterprofil bzw. die exakte Angriffsmethode über die Erfolgschancen entscheidet. Außerdem ist festzustellen, daß das Risiko des Erratens der PIN unter den eurocheque-Karteninhabern nicht gleichverteilt ist, sondern daß sich erhebliche Differenzen ergeben, die eine individuelle Analyse im Schadensfall unbedingt notwendig werden lassen. Kunden, deren PIN eine Zahl aus der Gruppe 1 darstellt, wurde beispielsweise dringend empfohlen, die betreffende eurocheque-Karte bei der Bank zu tauschen, um durch eine neue Kartenfolgenummer eine neue PIN zu erhalten [6].
High-Tech-Methoden
Im Gegensatz zu diesem relativ trivialen Angriff steht der vieldiskutierte "high-tech"-Angriff auf die eurocheque-Karten-PIN mit Hilfe von Kartenlese- und Schreibgeräten. Hier werden zwei Angriffsverfahren in Betracht gezogen, die auch miteinander kombiniert werden können:
Das Auslesen der sogenannten Offset-Werte auf dem Magnetstreifen der ec-Karte mit Hilfe eines Magnetkartenlesegerätes hilft dem Angreifer, den gültigen Bereich der Geheimzahl weiter einzugrenzen. In mehreren Gutachten [7], [8] wird davon ausgegangen, daß durch das Auslesen der Offsetwerte, die ihrerseits das Ergebnis eines Verfahrens mit einer Ungleichverteilung darstellten, die Ratewahrscheinlichkeit mit drei Versuchen für alle eurocheque-Karten auf etwa 1:150 erhöht werden könne, wobei sämtliche Kunden von diesem Risiko betroffen wären. In einer Stellungnahme des ZKA wird jedoch hierzu ausgeführt, daß einerseits nur maximal zwei der Offset-Werte in dem angesprochenen Zusammenhang zur PIN ständen, andererseits viele Karten heute keine gültigen Offsets mehr enthielten. Um diesen Punkt im Einzelfall zu klären, muß die betreffende Karte zur Analyse des Magnetstreifeninhalts, insbesondere der Offsets, vorliegen, was allerdings bei einem Diebstahl mit nachfolgender Verwendung am GAA meist nur dann der Fall ist, wenn die Karte vom GAA nach mehrmaliger Verwendung eingezogen wurde.
Die zweite häufig beschriebene "high-tech" Angriffsmethode setzt voraus, daß der Täter über ein motorbetriebenes Magnetstreifenschreib/lesegerät (ab 2000 Mark) verfügt, welches im Gegensatz zu den sehr preiswerten Durchzugs-Lesegeräten (ab 50 Mark) um Größenordnungen teurer ist. Mittels dieser Geräte ist es möglich, das Datenfeld für den Fehlbedienungszähler auf dem Magnetstreifen der eurocheque-Karte, welches bei falscher PIN-Eingabe von seinem Anfangswert "3" heruntergezählt wird, zurückzusetzen. Zumindest in der Anfangszeit des eurocheque-Karten-Systems konnte durch diesen Trick die Anzahl der Rateversuche erhöht werden [9]; außerdem konnte durch einen Schreibvorgang im Feld des letzten Abhebungszeitpunktes der an einem Tag verfügbare Geldbetrag vervielfacht werden [10]. Durch die heute verwendete Online-Autorisierung [11] der ec-Karte wird diese Betrugsmöglichkeit unterbunden [12]. Zusätzlich zur Speicherung der Fehler- und Zeitdaten auf dem Magnetstreifen der Karte wird beim Onlineverfahren im Zentralrechner der Autorisierungsstellen ein Fehlbedienungszähler geführt, der durch die Modifikation des Zählers auf der Karte nicht manipulierbar ist. Gleichzeitig werden auch bei einer Transaktion die Zeiten der Verfügung im Zentralrechner protokolliert. Stimmen die Daten auf der Karte nicht mit den Daten im Zentralrechner überein, kann von einem Manipulationsversuch ausgegangen werden. Ein Rücksetzen des Zählers auf dem Magnetstreifen ist wirkungslos.
