Ladekarten sind unsicher - wie man auf fremde Rechnung lädt

[Berndte]

Danke für´s Aufdröseln dieser Argumente, warum das alles nicht sooo schlimm ist.
Bitte schaut doch wenigstens den Vortrag an, bevor eine Meinung gebildet wird.

Das wahre Problem ist doch wohl eher, dass es (zumindest in meinem Fall) über 1,5 Jahre keinen interessiert hat.
Vielleicht ist es jetzt auch eher ein Problem geworden, weil die Öffentlichkeit drauf aufmerksam geworden ist?
Finden sich jetzt schlaue Nachahmer?

[zoppotrump]

Danke für´s Aufdröseln dieser Argumente, warum das alles nicht sooo schlimm ist.

Mein posting beinhaltet Argumente weshalb das sehr wohl kritisch ist.

[MaXx.Grr]

Danke für´s Aufdröseln dieser Argumente, warum das alles nicht sooo schlimm ist.
Bitte schaut doch wenigstens den Vortrag an, bevor eine Meinung gebildet wird.

Also ich habe den Vortrag angesehen und finde es wirklich nicht schlimm (solange es nicht meine Kartennummer bzw. mein Geld ist)...

Nein - es gibt hier im Forum wohl ein bis zwei mit dieser Meinung aber die stellen hier nicht die Mehrheit...

Ich verstehe es daß im ersten Moment der Etablierung von Ladekartenroaming der kleinste Nenner Verwendung findet. Obwohl es nicht gut war...

Im weiteren Verlauf ist das dann aber das, was dringendst angegangen werden muss. Wenn sich dann die Unternehmen stumm und taub stellen oder keine Ansprechpartner haben die das Problem nachvollziehen wollen (oder können) ist es dringend angeraten an die Öffentlichkeit zu gehen so wie Du es gemacht hast... Das fördert jetzt hoffentlich das Problembewußtsein an der richtigen Stelle...

Ich finde es gut so wie Du es gemacht hast. Und Dein Vortrag weist auch gleich zu Anfang darauf hin - mit der Verdoppelung der Zulassungszahlen im letzten Jahr ist es aktuell das dringendste Problem im Bereich der eMobilität - meiner Meinung nach...

Grüazi und Dank Dir, MaXx

[mweisEl]

Derzeit gilt die MIFARE DESFire als sicher. Als Verschlüsselung wird 3DES verwendet.

Wäre das mit den vorhandenen Lesegeräten nutzbar, wenn man die Software anpasst?

Die Lesegeräte-Hardware muss nicht ausgetauscht werden, denn "elektronisch" ist alles gleich (ISO 14443-2). Die Firmware des Lesermoduls muss evtl. geupdatet werden, falls sie auf ISO-14443-3 "optimiert" sind (kennen keine). Für das Auslesen der UID sowie der (alten) Mifare-Kommandos genügt ISO 14443 Teil 3. Für Mifare DESFire, oder auch Kreditkarten, Girogo etc. braucht es auf ISO 14443- 3 u 4. Normalerweise können die Leser aber sowohl ISO 14443 Teil 3 (Antikollision und Initialisierung) als auf Teil 4 (Übertragungsprotokoll).

Eine Alternative wäre noch das ebenfalls auf 3DES zur Authentifizierung basierende Mifare Ultralight C, das nur den ISO 14443-3 Level verwendet.

[mweisEl]

Weiss jmd. ob die Mifare Desfire genauso leicht zu kopieren ist wie die Mifare Classic?

Erstens: Nein.
Zweitens: Die Funktionalität von Mifare Classic wird bei den Ladekarten überhaupt nicht verwendet!

[mweisEl]

- Welche Abrechnungsdienstleister geben sichere Karten aus? (also kein Mifare 1)

Vom Ladeverbund Franken+ habe ich eine Mifare DESFire, und von EnBW eine Mifare Ultralight. Alle anderen scheinen Mifare Classic zu sein..

