HHD Challenge-Data fuer die neuen SEPA-Geschaeftsvorfaelle
147 views
Skip to first unread message
Olaf Willuhn
Nov 10, 2013, 6:19:21 PM11/10/13
to hbci...@googlegroups.com
Hi,
mir ist gerade aufgefallen, dass wir bei all der Programmierung der
neuen SEPA-Geschaeftsvorfaelle in HBCI4Java eine Sache vergessen haben.
Naemlich das Eintragen der Challenge-Daten fuer das chipTAN-Verfahren
gemaess der HHD 1.4 Spezifikation.
Konkret ist das die Datei src/challengedata.xml
Ich hab das fuer die SEPA-Lastschriften mal nachgetragen:
https://github.com/willuhn/hbci4java/commit/609cd0e4a8f3bfd595fd78142d5a87b1a6140784
Hier die beiden relevanten Spezifikationen dazu:
http://www.hbci-zka.de/dokumente/spezifikation_deutsch/Belegungsrichtlinien_TANve1.4.1_final_version_vom_2013-10-04.pdf
http://www.hbci-zka.de/dokumente/spezifikation_deutsch/Belegungsrichtlinien%20TANve1.4%20-%20GV-VK-Mapping-Tabellen%202013-07-18%20final%20version.pdf
Wenn man das chipTAN-Verfahren verwenden will (bei smsTAN gilt das
nicht), muss fuer jeden TAN-pflichtigen Geschaeftsvorfall hinterlegt
sein, aus welchen Einzelwerten aus dem Auftrag und basierend auf welcher
Visualisierungsklasse das Challenge gebildet werden soll. Diese
Informationen werden dann zur Visualisierung auf dem Display des
TAN-Generators verwendet.
Die ganze Sache ist ziemlich schwer verstaendlich. Schaut euch einfach
mal die 3 neuen Klassen fuer die SEPA-Lastschriften an, die ich mit o.g.
Commit eingefuegt habe. Nach diesem Schema muesste das auch noch fuer
die anderen neuen SEPA-Geschaeftsvorfaelle nachgetragen werden, die
TAN-pflichtig sind (Dauerauftragsabruf also z.Bsp. nicht).
In Schritt 1 muss man in "Belegungsrichtlinien TANve1.4 -
GV-VK-Mapping-Tabellen 2010-10-27 final version.pdf" ermitteln, welche
Visualisierungsklasse "VK" fuer den gewuenschten Geschaeftsvorfall
verwendet wird. Anschliessend schaut man in
"Belegungsrichtlinien_TANve1.4.1_final_version_vom_2013-10-04.pdf" nach,
wie diese Visualisierungsklasse aufgebaut ist. Bei den
SEPA-Lastschriften ist das die VK 29.
Das muesste noch eingebaut werden fuer:
- GVDauerSEPADel
- GVDauerSEPAEdit
- GVDauerSEPANew
- GVTermUebSEPA
Insbesondere die Dauerauftraege sind da alles andere als einfach, weil
dort die Parameter teilweise nicht generell Pflicht ("M") bzw. optional
("O") sind sondern conditional ("C"). Das heisst, ob sie gesetzt werden
muessen oder nicht, haengt vom Vorhandensein anderer Parameter ab.
Also, falls jemand Lust hat, sich mit dieser harten Nuss zu
beschaeftigen, nur zu ;)
Gruss
Olaf
mir ist gerade aufgefallen, dass wir bei all der Programmierung der
neuen SEPA-Geschaeftsvorfaelle in HBCI4Java eine Sache vergessen haben.
Naemlich das Eintragen der Challenge-Daten fuer das chipTAN-Verfahren
gemaess der HHD 1.4 Spezifikation.
Konkret ist das die Datei src/challengedata.xml
Ich hab das fuer die SEPA-Lastschriften mal nachgetragen:
https://github.com/willuhn/hbci4java/commit/609cd0e4a8f3bfd595fd78142d5a87b1a6140784
Hier die beiden relevanten Spezifikationen dazu:
http://www.hbci-zka.de/dokumente/spezifikation_deutsch/Belegungsrichtlinien_TANve1.4.1_final_version_vom_2013-10-04.pdf
http://www.hbci-zka.de/dokumente/spezifikation_deutsch/Belegungsrichtlinien%20TANve1.4%20-%20GV-VK-Mapping-Tabellen%202013-07-18%20final%20version.pdf
Wenn man das chipTAN-Verfahren verwenden will (bei smsTAN gilt das
nicht), muss fuer jeden TAN-pflichtigen Geschaeftsvorfall hinterlegt
sein, aus welchen Einzelwerten aus dem Auftrag und basierend auf welcher
Visualisierungsklasse das Challenge gebildet werden soll. Diese
Informationen werden dann zur Visualisierung auf dem Display des
TAN-Generators verwendet.
