... wurde festgestellt, dass die schweizerische Postcard im technischen Aufbau genau der (alten) französischen Bankkarte Carte Bleue entspricht. Für diese Bankkarte wurden aber bereits im Jahr 1998 Sicherheitsmängel nachgewiesen Text in französischer Sprache).
Die Analyse ergab, dass die Postcard auch heute noch zur Authentifikation (Echtheitsprüfung am POS-Terminal) ein RSA-Verfahren einsetzt, das auf einer Schlüssellänge von nur 320 Bit basiert. Ein vergleichbar langer Schlüssel wurde das erste Mal bereits im Jahr 1991 gebrochen (RSA-100); heute benötigt ein handelsüblicher PC für diese Aufgabe nur wenige Stunden (Beschreibung).
Mit der Kenntnis des RSA-Schlüssels der PostFinance können Karten-Klone hergestellt werden, die von POS-Terminals als echt (authentisch) akzeptiert werden. Aber auch ohne Kenntnis des RSA-Schlüssels können existierende Postcards dupliziert werden; die dafür notwendigen Informationen befinden sich ungeschützt auf der Postcard und können mit gängigen Chipcardlesern (~75 CHF) ausgelesen werden - ohne PIN-Abfrage!
In einer detailierten Beschreibung wird aufgezeigt, wie der technische Ablauf der Analyse nachvollzogen werden kann. Dafür werden ein PC, ein Chipkartenleser sowie eine Postcard benötigt.
Durch eine Besonderheit des Postcard-Verfahrens kann die PIN-Abfrage zur Authentifizierung des berechtigten Karteninhabers umgangen werden, wenn die eingeführte Karte als "authentische" Postcard vom Terminal akzeptiert wird. Dazu müssen wir uns den Ablauf einer PIN-Prüfung an einem EFT/POS-Terminal näher ansehen:
Üblicherweise ist der Ablauf der PIN-Prüfung bei Debit-Karten (ec-Karte) folgender:
Eingetastete PIN und Kartendaten vom Magnetstreifen werden vom EFT/POS-Terminal gelesen und an den Netzbetreiber weitergeleitet. In speziellen Authorisierungscentern wird die PIN auf Korrektheit geprüft und das Ergebnis an das Terminal zurück übermittelt. Dieses entscheidet anhand der erhaltenen Antwort, ob eine Transaktion ausgeführt wird.
Der Ablauf der PIN-Prüfung bei Postcard-Terminals ist hingegen folgender:
Wird die eingeführte Karte als authentische Postcard vom Terminal erkannt, so findet die PIN-Prüfung auf der Karte selbst statt! Die Karte meldet dann an das Terminal zurück, ob eine korrekte PIN vorliegt oder nicht.
Gelingt es nun, eine authentische Postcard herzustellen, kann diese so programmiert werden, dass jede beliebige PIN-Eingabe als "korrekt" an das Terminal gemeldet wird. Damit ist die Authentifizierung des berechtigten Karteninhabers ausgehebelt.
Eine chronologische Abfolge der Ereignisse in Frankreich als auch in der Schweiz gibt Aufschluss über die Vorgehensweise der Sicherheits-Experten, der Banken und der involvierten staatlichen Organe (Politik, Justitz,...).