Aber derzeit wird beim Ladekarten-Standard die Funktionalität keinerlei der Mifare-Varianten überhaupt verwendet! Egal, ob Mifare Classic (seit 2010 nicht mehr vom Hersteller für neue Anwendungen empfohlen) oder Mifare DESFire etc. Die Authentifizierungsmöglichkeiten der Karten wird garnicht genutzt. Nach dem Ladekarten-Standard verhalten sich alle wie simple RFID-Tags ohne jede Intelligenz (vermutlich sind Mifare Classic-Karten nicht teurer als RFID-Tags) d.h. analog zu einem Aufkleber mit Strichcode.

Warum ist das also wichtig zu wissen, wer heute noch Mifare Classic ausgibt und wer nicht?

[mweisEl]

Jetzt lesen sie in der FAZ darüber, dass jemand die Abrechnung faken kann. Ahnung haben sie immer noch nicht, aber Angst, wenn sie jetzt noch etwas bestellen und aufstellen, das es genau soetwas ist, bei dem betrogen werden kann. Also bestellen sie erst mal nicht...

So wird es leider sein. Dass die Deutsche Presse jedes noch so abwegige Thema aufgreift und auswalzt, wenn es irgendwie gegen Elektromobilität gerichtet ist, war doch jedem von vorneherein klar. Jeder soll schön weiter den Diesel mit gutem Gewissen fahren dürfen.

Bei den Piratenzentralen heise+CCC kommt noch hinzu, dass sie sich seit Jahren berufen fühlen, gegen Chipkarten hetzen (deren Funktionalität bei den Ladekarten aber wie gesagt gar nicht verwendet wird). Gegenstellungsnahmen werden von heise übrigens immer abgeleht. Die sind nicht besser als die Bildzeitung.

[SirTwist]

Bei den Piratenzentralen heise+CCC kommt noch hinzu, dass sie sich seit Jahren berufen fühlen, gegen Chipkarten hetzen (deren Funktionalität bei den Ladekarten aber wie gesagt gar nicht verwendet wird). Gegenstellungsnahmen werden von heise übrigens immer abgeleht. Die sind nicht besser als die Bildzeitung.

1. Weder der CCC noch der Heise-Verlag haben etwas mit den Piraten zu tun.
2. Die Schreiberlinge des Heise-Verlags gehören wenigstens noch ansatzweise zu den Leuten, die am ehesten Kenne von IT haben oder bereit sind, sich Kenne anzueignen. Auch wenn die Bereitschaft, Lösungen zu hinterfragen in den letzten Jahren deutlich nachgelassen hat.
3. Es gibt funktionierende Lösungen auf Basis von Chipkarten, die sichere Authentisierung und Authorisierung erlauben. Die wurden hier schlichtweg nicht genutzt. Und wenn ich das richtig in Erinnerung habe, waren Lösungen auf Basis von X509-Zertifikaten schon vor Jahren standardisiert.

[Berndte]

Danke für´s Aufdröseln dieser Argumente, warum das alles nicht sooo schlimm ist.

Mein posting beinhaltet Argumente weshalb das sehr wohl kritisch ist.

Du hast es genauso falsch verstanden, wie ich es befürchtet habe
Nein, ich finde gut, dass du den Beitrag über deinen mal aufdröselst.

...Ich finde es gut so wie Du es gemacht hast. Und Dein Vortrag weist auch gleich zu Anfang darauf hin - mit der Verdoppelung der Zulassungszahlen im letzten Jahr ist es aktuell das dringendste Problem im Bereich der eMobilität - meiner Meinung nach..

Nicht falsch verstehen... das ist nicht meine Präsentation.
Ich wollte nur anmerken, dass ich ein ähnliches Problem mit der Hardware auch an TheNewMotion gemeldet habe... kein Interesse.

[zoppotrump]

Mein posting beinhaltet Argumente weshalb das sehr wohl kritisch ist.

Du hast es genauso falsch verstanden, wie ich es befürchtet habe
Nein, ich finde gut, dass du den Beitrag über deinen mal aufdröselst.

Ah, okay. Jetzt habe ich´s kapiert. Sorry, Missverständnis.
Danke.