Raiffeisenkassen: Mitteilung an Mailbox mittels elektronischer Post

Hallo Liste,

ein Kunde der Raiffeisenkassen Südtirol hat mich kontaktiert, weil er
heute mit seiner RaiKa vereinbart hat, dass ihm seine Korrespondenz per
E-Mail zugestellt werden soll.

Nun wird diese E-Mail verschlüsselt zugestellt und dafür muss ein von
der RaiKa kostenlos zur Verfügung gestelltes Programm installiert
werden. Dieses Programm ist nicht freie Software und funktioniert nur
auf der Betriebssystemfamilie Windows von Microsoft. Das ist eine
eindeutige Benachteiligung der Benutzer Freier Software.

Die RaiKa verweist den Kunden auf folgende Seite:

http://www.rolbox.it/cryptode/

Das Problem entsteht für die Benutzer von anderen Betriebssystemen. Im
konkreten Fall benutzt der RaiKa Kunde das freie Betriebssystem GNU/Linux.

Meine Anfrage an euch: Hat jemand bereits Erfahrungen mit diesem Dienst
der RaiKa gesammelt. Weiß jemand, welches Verschlüsselungsverfahren
benutzt wird und ob auch andere Programme (Freie Software) benutzt
werden können?

Ich möchte zum Thema Informationen sammeln, um dann eine Anfrage bei der
RaiKa einzureichen, sodass die Benutzer Freier Software nicht
benachteiligt werden.

Falls das Verfahren nur mit dem von ihnen vertriebenen Programm genutzt
werden kann, würde ich ihnen vorschlagen ein anderes Verfahren zu
nutzen. Es gibt viele Beispiele, ich persönlich benutze beispielsweise
das Verfahren der CartaSí. Dabei wird eine UNverschlüsselte E-Mail
geschickt, welche dem Benutzer mitteilt, dass in seinem Webbereich neue
Informationen (z.B. Kontoauszug) verfügbar sind. Der Webbereich ist nur
über eine SSL verschlüsselten Verbindung einsichtbar. Vorteil für den
Kunden ist, dass auf dem Kundenrechner keine Spezialsoftware installiert
werden muss, um den Dienst zu nutzen.

Falls es freie Software gibt, mit der ihr Dienst genutzt werden kann,
würde ich vorschlagen, dass sie einen entsprechenden Hinweis auf ihrer
Internetseite anbringen.

Ich werde beim nächsten Treffen des LUGBZ Ausschusses anfragen, ob die
LUGBZ eine offizielle Anfrage bei der RaiKa zum Thema einreichen will.

Happy hacking!
Patrick

Patrick Ohnewein schrieb:

Meine Anfrage an euch: Hat jemand bereits Erfahrungen mit diesem Dienst
der RaiKa gesammelt. Weiß jemand, welches Verschlüsselungsverfahren
benutzt wird und ob auch andere Programme (Freie Software) benutzt
werden können?

Ich würde diesen Dienst der RaiKa auch nützen wenn es mir den möglich wäre.
Ich frage mich wieso man nicht auf eine - aus meiner Sicht -
etabliertere Lösung setzt? Nämlich der "Industriestandard" GPG/PGP. Ich
würde es auf jeden Fall besser finden als eine Lösung _eines_
Herstellers. Ja, man muss für GPG/PGP Software installieren, dies ist
aber auch beim derzeitigen Verfahren der Fall.

Es gibt viele Beispiele, ich persönlich benutze beispielsweise
das Verfahren der CartaSí. Dabei wird eine UNverschlüsselte E-Mail
geschickt, welche dem Benutzer mitteilt, dass in seinem Webbereich neue
Informationen (z.B. Kontoauszug) verfügbar sind. Der Webbereich ist nur
über eine SSL verschlüsselten Verbindung einsichtbar. Vorteil für den
Kunden ist, dass auf dem Kundenrechner keine Spezialsoftware installiert
werden muss, um den Dienst zu nutzen.

Dies ist/wäre zwar ein geschickter Schritt das ganze für den Klienten zu
vereinfachen (keine weitere SW nötig) hier ist aber dann wieder der
"Umweg" auf die Homepage nötig - genau das was man eigentlich durch die
Zusendung per email vermeiden wollte. Das Einsehen der
Kontodaten/Kontoauszug ist ja jetzt schon über https gegeben.

Grüße

humm... vor einigen wochen wurde meine mutter ebenfalls von Raiffeisen
diesbezueglich kontaktiert. darauf hin habe ich mich bei der
raiffeisen informiert und sie haben mich zu einem 'sachverstaendigen'
(herr toniati raiffeisen bruneck) weitergeleitet.

leider konnte mir dieser sachverstaendige weder den verschluesselungs
alglorithmus noch sonst was mitteilen. er erklaerte mir lediglich das
es die moeglichkeit gibt die mails unverschluesselt oder
verschluesselt zu erhalten.

da ich unverschluesselt als ein sehr grosses problem sehe. wuerde
ich ebenfalls gpg/pgp vorschlagen. wobei gpg/pgp sha1 benutzt welches
ebenfalls kaputt ist auch die idee ueber eine https waere nicht
schlecht.

auf die frage ob er dies fuer sicher haelt, erhielt ich die antwort
"wenn das der raiffeisenverband so entschieden hat, dann wird das
schon sicher sein" haha

auf rolbox.it/cryptode ist ein link zur seite des herstellers. auf
deren seite (www.ultimaco.de) konnte ich sehen das die raiffeisen
welche das programm zum verschluesseln benutzt dafuer bezahlen muss.
die raiffeisen_kunden welche das programm nur zum entschluesseln
benutzen duerfen es logischerweise gratis herunterladen.

ich frage mich wer fuer solche grandiose entscheidungen bei raiffeisen
zustaendig ist. wieso vertraut raiffeisen einer propietaeren sw? haben
sie den source code gesehen? wissen sie ueber alles bescheid was diese
sw macht? glaube nicht.
welchen algorithmus verwenden sie? usw.

traurig aus der sicht das sie nichts fuer 'freie software benutzer' haben;
traurig das mir der sachverstaendige keine antworten geben konnte.
traurig die frage ob die ueberhaupt selbst genau bescheid wissen.?.?
...

ciao
manuelS

Christoph Auer schrieb:

Ich würde diesen Dienst der RaiKa auch nützen wenn es mir den möglich wäre.
Ich frage mich wieso man nicht auf eine - aus meiner Sicht -
etabliertere Lösung setzt? Nämlich der "Industriestandard" GPG/PGP. Ich
würde es auf jeden Fall besser finden als eine Lösung _eines_
Herstellers. Ja, man muss für GPG/PGP Software installieren, dies ist
aber auch beim derzeitigen Verfahren der Fall.

Hast du genauere Informationen über das von der RaiKa benuetzte
Verschlüsselungsverfahren?

Der Benutzer musste ein Password angeben. Schätze das wird für die
Verschlüsselung eingesetzt. Entweder es ist eine symmetrische
Verschlüsselung (sehr schwach) oder das Pass ist die Passphrase eines
asymmetrischen Verschlüsselungsverfahren. Da hätte der Kunde aber einen
Private Key erhalten sollen. Aber vielleicht wird der Private-Key ja
auch vom Programm generiert. Aber wieso hat der Kunde dann eine
Passphrase vor der Generation des Private-Key hinterlegen sollen???
Schätze es ist keine symmetrische Verschlüsselung.

Interessant wär aber zu erfahren, welche Vor- bzw. Nachteile die
aktuelle Lösung hat.

