Plaudert Ladekarte die Nutzer aus ?

Alle Themen über Elektroautos, zu denen es kein eigenes Forum gibt

Re: Plaudert Ladekarte die Nutzer aus ?

Beitragvon malbrecht » Fr 29. Dez 2017, 11:01

Moin,

ich bin sicher, dass das derzeitige "Ladekarteninformationsabgleichchaos" noch nicht ausbalanciert ist und dass viele Systeme in Punkto Datensicherheit ungefähr auf dem Stand der Bankkarten von vor 10 Jahren oder so sind (zur Erinnerung, in stark verkürzter und damit nicht 100% korrekter Wiedergabe: Da wurden Beispiel-Programme aus den Anleitungen einfach per copy und paste in die "finalen" Bankanwendungen übertragen, sodass mit ebensolchen Beispiel-Hack-Angriffen alle möglichen Daten auslesbar waren).

Aber.

Man sollte, finde ich, bei jeder Diskussion über Datensicherheit zumindest die verwendeten Begriffe richtig anwenden UND nicht mit halbgarem Verständnis Panik auslösen, wo das nicht notwendig ist. Für diese Warnung habe ich einen konkreten Grund: Seit Ewigkeiten versuche ich, Menschen zu einem "gesitteten" Umgang mit Email zu erziehen, was mit ein paar wenigen, sehr, sehr einfachen Verhaltensweisen 99% Sicherheit ermöglicht. Weil aber "die Medien" (tm) und "Internetforen" zum Teil totalen Blödsinn verbreiten, höre ich oft "ach, da kann man sich doch gar nicht wirklich schützen, also ist's auch egal, mir ist's wichtiger, dass es bequem ist".

That said:

> Normalerweise steht die IP-Adresse des Herausgebers drauf, der bekommt dann die Kartendaten, um die Lade-Anfrage per Internet zu beantworten.

Ganz sicher nicht. Warum nicht? Weil die IP-Adresse entweder eine IPV4 (also so etwas wie 10.12.15.19) ist und schon bei trivialster Lastverteilung beim Anbieter nicht "fix" wäre - oder eine IPV6 (also so etwas wie 0000:0000:0000:0000:0000:0000:0000:0001), mit der speziell in Deutschland viele Systeme nichts anfangen können (Deutschland ist in Sachen "Internettechnologie" Entwicklungsland, weit hinter der Kronkorkenkolonie der Quadrataffen von Alpha Zentgrafenzankapfel). Man hätte mit der Speicherung der IP-Adresse auf der Ladekarte also entweder ein meistens nicht funktionierendes System (Server nicht erreichbar oder gerade der falsche, wegen Lastverteilung / Cloud-Systematik) oder ein meistens nicht funktionierendes System (wegen Nicht-Funktionierens der IPV6 Infrastruktur).

OK. Richtige Replik auf meine Behauptung: Aber wir HABEN doch ein meistens nicht funktionierendes System - q.e.d.? Hmmm (ironischer Smiley)

Zur Liste von Adressen auf einer Karte:
Das dürfte einer der oben erwähnten Fälle sein: Der Anbieter, der die Karte konfiguriert, bedient eben verschiedene Kunden ("Kartenanbieter") und DEREN Kontakt-Informationen stehen auf der Karte. Das ist zwar albern, aber bei dieser ganzen "modernen High-Tech"-Suppe leider üblich. Über Datenunsicherheit sagt das hingegen erstmal gar nichts aus, nur weil die aufgelisteten Nutzer der speziellen Kartensorte auf der Karte erwähnt werden, erhalten die noch lange keine Informationen aus irgendeinem Buchungsvorgang.
Das wäre so, als wenn jede Druckerei, die im Impressum eines Buches erwähnt wird, Informationen über jeden Leser jedes Buches aus dem Druck informiert würde. Theoretisch denkbar, praktisch unsinnig.

Richtige Replik: Aber ... ist unsere Welt nicht ziemlich unsinnig? Hmmm ... (genervter Smiley)

> Also würde über den Umweg Reiner der Springer-Konzern informiert

Nein. Reiner ist ein nicht ganz unbekannter Anbieter von (auch Banken-)Sicherheitssystemen. Um es vorsichtig zu formulieren. Dass ein Springer-Blatt Karten mit Reiner-Technik vertreibt, spricht in sofern eher für Springer ... hat aber per se nichts mit Datenaustausch zu tun.

> und die Uni Köln, bei der sich auch jeder Student mit der Karte identifizieren kann oder jeder Kartenbesitzer als Student?

... nutzt offenbar dieselbe - anscheinend nicht grundsätzlich schlechte - Kartenart.

> natürlich über die IP-Adresse des Backends und der Weg dorthin steht indirekt auf der Karte, als IP-Adresse.

