Project

General

Profile

Bug #35

RAH, Umsatzabfrage

Added by thbe 2 months ago. Updated 10 days ago.

Status:
In Progress
Priority:
Normal
Category:
AqBanking
Start date:
08/07/2019
Due date:
Betriebssystem:
AqBanking-Version:
Anwendung:
Version der Anwendung:

Description

Hallo,

hier im Haus existiert ein Konto bei der Hypovereinsbank mit einem RDH1-Keyfile.
Da das ab September ja nicht mehr geht, wollte ich RAH mal mit aqbanking gegen meinen (Eigenbau-)hcbi-testserver testen, allerdings wurde da bei der Schlüsselabfrage (HKISA) immer RDH gesendet.
In dlg_newkeyfile.c wird der crypt-mode nicht abgefragt, dazu hab ich mal einen patch gemacht.
Mein testserver sagt mir damit nun immerhin, dass er (noch) kein RAH kann, weiter kann ich jetzt also erstmal nicht testen.
Wenn ein Schlüssel geholt werden kann, wird der Hash nicht im Dialog angezeigt (user.c, auch im patch).

Wenn ich Umsätze abrufe (HKKAZ/HIKAZ MT940) und das Buchungsdatum '0' ist (erster Auszug) gibts einen segfault.

Für gwen sind noch einige memleak-fixes dabei.

Gruss

aqbanking-rah-mode.txt Magnifier (3.75 KB) thbe, 08/07/2019 07:39 AM

gwen-memleaks.txt Magnifier (1.65 KB) thbe, 08/07/2019 07:39 AM

aqbanking-memleaks.txt Magnifier (1.82 KB) thbe, 08/07/2019 09:34 AM

aqbanking-rah-mode.patch Magnifier (4.26 KB) thbe, 08/07/2019 03:45 PM

aqbanking-memleaks.patch Magnifier (2.28 KB) thbe, 08/07/2019 03:45 PM

gwen-memleaks.patch Magnifier (1.8 KB) thbe, 08/07/2019 03:46 PM

aqbanking-gen-rah-keys.patch Magnifier (4.47 KB) thbe, 08/08/2019 01:45 PM

History

#1 Updated by thbe 2 months ago

Hmm ok, die Unterstützung der neuen RDH- und RAH-Verfahren ab 5.99.18beta ist wohl generell nur für Karten?

provider_keys.c: 66: Key generation not supported with this token

provider_keys.c:64

  if (AH_User_GetCryptMode(u)!=AH_CryptMode_Rdh) {
    DBG_ERROR(AQHBCI_LOGDOMAIN,
              "Key generation not supported with this token");
    return GWEN_ERROR_INVALID;
  }

und dann
provider_keys.c:184
 switch (rdhType)

nur 1-5 und 10

#2 Updated by thbe 2 months ago

Vergessen: aqbanking-memleaks

#3 Updated by martin 2 months ago

  • Status changed from New to In Progress

Moin,

koenntest Du die Patches bitte in einer Version erzeugen, die ich direkt mit "patch" verwenden kann? Idealerweise sogar mit git erstellt?
"patch" sagt mir mit allen moeglichen Optionen

patch: **** Only garbage was found in the patch input.

BTW: Ist Dein Test-Server oeffentlich bzw. der Code Open-Source? Ich arbeite zwar gerade selber an einem Test-Server, aber wenn es schon einen gaebe, mit dem man testen koennte...

Gruss
Martin

#4 Updated by thbe 2 months ago

So, das betrifft ja nur das anlegen mit dem Dialog-Setup, mit aqhbci-tool4 hab ich jetzt zumindest einen user mit RAH erstellen können,
damit sollte das auch über 'AB_Banking_ProviderControl' gehen. Dann mal weiterschauen...

Der testserver ist nicht öffentlich erreichbar, source-code bisher auch nur bei mir. An sich könnte es auch open-source werden.
Würde dir das mal direkt zuschicken, wie am besten?
Muss aber erst noch bisschen was anpassen.

"patch" sagt mir mit allen moeglichen Optionen

Ja, sorry, neue angehängt.
Gruss

#5 Updated by thbe 2 months ago

Weisst Du/jemand, was die hvb/unicredit aktuell an Chipkarten ausgibt?
Das soll zumindest mal SECCOS gewesen sein, das würde dann nicht gehen?

#6 Updated by martin 2 months ago

Moin,

vielen Dank, habe die Patches fuer AqBanking gerade eingebaut.

Was die Karten angeht: Frage am besten mal auf unserer Liste nach, denn en aktuellen Chipkarten-Code haben zwei andere Programmierer beigesteuert, die auch auf der Liste mitlesen (aqbanking-user).

Gruss
Martin

#7 Updated by bayerstefan 2 months ago

Servus,

als einer der RDH/RAH-Implementierer, was wir bis jetzt tatsächlich erfolgreich testen konnten sind RDH-7 und RDH-9, also bloß die Chipkartenvarianten von RDH. RAH ist zwar implentiert, ich hab aber bis jetzt kein Feedback dazu bekommen und konnte es auch nicht selber testen. Das kann natürlich auch heißen das es mit Chipkarten tatsächlich funktioniert. Ich hab mal in die Spezifikationen gelinst, das einzige RAH Profil mit Schlüsseldatei ist RAH-10, der schnelle Blick auf die angezeigten Codestellen läßt da tatsächlich den passenden Code noch vermissen.