Dies ist/wäre zwar ein geschickter Schritt das ganze für den Klienten zu
vereinfachen (keine weitere SW nötig) hier ist aber dann wieder der
"Umweg" auf die Homepage nötig - genau das was man eigentlich durch die
Zusendung per email vermeiden wollte. Das Einsehen der
Kontodaten/Kontoauszug ist ja jetzt schon über https gegeben.

Also der Kunde, der mich kontaktiert hat, hat kein Internet-Banking. Das
ist also ein eigener Dienst. Obwohl er in Kombination mit dem
Internet-Banking sehr sinnvoll ist.

Ich sehe keinen wirklichen Vorteil für den Kunden, die Daten direkt in
der E-Mail zu empfangen. Wenn er seine E-Mails abholt, kann er auch eine
Internetseite besuchen. Wir sprechen von Standardbenutzer, die ihre
E-Mails nicht im batch-Verfahren von einem Server laden und offline lesen.

Ich würde es als Kunde vorziehen, wenn ich keine Spezial-Software auf
meinem Rechner installieren muss. So kann ich immer und von überall aus
meine Daten einsehen. Bei Bedarf auch von meinem web-fähigen Handy...

Happy hacking!
Patrick

Kann dem nur zustimmen; auch ich hatte mich erkundigt, aber
was die mir erzählten genügte mir überhaupt nicht:

- Unverschlüsselt via e-mail wäre auch kein Problem, denn wer
  sollte den meine e-mails lesen ausser ich selber! Ja genau
  so einfach ist das ganze.

Warum eigentlich eine Bankomatkarte mit pin Kode, benütze sie ja nur ich!

konrad

manuel stuefer wrote:

manuel stuefer schrieb:

humm... vor einigen wochen wurde meine mutter ebenfalls von Raiffeisen
diesbezueglich kontaktiert. darauf hin habe ich mich bei der
raiffeisen informiert und sie haben mich zu einem 'sachverstaendigen'
(herr toniati raiffeisen bruneck) weitergeleitet.

Das scheint jetzt aktiv beworben zu werden.

Der RaiKa-Kunde, der sich bei mir gemeldet hat, wurde auch direkt darauf
hingewiesen. Es war ein Kunde der RaiKa Girlan.

Hat deine Mutter schon eine verschlüsselte E-Mail empfangen? Konntest du
dir schon ein Bild machen, wie so eine E-Mail aussieht?

Happy hacking!
Patrick

manuel stuefer ha scritto:

darauf hin habe ich mich bei der
raiffeisen informiert und sie haben mich zu einem 'sachverstaendigen'
(herr toniati raiffeisen bruneck) weitergeleitet.

leider konnte mir dieser sachverstaendige weder den verschluesselungs
alglorithmus noch sonst was mitteilen. er erklaerte mir lediglich das
es die moeglichkeit gibt die mails unverschluesselt oder
verschluesselt zu erhalten.

"Sachverständig" wenn überhaupt ist nur der Sitz der Raiffeisen in
Bozen, die auch die Webseite und sämtliche andere IT-Dienste verwaltet
(ROL Bozen, meine ich mich zu erinnern).

p.i.

Hoi,

Ich benutze diese Geschichte bereits seit ca. 1 Jahr ohne Komplikationen
unter Windows. Selbstverständlich ist es mir auch ein Dorn im Auge, dass die
Entschlüsselungssoftware nicht frei ist, bzw. keine offenen Standards
benutzt. Alternativen, bzw. Entschlüsselungsalgorythmus habe ich trotz
einiger Suche im Internet auch nicht ausfindig machen können.

Grüße Heinz

ITALIANO / TEDESCO

offtopic: waere es nicht besser solche thread's gleich in italienisch
und deutsch zu starten? hier handelt es sich um wichtige diskussionen,
nicht um kleine support-anfragen. sicherlich ein heisses thema, was
sehr wahrscheinlich alle interessiert!

offtopic: secondo me sarebbe molto importante partire dei thread come
questi in bilingue!

ecco un semplice/breve riassunto x i nostri amici italiani:

la banca raiffeisen sta, da qualche settimana/mese, contattando le
loro clienti x offrirli un nuovo supporto. li vogliono mandare via
mail delle informazioni tipo estratto mensile ecc.
il primo problema ovviamente di questo passo e' la sicurezza.
loro hanno decciso di lasciare al cliente la scelta se ricevere i mail
cryptati o nn cryptati.
gia questa decissione secondo me' e' un grande errore!

x i mail inviati cryptati la cassa raiffeisen invece usa un sw propietario;
quanto ho trovato in rete, sembra che la raiffeisen ha dovuto comprare
questo sw. invece i clienti che nn lo usano x cryptare ma soltanto x
decryptare possono scaricarselo grattuitamente.

io mi chiedo? loro sanno cosa fa sto sw? loro hanno visto il codice
ecc? mi sa di no.
cosi li ho contatati e mi hanno passato un 'specialista' (sig toniati
raiffeisen brunico);

questo signore pero putroppo sulla mia domanda che alglorithmo stanno
usando x cryptare i mail nn mi sapeva rispondere. e sulla domanda se
secondo lui questa e' na soluzione sicura mi rispondeva il seguente: "
se sta cosa e' stata decisa dal gruppo raiffeisen sara sicuro!' haha

ora a patrick e' venuta l'idea, (xke e' stato contatato da un suo
cliente che nn riesce a fare girare il sw propietario sotto gnu/linux)
di contatarli.

e di spiegarli sta cosa;

si parlava di gpg/pgp o di un sito https x consultare ste informazioni da casa.

qualcun'altro ha delle informazioni o qualcosa del genere x quanto riguarda ?

e molto triste, che una banca grande come la raiffeisen decide ste
cose. lascia a parte tutti quelli che usano software libero.?.? ecc.

ciao
manuelS

ps: scusate ma ho fretta spero di averlo tradotto in maniera
abbastanza leggibile

manuel stuefer ha scritto:

>darauf hin habe ich mich bei der
>raiffeisen informiert und sie haben mich zu einem 'sachverstaendigen'
>(herr toniati raiffeisen bruneck) weitergeleitet.
>
>leider konnte mir dieser sachverstaendige weder den verschluesselungs
>alglorithmus noch sonst was mitteilen. er erklaerte mir lediglich das
>es die moeglichkeit gibt die mails unverschluesselt oder
>verschluesselt zu erhalten.
>
>
"Sachverständig" wenn überhaupt ist nur der Sitz der Raiffeisen in
Bozen, die auch die Webseite und sämtliche andere IT-Dienste verwaltet
(ROL Bozen, meine ich mich zu erinnern).

tja, das ist dann nicht mein problem.
wenn ich in meiner bank anrufe, um mich ueber so was zu erkundigen und
sie mir eine Person als sachverstaendige verbinden dann muessen sie
wissen wem. und nicht ich!

manuel stuefer schrieb:
> humm... vor einigen wochen wurde meine mutter ebenfalls von Raiffeisen
> diesbezueglich kontaktiert. darauf hin habe ich mich bei der
> raiffeisen informiert und sie haben mich zu einem 'sachverstaendigen'
> (herr toniati raiffeisen bruneck) weitergeleitet.

Das scheint jetzt aktiv beworben zu werden.

Der RaiKa-Kunde, der sich bei mir gemeldet hat, wurde auch direkt darauf
hingewiesen. Es war ein Kunde der RaiKa Girlan.

Hat deine Mutter schon eine verschlüsselte E-Mail empfangen? Konntest du
dir schon ein Bild machen, wie so eine E-Mail aussieht?

NEIN! auf meine beratung hat sie es vorerst lieber sein lassen.

Patrick Ohnewein schrieb:

Hast du genauere Informationen über das von der RaiKa benuetzte
Verschlüsselungsverfahren?

Naja, die RaiKa verwendet wie schon gesagt worden ist
Software von utimaco und auf deren Seite [1] ist zu lesen das SafeGuard
PrivateCrypto - das von der RaiKa verwendete Produkt - den AES (128Bit)
Algorithmus verwendet. Was es ja für Linux auch gibt nur werden die das
schon so verpackt haben dass es _nur_ mit ihrer SW entschlüsselbar sein
wird (reine Spekulation meinerseits).
Ich hatte nie ein solches email "in der Hand" und kann dazu nichts
genaueres sagen.

[1] http://www.utimaco.de/content_products/sg_pc.html

Grüße

manuel stuefer schrieb:

wobei gpg/pgp sha1 benutzt welches
ebenfalls kaputt ist

SHA-1 ist nur ein Hash - Algorithmus (zB. zum Signieren).
Zur Verschlüsselung wird i.d.R. ElGamal verwendet.

Grüße

Bilingue mi sembra forse un poco eccessivo. É molto impegnativo scrivere
2 versioni di una e-mail.

Avrei potuto scrivere la mail solo in italiano, ma non risolverebbe il
problema, visto che escluderei persone che sanno solo il tedesco (sí in
lista ci sono).

Scrivendo in inglese escluderi ancora piú gente...

La soluzione secondo me piú accettabile e la guide line della lista é
che ogniuno puó scrivere nella sua lingua e puó anche chiedere
informazioni se non capisce qualcosa.

Quello che dovremmo evitare, é di scrivere in dialetto, perché li
diventa difficile per un italiano a capire...

Happy translating!
Patrick

manuel stuefer schrieb:

> wobei gpg/pgp sha1 benutzt welches
> ebenfalls kaputt ist

SHA-1 ist nur ein Hash - Algorithmus (zB. zum Signieren).
Zur Verschlüsselung wird i.d.R. ElGamal verwendet.

humm.. korrekt. danke.
muss nochmal etwas genauer in der gpg/pgp doku wuehlen

Bilingue mi sembra forse un poco eccessivo. É molto impegnativo scrivere
2 versioni di una e-mail.

mah, se nn si scrive una papardella inutile, soltanto la roba
necessaria. mi sa che e' fattibile.

Avrei potuto scrivere la mail solo in italiano, ma non risolverebbe il
problema, visto che escluderei persone che sanno solo il tedesco (sí in
lista ci sono).

beh, chi dice che nn ci sono persone che parlano solo l'italiano?
cosi invece escludi quelli.

Scrivendo in inglese escluderi ancora piú gente...

puo essere.

La soluzione secondo me piú accettabile e la guide line della lista é
che ogniuno puó scrivere nella sua lingua e puó anche chiedere
informazioni se non capisce qualcosa.

non ho deto che uno nn puo scrivere nella sua lingua.
pensavo soltanto che conviene farlo bilingue x nn escludere nessuno a
na discu cosi importante e interessante.

manuel stuefer schrieb:

non ho deto che uno nn puo scrivere nella sua lingua.
pensavo soltanto che conviene farlo bilingue x nn escludere nessuno a
na discu cosi importante e interessante.

Hai ragione.

Forse la tua é la soluzione migliore. Ogniuno scrive nella sua lingua ed
ogni tanto, magari qualcuno fa una traduzione alla quale chi non capisce
la lingua iniziale puó rispondere...

Happy hacking!
Patrick

il problema e' che qui i thread una volta partiti in una lingua nn
vengono piu tradotti. e mi sa che per questo nessuno delle persone che
parlano italiano andrano a leggere questo thread xke e' partito in
tedesco.

quello che stavo dicendo io e', che secondo me, conviene far'partire
questi thread in tutte due le lingue. cosi ogniuno va a leggere e
ogniuno puo scriverci.

se poi una persona nn sa una o l'altra lingua nn e' un problema. ci
sara chi traducce se e' importante il messaggio.