In their presentation at the 27th SmartCard Workshop in Darmstadt (Germany), our payment experts, Dr Thomas Fromherz and Ronnie Brunner discussed the core challenges of the regulatory technical standards by means of the chosen technology. We meet these challenges on behalf of the Sparkassen and the Deutsche Kreditbank by employing the S-ID-Check-App for the Sparkassen, and the DKB-Card-Secure-App. These apps are based on Transakt technology from Entersekt.

1. 27. SmartCard Workshop – Fraunhofer SIT
Authentisierungsvorgaben und Anwendung der PSD2 im
e-Commerce
15./16. Februar 2017 – Dr. Thomas Fromherz, Ronnie Brunner

2. Netcetera | 2
PSD2 für Anfänger
Starke Kundenauthentisierung
Access to Account (X2A)

3. Netcetera | 3
RTS … immer noch für Anfänger
Draft
Regulatory Technical Standards
on strong customer authentication
and common secure communication
under PDS2

4. Netcetera | 4
RTS … was genau?
Wann anzuwenden?
Starke Kundenauthentisierung?
Sonst noch?
Ausnahmen?

5. Netcetera | 5
Wann ist starke Authentisierung anzuwenden?
Online Zugriff auf Konto
Elektronische Transaktion
«Risiko-Remote-Aktion»

6. Netcetera | 6
Was gilt als starke Authentisierung?
sA = { el | nel ≥ 2 ^ el ∈ Kat(egorien) }
Wissen Besitz Inhärenz
2FA

7. Netcetera | 7
2FA – Wissen
Ausreichende Länge / Komplexität
TTL
Sich nicht wiederholdende Zeichen

8. Netcetera | 8
2FA – Besitz
Widerstand gegen nichtautorisierte Nutzung
Replizierung verhindert

9. Netcetera | 9
2FA – Inhärenz
Keine vertraulichen Informationen
an nichtautorisierte Nutzer
Tiefe Wahrscheinlichkeit für Authentisierung von
nichtautorisierten Parteien als legitime Nutzer

10. Netcetera | 10
Und sonst noch?
Unabhängigkeit der Elemente
Vertraulichkeit & Integrität der Elemente
Vertraulichkeit, Authenzität, Integrität
von Betrag und Zahlendem

11. Netcetera | 11
Und sonst noch?
Mehrzweckgeräte (TEE, Rooted Devices)
Fehlversuch  Fehlerhaftes Authelement
Komm.schnittstellen/Sessions
Verschlüsselung
Max. Fehlversuche
×

12. Netcetera | 12
Authentisierung im e-Commerce – Kartenzahlung
DSRP
3-D Secure

13. Netcetera | 13
Authentisierung im e-Commerce – Browser
Browser

14. Netcetera | 14
Authentisierung im e-Commerce

15. Netcetera | 15
3-D Secure ACSFirewall der BankEinkaufsgerät des Kunden
Mobiles Gerät des Kunden
Entersekt Message
Router
Transakt Secure Gateway
1
7
3
4 5 6
Trusted Channel
2
8
Authentisierungsprozess im e-Commerce

16. Netcetera | 17
Der «Trusted Channel» im Detail
FIDO U2F zertifizierter «Authenticator» als erster Faktor
Unabhängiger Kanal
PKI-Setup mit X.509 v3
Zertifikaten
SHA-384, RSA
2048/4096, ECC 304
Offline Fallback TOTP
gemäß RFC6238
FIPS 140-2
Hardware HSM
TEE, Secure Enclave
(iOS), Nexus Imprint
(Android)

17. Netcetera | 19
Der zweite Faktor
Wissenselement
 PIN als klassischer Wissensfaktor
 Einfach bei der Registration erfassbar
 Bei Bestätigung der «Auth Message»
zusätzlich (statische) PIN abfragen
 Vollständiger zusätzlicher Faktor,
unabhängig vom ersten Faktor
Grosser Nachteil: PIN wird sehr gerne
vergessen, Eingabe ist mühsam
→ sehr «benutzerfeindlich»

18. Netcetera | 21
Das mit der Biometrie…
Inhärenzelement
 Touch ID / Fingerprint Scanning
 Aktuelle Implementationen sind «sicher»
 Hauptproblem: Erfassung ist nicht Teil
der Registration
 Gilt nicht als sicher
 Kein zentraler Angriffspunkt, da im
Gerät geprüft
Grosser Vorteil: sehr benutzerfreundlich

19. Netcetera | 23
Weitere Sicherheitsmassnahmen
Härtung der App
 Root detection
 Code obfuscation
 Verhinderung von Backup
 Runtime Tamper Detection
(Safety Net Support geplant, aktuell
nicht implementiert)
 Nativer Quellcode (aktuell
nicht implementiert)

20. Netcetera | 25
thomas.fromherz@netcetera.com
+41 44 297 5818
ronnie.brunner@netcetera.com
+41 44 297 5979
Dr. Thomas Fromherz
Head of Payment & Card Services
Ronnie Brunner
Head of Products / Co-Founder
Kontakte