Die ganze Sache ist ziemlich schwer verstaendlich. Schaut euch einfach
mal die 3 neuen Klassen fuer die SEPA-Lastschriften an, die ich mit o.g.
Commit eingefuegt habe. Nach diesem Schema muesste das auch noch fuer
die anderen neuen SEPA-Geschaeftsvorfaelle nachgetragen werden, die
TAN-pflichtig sind (Dauerauftragsabruf also z.Bsp. nicht).
In Schritt 1 muss man in "Belegungsrichtlinien TANve1.4 -
GV-VK-Mapping-Tabellen 2010-10-27 final version.pdf" ermitteln, welche
Visualisierungsklasse "VK" fuer den gewuenschten Geschaeftsvorfall
verwendet wird. Anschliessend schaut man in
"Belegungsrichtlinien_TANve1.4.1_final_version_vom_2013-10-04.pdf" nach,
wie diese Visualisierungsklasse aufgebaut ist. Bei den
SEPA-Lastschriften ist das die VK 29.
Das muesste noch eingebaut werden fuer:
- GVDauerSEPADel
- GVDauerSEPAEdit
- GVDauerSEPANew
- GVTermUebSEPA
Insbesondere die Dauerauftraege sind da alles andere als einfach, weil
dort die Parameter teilweise nicht generell Pflicht ("M") bzw. optional
("O") sind sondern conditional ("C"). Das heisst, ob sie gesetzt werden
muessen oder nicht, haengt vom Vorhandensein anderer Parameter ab.
Also, falls jemand Lust hat, sich mit dieser harten Nuss zu
beschaeftigen, nur zu ;)
Gruss
Olaf
Olaf Willuhn
Nov 21, 2013, 4:48:57 PM11/21/13
to hbci...@googlegroups.com
Hi,
wobei ich vergessen hatte, zu erwaehnen, dass das client-seitige
Berechnen des Challenge beim TAN-Verfahren nur bei der sog.
"Prozess-Variante 1" gemaess
http://www.hbci-zka.de/dokumente/spezifikation_deutsch/FinTS_3.0_Security_Sicherheitsverfahren_PINTAN_Rel_20101027_final_version.pdf
noetig ist. Bei "Prozess-Variante 2" macht das die Bank. Da fordert der
Client nur das Challenge an, die Berechnung basierend auf den
Auftragsdaten geschieht aber auf dem Bankserver.
Ich frage mich jetzt, wie am Markt derzeit die Verteilung dieser
Prozess-Varianten ist. Denn obwohl die SEPA-Lastschrift inzwischen schon
von einigen Usern mit HBCI4Java verwendet wird und genau hier bis zum
11.11. aber die Challenge-Informationen noch in HBCI4Java fehlten, habe
ich dennoch bisher keine Rueckmeldungen von Usern erhalten, bei denen es
genau deshalb zu einem Fehler kam. Also entweder verwendeten die alle
ein anderen HBCI-Verfahren (Schluesseldatei, Chipkarte) oder die Bank
hat Prozess-Variante 2 verwendet. Oder es war Prozess-Variante 1 aber
die Bank hat in HITANS mitgeteilt, dass sie die Daten nicht braucht.
Jetzt mal angenommen, man koennte die Vermutung anstellen, dass sich die
Banken hier mehrheitlich fuer Prozess-Variante 2 entschieden haben, dann
braeuchte man den Challenge-Kram kuenftig eigentlich nicht mehr.
Allerdings hab ich da bankseitig keinen Ueberblick.
Man koennte im onlinebanking-forum.de zwar mal danach fragen. Allerdings
glaube ich nicht, dass man da wirklich bank-uebergreifende Infos kriegt.
Ich habs jetzt einfach mal gepostet:
http://www.onlinebanking-forum.de/phpBB2/viewtopic.php?p=96674#96674
Mal schauen, obs Antworten gibt.
Gruss
Olaf
Pecunia Support wrote:
> Ich schaue mir das am WE mal f�r die u.a. GVs an.
>
> Viele Gr��e,
> Frank
>
>
> Am 11.11.2013 um 00:19 schrieb Olaf Willuhn <olaf.w...@googlemail.com
> <mailto:olaf.w...@googlemail.com>>:
>> --
>> Sie erhalten diese Nachricht, weil Sie Mitglied der Google
>> Groups-Gruppe "hbci4java" sind.
>> Um Ihr Abonnement f�r diese Gruppe zu beenden und keine E-Mails mehr
>> von dieser Gruppe zu erhalten, senden Sie eine Email an
>> hbci4java+...@googlegroups.com.
>> Wenn Sie Nachrichten in dieser Gruppe posten m�chten, senden Sie eine
>> E-Mail an hbci...@googlegroups.com.
>> Gruppe besuchen: http://groups.google.com/group/hbci4java
>> Besuchen Sie
>> https://groups.google.com/d/msgid/hbci4java/52801479.8040904%40googlemail.com,
>> um diese Diskussion im Web anzuzeigen.
>> Weitere Optionen: https://groups.google.com/groups/opt_out
>>
>
wobei ich vergessen hatte, zu erwaehnen, dass das client-seitige
Berechnen des Challenge beim TAN-Verfahren nur bei der sog.
"Prozess-Variante 1" gemaess
http://www.hbci-zka.de/dokumente/spezifikation_deutsch/FinTS_3.0_Security_Sicherheitsverfahren_PINTAN_Rel_20101027_final_version.pdf
noetig ist. Bei "Prozess-Variante 2" macht das die Bank. Da fordert der
Client nur das Challenge an, die Berechnung basierend auf den
Auftragsdaten geschieht aber auf dem Bankserver.
Ich frage mich jetzt, wie am Markt derzeit die Verteilung dieser
Prozess-Varianten ist. Denn obwohl die SEPA-Lastschrift inzwischen schon
von einigen Usern mit HBCI4Java verwendet wird und genau hier bis zum
11.11. aber die Challenge-Informationen noch in HBCI4Java fehlten, habe
ich dennoch bisher keine Rueckmeldungen von Usern erhalten, bei denen es
genau deshalb zu einem Fehler kam. Also entweder verwendeten die alle
ein anderen HBCI-Verfahren (Schluesseldatei, Chipkarte) oder die Bank
hat Prozess-Variante 2 verwendet. Oder es war Prozess-Variante 1 aber
die Bank hat in HITANS mitgeteilt, dass sie die Daten nicht braucht.
Jetzt mal angenommen, man koennte die Vermutung anstellen, dass sich die
Banken hier mehrheitlich fuer Prozess-Variante 2 entschieden haben, dann
braeuchte man den Challenge-Kram kuenftig eigentlich nicht mehr.
Allerdings hab ich da bankseitig keinen Ueberblick.
Man koennte im onlinebanking-forum.de zwar mal danach fragen. Allerdings
glaube ich nicht, dass man da wirklich bank-uebergreifende Infos kriegt.
Ich habs jetzt einfach mal gepostet:
http://www.onlinebanking-forum.de/phpBB2/viewtopic.php?p=96674#96674
Mal schauen, obs Antworten gibt.
Gruss
Olaf
Pecunia Support wrote:
> Ich schaue mir das am WE mal f�r die u.a. GVs an.
>
> Viele Gr��e,
> Frank
>
>
> Am 11.11.2013 um 00:19 schrieb Olaf Willuhn <olaf.w...@googlemail.com
> <mailto:olaf.w...@googlemail.com>>:
>> Sie erhalten diese Nachricht, weil Sie Mitglied der Google
>> Groups-Gruppe "hbci4java" sind.
>> Um Ihr Abonnement f�r diese Gruppe zu beenden und keine E-Mails mehr
>> von dieser Gruppe zu erhalten, senden Sie eine Email an
>> hbci4java+...@googlegroups.com.
>> Wenn Sie Nachrichten in dieser Gruppe posten m�chten, senden Sie eine
>> E-Mail an hbci...@googlegroups.com.
>> Gruppe besuchen: http://groups.google.com/group/hbci4java
>> Besuchen Sie
>> https://groups.google.com/d/msgid/hbci4java/52801479.8040904%40googlemail.com,
>> um diese Diskussion im Web anzuzeigen.