... nein. Wie oben erwähnt, würde eine IP-Adresse (egal, ob V4 oder V6) das System ziemlich unzuverlässig machen. Der theoretisch "richtige" Weg wäre ein ServerNAME, der über eine DNS-Abfrage aufgelöst würde. Das Problem hier wäre: DNS-Abfragen können auch gestört werden UND es könnte ein temporärer (gehackter) Namenseintrag auf der Karte gespeichert sein (RFID-Karten kosten fast nichts). Das heißt: Daten aus dem "losen Ende einer Kette" als AUFRUF-Daten zu verwenden, sollte nichtmal ein Säugling machen, das ist IT-Security-Kindergartenwissen.

Richtige Replik: Aber sind unsere IT-Sicherheits-Experten nicht dümmer als Säuglinge und zeigen die immer wieder dokumentierten Lecks nicht genau solche Blödheiten? Hmmm ... (stark genervter Smiley)

Kurz: Mit IP-Adressen oder mit Servernamen hantieren diese Karten sicher nicht. Täten sie es doch, wäre das dümmer als oberdämlich und ich möchte bitte einen klaren NACHWEIS sehen, dass dem so ist. Die Auflistung irgendwelcher Anbieternamen, die die gerade ausgelesene Kartencharge auch verwenden, sagt exakt überhaupt rein gar nichts aus.
Dass die Datensicherheit der momentanen "Ausweistechnik" mies ist, steht - denke ich - außer Frage. Der Punkt ist aber nicht das Auslesen von Daten auf der Karte, sondern das genaue Gegenteil: Das FEHLEN von ausreichend eindeutigen Daten auf den Karten (und die entsprechenden Gegenstücke in der Datenkommunikation), um diese (Karten) vor KOPIEREN und Missbrauch zu schützen.

Richtige Replik: Zu viel Information, diese Textwüste liest doch kein Schwein. (Grinsender Smiley mit Hinweis auf https://www.bsi.bund.de/SharedDocs/Down ... cationFile )

Marc Albrecht
Ich habe verstanden: Eine persönliche Meinung zu äußern gilt manchen hier als Gotteslästerung, Dummheit, Angriff und Abscheulichkeit. Diese Menschen bitte ich kurzfristig mich zu ignorieren und mittelfristig auszusterben.
malbrecht
 
Beiträge: 62
Registriert: Do 28. Dez 2017, 19:48

Anzeige

Re: Plaudert Ladekarte die Nutzer aus ?

Beitragvon SirTwist » Sa 30. Dez 2017, 19:14

Marc, wunderbare Antwort :-) die grinsenden und genervten Gesichter konnte ich mir bildlich vorstellen...
SirTwist
 
Beiträge: 61
Registriert: So 27. Aug 2017, 11:37

Re: Plaudert Ladekarte die Nutzer aus ?

Beitragvon Roland81 » Sa 30. Dez 2017, 19:47

Danke malbrecht
Ioni(q)siert seit 18.11.2016 :D
Roland81
 
Beiträge: 774
Registriert: So 11. Sep 2016, 09:55
Wohnort: Freiburg i.B.

Re: Plaudert Ladekarte die Nutzer aus ?

Beitragvon mweisEl » Sa 30. Dez 2017, 19:51

novalek hat geschrieben:
Das er beim Backend nachfragt, hab ich nie bestritten, der Weg dorthin, ist was ich beschreibe, natürlich über die IP-Adresse des Backends und der Weg dorthin steht indirekt auf der Karte, als IP-Adresse.


Also: nein. Ich weiß zwar nicht genau, was Renault auf ihre Karten so alles schreiben lässt, aber bei den "allgemeinen" Ladekarten ist nur die UID (Unique Identifier) relevant. Und mit dieser 4 oder 7 Byte lange Hexadezimalzahl, wird, weil es sich die Niederländer in Arnhem so beim OCP-Protokoll ausgedacht haben, als idToken beim in der Ladesäule hinterlegtem Backend nachgefragt (leider nur mit dieser, ohne gegenseitiger kryptographischer Authentifizierungvon Ladekarte und Backend) "RequestStartTransactionRequest", worauf das Backend entscheidet, ob ihr dieser IdToken bzw UID gefällt, und eine Antwort "RequestStartTransactionResponse" generiert.

Wie die Ladesäule die Kommunikation über das Internet machen soll, kann ihr die Karte nicht mitteilen.
Smart ED3 seit '13, 3 Fahrräder, zuvor CityEL (1800 Wh-Akku) und seit 1991 an keiner Sprit-Zapfsäule mehr.
Benutzeravatar
mweisEl
 
Beiträge: 1561
Registriert: Di 5. Apr 2016, 21:00

Vorherige

Zurück zu Allgemeine Themen

 
  • Ähnliche Themen
    Antworten
    Zugriffe
    Letzter Beitrag
  • Ähnliche Artikel im Blog

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste