Vor gut drei Jahren schrieb ich im Fedorablog einen Artikel über sicheres Online-Banking mit HBCI. Mittlerweile ist viel Wasser den Rhein heruntergeflossen, Reiner SCT stellte seinen ctapi-Treiber ein und liefert nun auch keine Fedora-RPMs mehr aus. Höchste Zeit für ein Update!

cyberJack und PC/SC

Zum Betrieb des cyberJack-Kartenlesers waren bisher die Treiber von Reiner SCT notwendig. Im Fedora-Repository gab es zwar ebenfalls passende Treiber, aber sie wurden eher halbherzig gepflegt und funktionierten eigentlich nie so richtig. Mittlerweile hat auch Reiner SCT seinen Fedora-Support eingestellt. Die einzige Möglichkeit, die man nun noch hat, ist, die Sourcen herunterzuladen und selbst zu kompilieren.

Für den, der sich die Mühe scheut, habe ich für Fedora 15 ein entsprechendes Paket zusammengestellt (RPM x86_64, SRPM). Installiert wird es mit

sudo yum localinstall http://static.shredzone.net/pcsc-cyberjack-3.99.5final.SP02-1.fc15.x86_64.rpm

Allerdings ist das Paketieren nicht meine Stärke, und das RPM sicherlich alles andere als perfekt.

Um sich den Quelltext des Treibers selbst zu kompilieren, packt man das Source-Paket als Root aus, wechselt in das ausgepackte Verzeichnis und führt folgende Befehle aus:

yum install pcsc-lite-devel
./configure --libdir=/usr/lib64
make
make install

Auf einem 32-bit-System wird die --libdir-Option weggelassen.

In einem nächsten Schritt muss (zum Beispiel über system-config-users) eine Gruppe cyberjack angelegt und müssen alle Benutzer, die den Kartenleser verwenden dürfen, dieser Gruppe zugeordnet werden. Nach einem erneuten Login ist der Kartenleser dann einsatzbereit, wie der Aufruf des Kommandos cyberjack zeigen sollte. Wenn nicht, findet man in cyberjack-report.log wertvolle Hinweise zum Problem und dessen Lösung. Manchmal hilft es, den Kartenleser direkt am Computer anzuschließen und nicht an einem USB-Hub.

Hibiscus

Stellen wir uns dem nächsten Problem. Der CT-API-Standard, der früher verwendet wurde, war ein deutscher Alleingang, der sich nicht durchsetzen konnte. Mittlerweile wird ausschließlich der PC/SC-Standard verwendet, mit dem Hibiscus (und andere reine CT-API Bankingsoftware) allerdings nicht zurechtkommt.

Die gute Nachricht: Es gibt einen CT-API Wrapper, der quasi eine Brücke zwischen den beiden Standards schlägt. Die schlechte Nachricht: Es gibt keine fertigen Fedora-Pakete für diesen Wrapper. Ich biete auch hierfür ein selbstgebautes Paket (RPM x86_64, SRPM) an:

sudo yum localinstall http://static.shredzone.net/pcsc-ctapi-wrapper-0.3-1.fc15.x86_64.rpm

Alternativ kann der Quelltext einfach ausgepackt und als Root mit make && make install installiert werden.

In Hibiscus wird der Kartenleser wie üblich eingerichtet. Als CTAPI-Treiber wird dann der Wrapper angegeben. Bei meinem Paket lautet der Pfad /usr/lib64/libpcsc-ctapi-wrapper.so.0.3. Wenn man ihn selbst gebaut hat, liegt er meist unter /usr/local/lib/libpcsc-ctapi-wrapper.so.0.3.

Weiterhin sollte Tastatur des PCs verwenden deaktiviert werden, da moderne Secoder-Kartenleser dies aus Sicherheitsgründen nicht mehr gestatten. Die PIN muss stets am Gerät eingegeben werden.

Damit kann nun auch Hibiscus auf den Kartenleser zugreifen. Dem Online-Banking steht nichts mehr im Wege!

Geldkarte

Die Sparkassenorganisation bietet ein Browser-Plugin als RPM-Paket zum Download an. Die 64 bit-Version legt das Plugin leider im falschen Ordner ab. Als Anwender kann man das Firefox-Plugin wie folgt aktivieren:

cd .mozilla/plugins
ln -s /usr/lib/mozilla/plugins/libSIZCHIP-Plugin-Mozilla-2004.so

Nach einem Neustart des Browsers sollte das Plugin dann unter der URL about:plugins erscheinen. Auf geldkarte.de kann nun zum Beispiel eine eingesteckte Geldkarte analysiert werden.

Ausweisapp

Die cyberJack RFID-Modelle bieten neben der HBCI- und Geldkartenfunktionalität auch die Möglichkeit, den neuen elektronischen Personalausweis zu lesen. Dazu stellt der Bund die Ausweis-App auch für Linux zur Verfügung.

Leider aber nicht für Fedora. Als einziges RPM-basiertes System wird openSUSE unterstützt. Ein Versuch, das RPM unter Fedora zu installieren, scheitert an Abhängigkeiten zu Paketen, die unter Fedora anders genannt werden, und letztendlich an einem inkompatiblen Installationsscript. Ich habe bisher keine Möglichkeit gefunden, die Ausweis-App trotzdem ans Laufen zu kriegen.

Kleines Fazit

Bei den Arbeiten zu diesem Artikel ertappte ich mich mehr als einmal, neidische Blicke zu Ubuntu geworfen zu haben. Es gibt fertige cyberJack-Treiber und offiziellen Support, wogegen bei Fedora die cyberJack-Unterstützung schon immer halbherzig war und nun wohl ganz eingestellt wurde. Auch die Ausweis-App genießt die Unterstützung seines Herausgebers. Selten wurde es mir so bewusst, dass Fedora zumindest als Desktop-Linux in Deutschland offenbar praktisch keine Rolle mehr spielt.

Eine gute Nachricht für alle Steuerzahler dürfte dagegen sein, dass es den Reiner SCT cyberJack RFID standard und komfort derzeit vergünstigt gibt – das Standard-Modell schon für unter 30 Euro. Der Staat fördert diese Modelle mit 25 Euro, also eine gute Gelegenheit, sich etwas von seinen Steuern zurückzuholen.