Diese beiden "high-tech"-Varianten wurden in den Medien aufgrund des interessanten Hintergrundes intensiv diskutiert; die reale Bedeutung dieser Methoden muß jedoch relativiert werden: Einerseits ist ein derartiges Schreib/Lesegerätes sehr teuer; andererseits ist die Anzahl der Privatpersonen, die über ein solches Gerät und darüber hinaus auch über das entsprechende technische Hintergrundwissen verfügen, gering. Daher kann davon ausgegangen werden, daß ein solcher Angriff im Vergleich zu anderen Strategien, wie zum Beispiel das Ausprobieren dreier Geheimzahlen aus der Gruppe der 216 hochwahrscheinlichen PIN, eher eine untergeordnete Bedeutung annimmt.
"Smart Attack" - Ein ungelöstes Rätsel ?
Am 24.2.1989 wurde vom Amtsgericht Darmstadt bestätigt [13], daß die Geheimzahl einer eurocheque-Karte innerhalb weniger Minuten aus den Kartendaten ermittelbar ist. Grundlage dieser Entscheidung bildete ein Gutachten von Prof.Dr. Manfred Pausch aus dem Jahr 1988 [3]. Die dieser Arbeit zugrunde liegende Methode ist dadurch gekennzeichnet, daß aus den Kartendaten sowie den bekannten Geheimzahlen mehrerer eurocheque-Karten eine Funktion errechnet wird, mit deren Hilfe die unbekannten Geheimzahlen weiterer Karten ermittelt werden sollen. Die Kartendaten der bekannten Karten werden dabei wie die Eingangsdaten zur DES-Verschlüsselung zusammengestellt (siehe oben: "Erzeugung der Geheimzahl"). Die so erhaltene Dezimalzahl wird auf einer Achse eines Koordinatensystems aufgetragen, auf der anderen Achse wird die jeweilige Geheimzahl markiert. Jeder Punkt in diesem Koordiantensystem repräsentiert eine Karte mit bekannter PIN. Soll eine unbekannte PIN ermittelt werden, so wird eine Kurve ("Funktion") durch die bekannten Punkte gelegt, deren Schnittpunkt mit den Daten einer zu prüfenden Karte die Geheimzahl liefern soll. Wird die Geheimzahl bei dem ersten Rateversuch nicht richtig wiedergegeben, so wird die Funktion verändert und erneut ein Schnittpunkt berechnet. Im Fall der Verhandlung vor dem AG Darmstadt lieferte dieses Verfahren beim 17.Versuch ein richtiges Ergebnis für eine eurocheque-Geheimzahl.
Dies war der bislang einzige dokumentierte Versuch mit dieser Methode, deren Erfolgsaussichten von Prof. Dr. Pausch im Oktober 1995 im ARD Ratgeber Technik bestätigt [14] und die auf einer Fachtagung des BKA im Mai 1996 von ihm noch einmal ausführlicher erläutert wurde [15]. Eine Verifizierung des Verfahrens konnte jedoch bis heute nicht erbracht werden, so daß Fachkreise erhebliche Zweifel an der Wirksamkeit der Methode "Smart Attack" äußerten. Da das während der Erzeugung der Geheimzahlen auftretende DES-Ergebnis wie eine Zufallszahl erscheint ("pseudo-zufällige Verteilung"), somit also keine mathematische Abhängigkeit zeigt [16], ist nach dem Standpunkt der Kritiker keine Möglichkeit gegeben, unbekannte Geheimzahlen durch die Berechnung von Kurvenschnittpunkten ("Interpolation") zu ermitteln. Die effektive Ratewahrscheinlichkeit dieser Methode ist also momentan schwer zu beurteilen. Der erwähnte Treffer nach 17 Versuchen ist keinesfalls einer Ratewahrscheinlichkeit von 1:17 gleichzusetzen, denn niemand kann zur Zeit sagen, nach wievielen Rateversuchen der nächste Treffer erzielt werden würde bzw. wie groß die mittlere Zahl der Rateversuche mit dieser Methode sein könnte. Da die zu betrachtende Kurve alle Punkte des PIN-Zahlenbereichs von 1000 bis 9999 schneiden kann und nicht auf die hochwahrscheinlichen 216 PIN beschränkt ist, andererseits durch die oben erläuterte Ziffernverteilung eine Häufung der Datenpunkte zwischen PIN 1000 und PIN 2000 auftritt, spricht vieles für eine erhöhte Ratewahrscheinlichkeit, die jedoch aufgrund der fehlenden Differenzierung nach einzelnen Ziffern nicht an die Trefferwahrscheinlichkeit nach [5], [6] heranreichen kann. Aufgrund der besonderen Brisanz des Verfahrens sollte dieses jedoch nicht vorschnell verurteilt werden; die Autoren dieses Berichtes sind aus diesem Grunde momentan vom Norddeutschen Rundfunk mit der Rekonstruktion eines entsprechenden Computerprogramms beauftragt worden, so daß eine noch ausstehende abschließende Beurteilung in Kürze erfolgen kann. Dazu ist es geplant, das Verfahren auf eine große Anzahl von simulierten Karten mit DES-verschlüsselter PIN anzuwenden und auf diese Weise die effektive Ratewahrscheinlichkeit zu ermitteln.
Angriff auf den Institutsschlüssel
Die Verschlüsselung der Kartendaten zur Generierung der PIN erfolgt nach dem DES-Verfahren (Data Encryption Standard) [17], wobei zu verschlüsselnde Daten, wie schon erwähnt, in Paketen von je 64 bits verpackt und mit einem Schlüssel verrechnet werden. Diese Methode, die 1977 veröffentlicht wurde, stand schon wenige Wochen nach ihrer Offenlegung im Kreuzfeuer der Kritik [18]. Schon damals wurde angemerkt, daß es aufgrund der relativ kurzen Schlüssellänge nur eine Frage der Zeit sein sollte, bis ein DES-Schlüssel durch einfaches Ausprobieren aller Möglichkeiten in akzeptabler Zeit gefunden werden könne. Daß diese sogenannte "Brute-Force"-Methode ("rohe Gewalt") für das DES-Verschlüsselungsverfahren erfolgreich durchgeführt werden kann, war bisher lediglich Gegenstand von Spekulationen: Spezielle, nur für diesen Zweck entwickelte Maschinen, die über eine große Zahl von Microchips mit implementiertem DES-Algorithmus verfügen, wurden schon 1992 entworfen [19]. Eine neuere Weiterentwicklung dieses Gerätes soll laut Berechnung ihrer Entwickler in der Lage sein, einen DES-Schlüssel in dreieinhalb Stunden zu finden [20]. Die Existenz eines solchen Gerätes ist jedoch bisher nicht publiziert worden, so daß Fragen nach der Zuverlässigkeit der Schlüsselsuche mit dieser Methode (eine derartige Maschine erzeugt durch die enorme Anzahl an Rechenoperationen auch eine relativ hohe Zahl an statistisch verteilten Rechenfehlern) daher noch nicht abschließend zu beantworten sind. Eine Gruppe von sieben weltbekannten Kryptologen veröffentlichte schon im Januar 1996 eine deutliche Warnung [21] vor dem Gebrauch bestimmter Verschlüsselungsverfahren für Hochsicherheitsanwendungen. Dem DES-Verfahren wurde in diesem Zusammenhang für einige Bereiche nur inadäquate Sicherheit bescheinigt, da die Kosten für die Entschlüsselung eines DES-verschlüsselten Textes relativ gering sind. Für die erfolgreiche Suche nach einem DES-Schlüssel wird ein finanzieller Aufwand von 38 US$ angegeben.
Am 17. Juni dieses Jahres führte eine andere Strategie des "Brute Force"-Verfahrens zum Ziel bei der Suche nach einem DES-Schlüssel [22]. Die Firma "RSA Laboratories" hatte am 28. Januar 1997 einen Wettbewerb ausgeschrieben, um die Sicherheit einiger kryptografischer Verfahren zu untersuchen. Unter anderem wurde für die erfolgreiche Entschlüsselung eines mittels DES codierten Textes ein Preisgeld von 10.000 US-Dollar ausgesetzt.
Klartext sowie verschlüsselter Text wurden zur Verfügung gestellt, eine wichtige Voraussetzung für die Brute-Force-Methode. Ein Verbund von Computern, die über das Internet kommunizierten, konnte nun unter der Leitung von Rocke Verser, Gründer der Organisation "Deschall" (DES Challenge), die Schlüsselsuche erfolgreich beenden.
