[Hbci4java-help] status rsa-karten

SourceForge Headquarters 225 Broadway Suite 1600 San Diego, CA 92101 +1 (858) 422-6466

Eine kurze Status-Info zu den RSA-Chipkarten ("Bankensignaturkarten"):

chipcard-Framework [geschrieben für HBCI4Java-3!]:
  - Auslesen der HBCI-Zugangsdaten aus dem EF_NOTEPAD (und bei
    Bedarf Ändern dieser Daten) funktioniert

  - getestet ist das "Signieren" mit dem AUT-Schlüssel und mit
    dem DS-Schlüssel der Signatur-Anwendung - damit wäre also 
    die Erzeugung von HBCI-Signaturen für alle Sicherheitsklassen
    möglich. Getestet wurde allerdings nur, ob die mit dem
    eigenen privaten Schlüssel erzeugten Signaturen auch mit dem
    eigenen öffentlichen Schlüssel erfolgreich verifiziert werden
    können - eine echte HBCI-Kommunikation steht noch aus.

  - Entschlüsselung sollte ebenfalls funktionieren (noch nicht
    wirklich getestet) - damit wäre dann auch die Entschlüsselung
    empfangener HBCI-Nachrichten möglich

  - das ganze sollte mit SECCOS-5 und SECCOS-6-Karten und für alle
    möglichen HBCI-relevanten Signatur- und Hash-Algorithmen
    (ISO-9796-2/PKCS#1-1.5/PKCS#1-PSS mit RIPEMD-160/SHA-1/SHA-256)
    funktionieren

Die nächsten Schritte:
  - Bereitstellung eines Mini-Kommandozeilen-Test-Tools, mit
    dem ihr selbst testen könnt, ob das Framework auch für eure
    Karte funktioniert. Das sollte im Laufe der nächsten Woche
    passieren.

  - Integration des Frameworks in HBCI4Java-2 (Wichtig: das chipcard-
    Framework wurde ursprünglich für die Integration in HBCI4Java-3
    entwickelt und ist damit NICHT MEHR Java-1.4-kompatibel. Mit
    anderen Worten: die HBCI4Java-2-Release, die Unterstützung für
    RSA-Chipkarten mitbringen wird, wird ebenfalls mindestens 
    Java-1.6 benötigen).

    Hierbei erwarte ich noch einige kleinere Probleme (aus Gründen
    des internen Designs des Security-Layers in HBCI4Java) - das wird
    also nicht von heute auf morgen getan sein.

  - Tests gegen echte HBCI-Server. Auch hierbei erwarte ich noch
    Probleme, weil die bisherigen Tests nur "lokal" erfolgt sind
    (die von der Karte erzeugten Signaturen wurden mittels Java-API
    wieder verifiziert). Spannend wird es, wenn die BANK diese
    Signaturen überprüfen soll, weil diese möglicherweise von anderen
    Algorithmen, Formatierungen, ... ausgeht :-)

-stefan-