Zeitlicher Ablauf der Ereignisse

Schweiz Jahr Frankreich
  1979 Bull stellt in Frankreich die erste Mikroprozessor-Karte her. Daraufhin bekunden Banken und Telecom ein erstes Interesse an der Technik.
  1983 Die ersten Spezifikationen der Bank-Chipkarte entstehen: Die Authentifikation der Karte basiert auf der Signierung von 160 Bits (20 Byte Nutzdaten) mittels eines geheimen RSA-Schlüssels mit einer Länge von 320 Bits ( franz. Beschreibung).
  1984 Kryptologen weisen das erste Mal auf Sicherheitsprobleme bei der verwendeten Schlüssellänge und weiteren Design-Entscheidungen hin.
  1989 Die Einführung der Chips auf den Bankkarten beginnt. Anfänglich hatte man stark mit Materialproblemen und Selbst-Zerstörungserscheinungen zu kämpfen.
  1990 Es erscheinen die ersten wissenschaftlichen Artikel, die die Unsicherheit des Authentifizierungsschemas bemängeln. Es wird eine Erhöhung auf mindestens 640 Bit vorgeschlagen. Die Banken lehnen dies (aus Kostengründen) ab.
Feldversuch mit der Postcard in Biel 1991  
Einführung der Postcard beginnt.
( Smartcard News, Nov.92)
1992 Die Einführung der Bankkarte ist abgeschlossen. Praktisch jede Karte enthält nun den Chip.
  1993 Verfügbarkeit von POS-Terminals nimmt zu.
  1995 Serge Humpich beginnt mit der Analyse der verwendeten Chipkarten
Der Zahlungsverkehr Post wird in PostFinance umgenannt.
Einführung der Postcard abgeschlossen.
1997 Analyse der Bankkarte durch Serge Humpich abgeschlossen; Faktorisierung des geheimen Schlüssels der Kartenausgabestelle auf einem PC und erste Herstellung eines Karten-Klons.
Aufgrund neuer Gesetze (Postgesetz, Fernmeldegesetz, Postorganisationsgesetz und Fernmeldeorganisationsgesetz) wird die bisherige Post reformiert: Die neue Swisscom AG übernimmt die Post PTT und wird privatisiert. Die restlichen Bereiche der Post (unter anderem die PostFinance) bleiben weitestgehen unter staatlicher Aufsicht. 1998

Mai: Serge Humpich hinterlegt die Anleitung zum Herstellen von Karten-Klonen bei einem Anwalt als Patent.

Juli: ´┐Żber einen Anwalt kontaktiert Humpich die GIE, das zuständige Bankenkonsortium. Nach der Aufforderung zum Beweis kauft Humpich mit Karten-Klonen, die keinem korrekten Kunden zugeordnet waren, 10 Fahrkarten am Automaten. Es folgen weitere Verhandlungen, die aber erfolglos bleiben.

September: Das GIE Bankenkonsortium erstattet Anzeige wegen versuchter Erpressung; es erfolgt eine Hausdurchsuchung bei Humpich durch die Polizei und die Beschlagnahme von Materialien.

Einführung von E-Payment-Lösungen 1999 Serge Humpich macht seine Erkenntnis über die gefundenen Sicherheitslücken öffentlich.
  2000

Januar: Prozess gegen Serge Humpich beginnt. Der Staatsanwalt fordert 2 Jahre Gefängnis und 50'000 Franc Geldstarfe.

Februar: Unabhängig von Humpich enthüllt eine andere Person die Sicherheitsprobleme der Karte, indem er den geknackten Schlüssel im Internet veröffentlicht. Parallel wird Serge Humpich zu 10 Monaten Bewährungsstrafe verurteilt. Er legt Widerspruch ein.

März: Die Banken erklären, dass sie 300 Millionen Franc investieren wollen, um das System sicher zu machen. Dem stehen geschätzte 11 Milliarden Franc Kosten gegenüber, weil die POS-Händler sich weigern, die Kosten für neue Geräte zu übernehmen.

Oktober: Der Widerspruch von Humpich wird von einem anderen Gericht zurückgewiesen. Humpich entscheidet sich, keinen weiteren Widerspruch zu erheben und das Urteil wird rechtskräftig.

  2001 Eine Gruppe von Hackern macht sich daran, aus den bekannten Informationen die Entwicklung einer Klon-Karte nachzubilden und nannte ihr Ergebnis "Yescard".
Für die Massenproduktions-taugliche Nachbildungen wurden alle Informationen einschliesslich des PIC-Quellcodes auf dem Internet veröffentlicht. Mehrere Klon-Karten werden nachprüfbar eingesetzt, um Transaktionen zu tätigen. Das GIE Bankkonsortium leugnet noch immer, dass diese Sicherheitslücke existiert.

April: Untersuchung der schweizerischen Postfinance-Karte: Nach technischer Analyse als französische Bankkarte identifiziert (Identisches Verfahren mit anderen Parametern/Schlüsseln)

Mai: Kontakt-Aufnahme zur PostFinance durch Vermittler

August: Erstes Treffen mit Vertretern der PostFinance in Basel

September: Treffen mit verantwortlichen Mitarbeitern der PostFinance in Bern. Darstellung der Sicherheitslücke und Forderung nach Beweislastumkehr im Missbrauchsfall.

Oktober: Hr. Gygi (Konzernleiter Post) informiert

November: Brieflicher Kontakt mit Bundesrat Leuenberger [1]

2002  

Januar: Antwort von Leuenberger [1]

2003  

August: Nachkontrolle des aktuellen Postcard-Systems. Es wurde festgestellt, dass weiterhin Postcards mit dem kompromittieren Schlüssel herausgegeben wurden. Eine ´┐Żnderung des Verfahrens oder des Schlüssels hat nicht stattgefunden. Die PostFinance und Leuenberger werden erneut über das Problem informiert [1]

September: Antwort von Leuenberger trifft ein [1]

Dezember: Vortrag über die Postcard auf dem 23C3 in Berlin.[2],[3]

2006  

März: Erstellung und Test eines Postcard-Klons

Dezember: Vortrag über die Postcard auf dem 24C3 in Berlin.[4]

2007  

Materialien (PDFs):

[1] Korrespondenzen: Korrespondenz-Postcard.pdf

[2] Vortragstext 23C3: 23C3-A_Not_So_Smart_Card.pdf

[3] Vortragsfolien 23C3: Postcard-23C3-Lecture.pdf

[4] Vortragsfolien 24C3: Postcard-24C3-Slides.pdf