>> Weitere Optionen: https://groups.google.com/groups/opt_out
>>
>
Pecunia Support
Nov 21, 2013, 4:23:48 PM11/21/13
to Olaf Willuhn, hbci...@googlegroups.com
Ich schaue mir das am WE mal für die u.a. GVs an.
Viele Grüße,
Frank
--
Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "hbci4java" sind.
Um Ihr Abonnement für diese Gruppe zu beenden und keine E-Mails mehr von dieser Gruppe zu erhalten, senden Sie eine Email an hbci4java+...@googlegroups.com.
Wenn Sie Nachrichten in dieser Gruppe posten möchten, senden Sie eine E-Mail an hbci...@googlegroups.com.
Olaf Willuhn
Nov 22, 2013, 5:13:11 PM11/22/13
to hbci...@googlegroups.com
Hi,
> ich habe folgende Banken getestet: Spaka, VoBa, DiBa, PoBa, DKB sowie
> Sparda. Alle verwenden durchweg Prozessvariante 2. Damit w�rde ich
> sagen: Mut zur L�cke.
Das klingt gut ;)
Eine Baustelle weniger.
Gruss
Olaf
> ich habe folgende Banken getestet: Spaka, VoBa, DiBa, PoBa, DKB sowie
> Sparda. Alle verwenden durchweg Prozessvariante 2. Damit w�rde ich
> sagen: Mut zur L�cke.
Das klingt gut ;)
Eine Baustelle weniger.
Gruss
Olaf
Pecunia Support
Nov 22, 2013, 4:21:59 PM11/22/13
to Olaf Willuhn, hbci...@googlegroups.com
Hallo Olaf,
ich habe folgende Banken getestet: Spaka, VoBa, DiBa, PoBa, DKB sowie Sparda. Alle verwenden durchweg Prozessvariante 2. Damit würde ich sagen: Mut zur Lücke.
Ich schaue mir das am WE mal für die u.a. GVs an.
Viele Grüße,
Um Ihr Abonnement für diese Gruppe zu beenden und keine E-Mails mehr
von dieser Gruppe zu erhalten, senden Sie eine Email an
hbci4java+...@googlegroups.com.
Wenn Sie Nachrichten in dieser Gruppe posten möchten, senden Sie eine
E-Mail an hbci...@googlegroups.com.
Gruppe besuchen: http://groups.google.com/group/hbci4java
Besuchen Sie
https://groups.google.com/d/msgid/hbci4java/52801479.8040904%40googlemail.com,
um diese Diskussion im Web anzuzeigen.
Weitere Optionen: https://groups.google.com/groups/opt_out
--
Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "hbci4java" sind.
Um Ihr Abonnement für diese Gruppe zu beenden und keine E-Mails mehr von dieser Gruppe zu erhalten, senden Sie eine Email an hbci4java+...@googlegroups.com.
Wenn Sie Nachrichten in dieser Gruppe posten möchten, senden Sie eine E-Mail an hbci...@googlegroups.com.
Gruppe besuchen: http://groups.google.com/group/hbci4java
Besuchen Sie https://groups.google.com/d/msgid/hbci4java/528E7FC9.6090409%40googlemail.com, um diese Diskussion im Web anzuzeigen.
Weitere Optionen: https://groups.google.com/groups/opt_out
Olaf Willuhn
Apr 6, 2014, 4:29:12 PM4/6/14
to hbci...@googlegroups.com, olaf.w...@googlemail.com
> ich habe folgende Banken getestet: Spaka, VoBa, DiBa, PoBa, DKB sowie
> Sparda. Alle verwenden durchweg Prozessvariante 2. Damit wïürde ich
> sagen: Mut zur Lücke.
Habe gerade festgestellt, dass eine Bank weiterhin Prozessvariante 1 verwendet. Eine, die auch sonst gern aus der Reihe tanzt: Die HASPA.
Ob die zusaetzlich auch Prozessvariante 2 anbieten, weiss ich nicht. Falls ihr also mal eine Fehlermeldung von einem User kriegt, wo sich im Log die Meldung "9010:-unzulässig (challenge-Klasse ist leer) (3: CustomMsg.GV.TANXStep4)" findet - genau das ist der Grund.
Reply all
Reply to author
Forward
0 new messages