| Schweiz | Jahr | Frankreich |
| 1979 | Bull stellt in Frankreich die erste Mikroprozessor-Karte her. Daraufhin bekunden Banken und Telecom ein erstes Interesse an der Technik. | |
| 1983 | Die ersten Spezifikationen der Bank-Chipkarte entstehen: Die Authentifikation der Karte basiert auf der Signierung von 160 Bits (20 Byte Nutzdaten) mittels eines geheimen RSA-Schlüssels mit einer Länge von 320 Bits ( franz. Beschreibung). | |
| 1984 | Kryptologen weisen das erste Mal auf Sicherheitsprobleme bei der verwendeten Schlüssellänge und weiteren Design-Entscheidungen hin. | |
| 1989 | Die Einführung der Chips auf den Bankkarten beginnt. Anfänglich hatte man stark mit Materialproblemen und Selbst-Zerstörungserscheinungen zu kämpfen. | |
| 1990 | Es erscheinen die ersten wissenschaftlichen Artikel, die die Unsicherheit des Authentifizierungsschemas bemängeln. Es wird eine Erhöhung auf mindestens 640 Bit vorgeschlagen. Die Banken lehnen dies (aus Kostengründen) ab. | |
| Feldversuch mit der Postcard in Biel | 1991 | |
|
Einführung der Postcard beginnt. ( Smartcard News, Nov.92) |
1992 | Die Einführung der Bankkarte ist abgeschlossen. Praktisch jede Karte enthält nun den Chip. |
| 1993 | Verfügbarkeit von POS-Terminals nimmt zu. | |
| 1995 | Serge Humpich beginnt mit der Analyse der verwendeten Chipkarten | |
|
Der Zahlungsverkehr Post wird in PostFinance umgenannt. Einführung der Postcard abgeschlossen. |
1997 | Analyse der Bankkarte durch Serge Humpich abgeschlossen; Faktorisierung des geheimen Schlüssels der Kartenausgabestelle auf einem PC und erste Herstellung eines Karten-Klons. |
| Aufgrund neuer Gesetze (Postgesetz, Fernmeldegesetz, Postorganisationsgesetz und Fernmeldeorganisationsgesetz) wird die bisherige Post reformiert: Die neue Swisscom AG übernimmt die Post PTT und wird privatisiert. Die restlichen Bereiche der Post (unter anderem die PostFinance) bleiben weitestgehen unter staatlicher Aufsicht. | 1998 |
Mai: Serge Humpich hinterlegt die Anleitung zum Herstellen von Karten-Klonen bei einem Anwalt als Patent. Juli: �ber einen Anwalt kontaktiert Humpich die GIE, das zuständige Bankenkonsortium. Nach der Aufforderung zum Beweis kauft Humpich mit Karten-Klonen, die keinem korrekten Kunden zugeordnet waren, 10 Fahrkarten am Automaten. Es folgen weitere Verhandlungen, die aber erfolglos bleiben. September: Das GIE Bankenkonsortium erstattet Anzeige wegen versuchter Erpressung; es erfolgt eine Hausdurchsuchung bei Humpich durch die Polizei und die Beschlagnahme von Materialien. |
| Einführung von E-Payment-Lösungen | 1999 | Serge Humpich macht seine Erkenntnis über die gefundenen Sicherheitslücken öffentlich. |
| 2000 |
Januar: Prozess gegen Serge Humpich beginnt. Der Staatsanwalt fordert 2 Jahre Gefängnis und 50'000 Franc Geldstarfe. Februar: Unabhängig von Humpich enthüllt eine andere Person die Sicherheitsprobleme der Karte, indem er den geknackten Schlüssel im Internet veröffentlicht. Parallel wird Serge Humpich zu 10 Monaten Bewährungsstrafe verurteilt. Er legt Widerspruch ein. März: Die Banken erklären, dass sie 300 Millionen Franc investieren wollen, um das System sicher zu machen. Dem stehen geschätzte 11 Milliarden Franc Kosten gegenüber, weil die POS-Händler sich weigern, die Kosten für neue Geräte zu übernehmen. Oktober: Der Widerspruch von Humpich wird von einem anderen Gericht zurückgewiesen. Humpich entscheidet sich, keinen weiteren Widerspruch zu erheben und das Urteil wird rechtskräftig. |
|
| 2001 |
Eine Gruppe von Hackern macht sich daran, aus den bekannten Informationen die
Entwicklung einer Klon-Karte nachzubilden und nannte ihr Ergebnis
"Yescard". Für die Massenproduktions-taugliche Nachbildungen wurden alle Informationen einschliesslich des PIC-Quellcodes auf dem Internet veröffentlicht. Mehrere Klon-Karten werden nachprüfbar eingesetzt, um Transaktionen zu tätigen. Das GIE Bankkonsortium leugnet noch immer, dass diese Sicherheitslücke existiert. |
|
|
April: Untersuchung der schweizerischen Postfinance-Karte: Nach technischer Analyse als französische Bankkarte identifiziert (Identisches Verfahren mit anderen Parametern/Schlüsseln) Mai: Kontakt-Aufnahme zur PostFinance durch Vermittler August: Erstes Treffen mit Vertretern der PostFinance in Basel September: Treffen mit verantwortlichen Mitarbeitern der PostFinance in Bern. Darstellung der Sicherheitslücke und Forderung nach Beweislastumkehr im Missbrauchsfall. Oktober: Hr. Gygi (Konzernleiter Post) informiert November: Brieflicher Kontakt mit Bundesrat Leuenberger [1] |
2002 | |
|
Januar: Antwort von Leuenberger [1] |
2003 | |
|
August: Nachkontrolle des aktuellen Postcard-Systems. Es wurde festgestellt, dass weiterhin Postcards mit dem kompromittieren Schlüssel herausgegeben wurden. Eine �nderung des Verfahrens oder des Schlüssels hat nicht stattgefunden. Die PostFinance und Leuenberger werden erneut über das Problem informiert [1] September: Antwort von Leuenberger trifft ein [1] Dezember: Vortrag über die Postcard auf dem 23C3 in Berlin.[2],[3] |
2006 | |
|
März: Erstellung und Test eines Postcard-Klons Dezember: Vortrag über die Postcard auf dem 24C3 in Berlin.[4] |
2007 |
[1] Korrespondenzen: Korrespondenz-Postcard.pdf
[2] Vortragstext 23C3: 23C3-A_Not_So_Smart_Card.pdf