Das Verfahren DES stellt einen Schlüsselraum von 72.057.594.037.927.936 Schlüsseln zur Verfügung, die im "schlimmsten Fall" komplett durchsucht werden müssen, um den gültigen Schlüssel zu finden. Das Projekt "Deschall" konnte den Schlüssel nach Ausprobieren von etwa 25 Prozent des Schlüsselraumes bestimmen [23]. An dieser bemerkenswerten Leistung waren bis zu 14.000 Computer täglich beteiligt. Der gesamte zu durchsuchende Bereich wurde vom Zentralrechner aufgeteilt und die Teilbereiche den am Projekt teilnehmenden Computern übermittelt. Hatte ein Computer einen Teilbereich erfolglos abgesucht, so meldete er dies dem Zentralrechner von Deschall sofort über die Datenleitung, woraufhin ihm ein neuer Bereich zugeteilt wurde. Insgesamt waren an dem Projekt etwa 78.000 Computer beteiligt. Die Spitzenleitung dieses Verbundes betrug etwa sieben Milliarden Schlüssel pro Sekunde. Der Computer, der letztlich den gültigen Schlüssel fand, war ein üblicher Büro-PC mit einem Pentium/90MHz Prozessor.
Die Fachpresse zeigte sich angesichts dieser Leistung alarmiert; es werden Auswirkungen auf Kommunikationssicherheit und in besonderem Maße auf Finanztransaktionssysteme [24], [25] befürchtet. Hierzulande wird die Diskussion über die DES-Sicherheit mit der Frage nach der Sicherheit der eurocheque-Karte in Verbindung gebracht, da hier ebenfalls DES als Verschlüsselungsmethode verwendet wird. Würden die Schlüssel des eurocheque-Karten-Systems bekannt, so könnten Kriminelle aus den Magnetstreifendaten jeder Karte die entsprechende PIN in Sekunden berechnen. Es stellt sich die Frage, welcher Aufwand für einen derartigen erfolgreichen Angriff nötig ist.
Zunächst einmal ist festzustellen, daß ein Täter, sofern er selbst eine Karte mit PIN hat, noch nicht sämtliche Informationen besitzt, die für ein Brute-Force-Verfahren nötig sind. Da während der PIN-Generierung aus acht hexadezimalen Ziffern nur vier herausgenommen werden, und diese ihrerseits in das übliche Dezimalsystem umgewandelt werden, geht an dieser Stelle dringend benötigte Information verloren, so daß zwar mit dem Magnetstreifen der volle Klartext, mit der PIN jedoch nicht mehr der volle verschlüsselte Text zur Verfügung steht. Brute force geht jedoch immer von vollständigem Klartext und vollständigem verschlüsselten Text aus. Die fehlende Information muß also ersetzt werden. Dies ist möglich, indem die Daten weiterer eurocheque-Karten in die Berechnung einfließen, wobei verschiedene Karten eine unterschiedliche Menge an Information liefern können. Beispielsweise kann eine PIN "1178" aus den DES-Ergebnisziffern "1178", "0178", "A178", "B178", "BB78", "1B78", "AB78", "0B78" stammen. Die PIN "9679" kann dagegen nur aus dem DES-Ergebnis "9679" stammen und liefert daher einen größeren Informationsbeitrag. Somit sind eurochequec-Karten der Gruppe 6 des Kreisdiagramms Abb. 2 (alle Ziffern im Bereich von 6-9) für eine Schlüsselsuche prädestiniert; diese sind jedoch sehr selten. Es kann angenommen werden, daß für eine erfolgreiche Schlüsselsuche durchschnittlich fünf eurocheque-Karten mit bekannter PIN ausreichend sind. Auch wenn die Daten der im Sinne des Informationsgehaltes "besten" Karte im Brute-force-Verfahren zuerst getestet werden, so erhöht sich doch der Rechenaufwand um einen entscheidenden Betrag durch die Notwendigkeit, mit Hilfe mehrerer Karten ein eindeutiges Ergebnis zu erzielen.