Zum Thema Chipkarten selber, relevante RDH/RAH Karten sind zwingend SECCOS-Karten, wenn eine Bank also eine RAH-fähige Karte rausgibt ist das SECCOS mit der DF_SIG Signaturanwendung auf der Karte.

Grüße,
Stefan

#8 Updated by Berny 2 months ago

Hallo Stefan,

RAH-7 hatte ich mit Martins Hilfe zum Laufen gebracht und meine Erkenntnisse im Wiki https://www.aquamaniac.de/rdm/projects/aqbanking/wiki/RAH7_einrichten veröffentlicht.

Danke & viele Grüße
Bernhard

#9 Updated by thbe 2 months ago

Hallo,

also, ja, ich konnte einen user mit aqhbci-tool4 erstellen, aber auch da keinen Schlüssel erzeugen.
Mit aqbanking-gen-rah-keys.patch funktioniert das jetzt auch, und ich kann auch (RAH-10) mit meinem testserver entschlüsseln (verschlüsseln und signing hab ich noch nicht eingebaut).
Einen User über die Dialoge anlegen geht auch.
Zu dem Patch: da ist die Anmerkung

    /* the specs say that for RDH-10 we must not create keys longer than the server's
     * sign key (or, if absent, the server's encipher key) */

gilt das auch für RAH?
Bzw ist ja noch die Frage, ob ein richtiger Bankserver die Ver-/Entschlüsselung auch so sieht wie meiner.

Stefan, danke.
Nach ca 1h Warteschleife sagte man mir vorhin, dass man bei der Hypo Karten SECCOS 6 verwendet.

Gruss,
Thomas

#10 Updated by martin 2 months ago

Danke Dir, habe Deinen Patch ins GIT repo uebernommen.

Gruss
Martin

#11 Updated by thbe 2 months ago

Wie ist das eigentlich - ist eine Schlüsseländerung oder "Medienwechsel" überhaupt vorgesehen?
Also, laut 'FinTS Security - Sicherheitsverfahren HBCI'
Schlüssel ändern:

"Der Nachricht muss eine Dialoginitialisierung vorausgehen. Der Auftrag muss mit
dem alten Signierschlüssel signiert werden."

anstelle von Schlüssel neu:

"Diese Nachricht wird an Stelle einer Dialoginitialisierung gesendet."

usw.

Wäre, wenn ein "richtiger" Wechsel nicht geht, erst sperren und dann neu einreichen der Weg?
Oder seh ich grad alles komplett falsch...

#12 Updated by thbe 2 months ago

martin schrieb:

Danke Dir, habe Deinen Patch ins GIT repo uebernommen.

Aber gerne doch, und freut mich.

#13 Updated by bayerstefan 2 months ago

Berny schrieb:

Hallo Stefan,

RAH-7 hatte ich mit Martins Hilfe zum Laufen gebracht und meine Erkenntnisse im Wiki https://www.aquamaniac.de/rdm/projects/aqbanking/wiki/RAH7_einrichten veröffentlicht.

Danke & viele Grüße
Bernhard

Servus Berhard,
wird jetzt schön langsam OT, aber ich seh in der Kommandozeil bei Deinem Wiki-Eintrag -t ddvcard, was ja eigentlich theoretisch laut Standard gar net funktionieren darf, da RAH-7 zwingend nach einer Seccos-Karte (bei aqbanking wäre das -t zakcard) verlangt. Bist Du sicher das das stimmt?
LG,
Stefan

#14 Updated by Berny 2 months ago

Hallo Stefan,

gerade noch mal getestet: Mit '-t zkacard' klappt's nicht, auch `gct-tool showuser -t zkacard` resultiert in einem Fehler. Mit '-t ddvcard' läuft alles durch.

Viele Grüße
Bernhard

#15 Updated by bayerstefan about 2 months ago

Hallo Bernhard, (weiterhin sehr OT)

tschuldige die lange Stille, da RAH und DDV-Karte prinzipiell gar net funktionieren kann, glaub ich eher, daß beim Aufruf mit `-t ddvcard` alle RxH-spezifischen Parameter ignoriert werden und ein DDV-Zugang eingerichtet wird, da müßtest mal in die Userkonfigurationsdatei reinschauen ob das so ist. War zu faul selber im Quellcode rumzusuchen ;-)

Grüße,
Stefan

#16 Updated by Berny about 1 month ago

Hallo Stefan (immer noch OT),

oh Schande, da hast Du Recht! Ich kann --rdhtype weglassen, und es läuft immer noch. Da habe ich https://bs-ag.com/images/Download/DDBAC/Bankenliste.pdf heftig fehlinterpretiert (BYLADEM1AIC).

Sorry for the noise
Bernhard

#17 Updated by martin 10 days ago

  • Category set to AqBanking

Also available in: Atom PDF