Theoretisch ist es denkbar, daß ein entsprechender Angriff mit einem mehrstufigen Computerverbund oder einer speziellen Schlüsselsuchmaschine in Verbindung mit einem zweiten Rechner erfolgversprechend sein könnte. Die Schlüsselsuchmaschine würde eine Suche mit Hilfe der Daten und PIN der ersten Karte durchführen; dabei wird eine Vielzahl an möglichen Schlüsseln ausgegeben, die weiter mit den restlichen Karten abgeglichen werden müssen, um den einzigen gültigen Schlüssel herauszufiltern. Rechnerisch ergibt sich bei einer einmonatigen Schlüsselsuche eine Ausgabe von unter zehn zu prüfenden Schlüsseln pro Sekunde, die mit einem einfachen PC ausgewertet werden könnten. Bedenkt man den enormen finanziellen Gewinn für einen Angreifer, so rückt die Realisierung eines solchen Projekts für eine kriminelle Organisation immer mehr in den Bereich des Denkbaren.
Zusammenfassend läßt sich zum Thema der wirksamen Verschlüsselung sagen, daß das einfache DES-Verfahren in diesem und vielen anderen Bereichen keine adäquate Sicherheit mehr bieten kann. So wurde im Rahmen der Projektierung der neuen elektronischen Geldbörse GeldKarte beispielsweise das Triple-DES verwendet, welches den möglichen Schlüsselraum um etliche Zehnerpotenzen vervielfacht und damit auch in Zukunft effektiven Schutz vor der Brute-Force-Methode liefern wird.
Gegenmaßnahmen
Eine sofortige Reform des eurocheque-PIN-Verfahrens ist dringend erforderlich. Dabei steht die Behebung der Ungleichverteilung der PIN-Ziffern an vorderster Stelle. Durch diese Maßnahme wird das Risiko für den einzelnen Kunden überschaubar; gleichzeitig werden die extremen Unterschiede des persönlichen Risikos bei der Verwendung einer eurocheque-Karte nivelliert sowie die juristische Beurteilung stark vereinfacht. Im Rahmen der schon 1991 veröffentlichten ISO 9564-1 "Banking - PIN Management and Security" [26] wird ein elegantes Verfahren vorgeschlagen, welches mit einfachen Mitteln eine sehr gute Verteilung der Ziffern liefert. Die einzelnen Ziffern aus dem DES-Ergebnis werden dabei, beginnend von der ersten hexadezimalen Stelle, nach Werten kleiner als 10 durchsucht. Zahlen von 10 bis 16 werden verworfen. Nur wenn die gesamte Ergebnis-Zahlenfolge weniger als vier Zahlen unter 10 enthält, wird eine Umwandlung für die restlichen Stellen durchgeführt. Laut ISO erhält man auf diese Weise Geheimnummern mit einer nur sehr geringen, für einen Angriff nach [5] vernachlässigbaren Häufung der Zahlen 0 bis 5.
Da Anhang E der ISO 9564-1 lediglich informativen Charakter besitzt und damit keine Normvorgabe darstellt, verzichteten die Kreditinstitute 1991 auf eine Implementierung in das schon bestehende eurocheque-Karten-PIN-System - aus heutiger Sicht eine unglückliche Entscheidung.
Von der Anwendung des Verschlüsselungsverfahrens DES für sensible Bereiche wird schon seit längerer Zeit abgeraten; ein neues Verfahren mit deutlich erhöhter Sicherheit, zum Beispiel Triple DES, könnte hier eine sichere Codierung gewährleisten.Weiterhin ist zu bedenken, daß viele Sicherheitsexperten dringend davon abraten, die Option persönlich änderbarer Geheimzahlen einzuführen. Obwohl diese persönlich wählbaren Zahlen von den Kunden meist gut akzeptiert werden, ist diese Möglichkeit aus Sicherheitsgründen strikt abzulehnen, da aus Bequemlichkeit häufig Geburtstage, Telefonnummern, Geheimzahlen aus anderen Bereichen (GSM-Handy) oder sogar Teile der auf der eurocheque-Karte aufgedruckten Kontonummern oder Bankleitzahlen verwendet werden könnten, womit das Risiko für den Kunden extrem anwächst. Die Sorgfaltspflicht des Kunden würde sich auch auf die Wahl seiner PIN ausweiten - ein juristisch kaum zu übersehendes Problem.
Marcus Janke
Nordschleswiger Str. 37
D-22049 Hamburg
Tel. (+49) 40-6931513
Fax (+49) 40-6931513
Peter Laackmann
Alsenstr. 3
D-24118 Kiel
Tel. (+49)-413-577621
Fax (+49)-413-577621
Literaturhinweis
[1] T.Ammann, M.Lehnhardt, "Geldautomaten - Risiko für Bank- und Sparkassenkunden ?", Manuskript ARD Ratgeber Technik, 27.10.1985.
[2] Anm. der Autoren: Da eine vierstellige ganzzahlige PIN nach spätestens 10.000 Versuchen (0000-9999) mit Sicherheit gefunden wird, ist bei dem hier zitierten Wert von 1:72 Billiarden von einem Mißverständnis auszugehen. Diese Angabe bezieht sich auf das Erraten eines DES-Schlüssels.
[3] M.Pausch, Begutachtung der Wahrscheinlichkeit in kürzester Zeit die auf eurocheque-Scheckkarten enthaltene Basis-Information in zugehörige Geheim-Nummern umzuwandeln, Gutachten für AG Darmstadt, 10.7.1988.
[4] M.Janke, P.Laackmann, Untersuchung im Auftrag des NDR, Hamburg, Kiel, 1997.
[5] M.Janke, P.Laackmann, Entwicklung eines optimierten PIN-Rateverfahrens unter Nutzung der durch den PIN-Algorithmus entstehenden Ziffernhäufung, Auftragsarbeit für den NDR, Hamburg, Kiel, 1997.
[6] N.Peerenboom, "Endlich amtlich: EC-Karte und Geldautomat doch unsicher!", Manuskript ARD Ratgeber Technik, 20.4.1997; F.Luther, "Trügerische Sicherheit", FinanzTest 8, 1997, S.22-25.
[7] A.Heuser, Bundesamt für Sicherheit in der Informationstechnik, Gutachten zur Rekonstruierbarkeit der PIN-Zahl aus einer aufgefundenen oder entwendeten eurocheque-Karte gemäß Beweisbeschluß des OLG Hamm vom 30.10.96 (Az 31 U 72/96). Weitere Informationen: W.Schindler, Bundesamt für Sicherheit in der Informationstechnik, Interview in NJW-CoR 5, 1997, S.283-285.
[8] M.Pausch, Gutachten 9422/03, 25.2.1997, Begutachtung der Sicherheit einer eurocheque-Card im Rechtsstreit [...] vor dem Oberlandesgericht Hamm (Az 31 U 72/96).
[9] T.Ammann, M.Lehnhardt, "Weiter Streit um die Sicherheit von ec-Geldautomaten", Manuskript ARD Ratgeber Technik, 1.12.1985.
[10] T.Ammann, M.Lehnhardt, "Eurochequekarten und Geldautomaten - endlich sicher ?", Manuskript ARD Ratgeber Technik, 6.3.1988.
[11] Neuregelung des ec-Geldautomatensystems, in Werner Heiring "Banken Aktuell, Arbeitsmaterialien für den Unterricht".
[12] Sicherheit der eurocheque-PIN, Anmerkungen zum Urteil des OLG Hamm, 31 U 72/96 vom 17.3.1997, Verlautbarung des ZKA, in Werner Heiring "Banken Aktuell", "Arbeitsmaterialien für den Unterricht".
[13] Jerschenkowski, AG Darmstadt, Urteil 36 C 4386/87 vom 24.2.1989, NJW-RR 89,S.1138, Juristische Diskussion in WM 14, 1990, S.543.
[14] M.Pausch in N.Peerenboom, "Kontenklau per Elektronik, Telefonbanking und Plastikgeld", Manuskript ARD Ratgeber Technik, 29.10.1995.
[15] M.Pausch, "Die Sicherheit der persönlichen Geheimzahl auf Magnetkarten", Skript zum Vortrag auf der Fachtagung des BKA 15.5.1996.
[16] K. W. Campbell, M. J. Wiener, Proof the DES is Not a Group, Proceedings of Crypto '92, 1993.
[17] "Data Encryption Standard", National Bureau of Standards (US), FIPS Publication 46, National Technical Information Service, Springfield VA, 1977.
[18] W.Diffie, M.Hellman, "Exhaustive Cryptanalysis of the NBS Data Encryption Standard", Computer 10, 6.6.1977, S.74.
[19] H.Eberle, "A High-Speed DES Implementation for Network Applications", Advances in Cryptology - Crypto92 Proceedings, Springer Verlag.
[20] M.J.Wiener, "Efficient DES Key Search", Bell-Northern Research, Ontario, Canada.
[21] M.Blaze, W.Diffie, R.L.Rivest, B.Schneier, T.Shimomura, E.Thompson, M.Wiener, "Minimal Key Lengths for Symmetric Ciphers to Provide Adequate Commercial Security", A Report by an Ad Hoc group of Cryptographers and Computer Scientists, AT&T Research, Sun Microsystems, MIT Laboratory for Computer Science, Counterpane Systems, San Diego Supercomputer Center, Access Data Inc., Bell Northern Research, 6/1996. Vgl. auch G. Garon, R. Outerbridge, DES watch: An examination of the sufficiency of the Data Encryption Standard for financial institutions in the 1990's. Cryptologia, 15, 3, 1991, S.177.
[22] "Team of Universities, Companies and Individual Computer Users Linked over the Internet Crack RSA's 56-Bit DES Challenge", RSA Data Security Press Release, 6/1997.
[23] J.T.Holt, "Computer at Salt Lake City Based Web Development Firm Cracks the Code", iNetz Press Release, 19.6.1997; http://www.iNetz.com/deschall/inetz_pr.html.
[24] "Government Encryption Standard DES Takes a Fall", RSA Data Security Press Release, 6/1997.
[25] D.Clark, "Group of Programmers Cracks Financial-Data Encryption Code", Wall Street Journal, 20.6.1997, Vgl. auch H.Mathieu, Saarbrücker Zeitung, 18.2.1997.
[26] International Standard ISO 9564-1, First Edition 1991-12-15, Banking - Personal Identification Number Management and Security, International Organization for Standardization, Geneve, Switzerland 1991.
Marcus Janke
Nach dem Studium der Elektrotechnik/ Datentechnik an der Fachhochschule Hamburg entwickelte Marcus Janke im Rahmen der Diplomarbeit ein PC-Chipkartenlesegerät. Seit 1991 arbeitet er an der Projektierung und Realisierung von Stand-alone- und rechnergestützten Chipkartenterminals. Außerdem hat er seit 1993 zahlreiche Publikationen als Fachautor und Kolumnist veröffentlicht sowie Consultingtätigkeiten für ARD, ZDF und verschiedene Printmedien ausgeführt. Janke ist Mitverfasser zweier Studien im Auftrag der Kassenzahnärztlichen Vereinigung Hessen, hält Vorträge zum Thema Chipkartenapplikationen, Datenschutzfragen und Datensicherheitsaspekte und fertigt Arbeiten über die Sicherheit des eurocheque-Karten-PIN-Systems im Auftrag des NDR an. Seit Mai diesen Jahres ist er in der Entwicklungsabteilung der Firma NEWTEC-Ebert GmbH, Hamburg, im Bereich Chipkartenapplikationen tätig.
Peter Laackmann
Nach einem Diplom-Studium der Chemie an der Universität Kiel promoviert Peter Laackmann zur Zeit über Synthese und Eigenschaften neuartiger Flüssigkristalle, Verfahren auf Vektor- und Parallelrechnern. Ab 1991 entwickelte er Hardware- und Softwarekomponenten für synchrone und asynchrone Chipkarten sowie Chipkartenterminals. Seit 1993 hat er zahlreiche Publikationen als Fachautor und Kolumnist im Bereich Chipkartentechnologie, Applikationen und Sicherheitsfragen veröffentlicht, Vorträge auf internationalen Konferenzen gehalten. Ferner ist Laackmann Mitverfasser zweier Studien im Auftrag der Kassenzahnärztlichen Vereinigung Hessen. Wie auch sein Mitautor übte er Consulting-tätigkeiten für ARD, ZDF und Printmedien aus. In diesem Jahr arbeitete er im Auftrag des NDR über die Sicherheit des eurocheque-PIN-Systems und war am Projekt "Die Karte" des Kuratoriums Deutsche Kartenwirtschaft beteiligt.