Moin Moin!

[...] ich meinte eher dass ich den software token bzw die software auf dem handy etc nutze...d.h. auf einem gerät welches ich ständig dabei habe, was aber nichts mit dem pc [...] verbunden ist. [...] auf diesem gerät soll eine rechnung durchgeführt werden, welche ich iwie (wie auch immer, danach suche ich ja gerade) auch auf dem server getätigt wird und dann durch meine eingabe verglichen wird.

jetzt verständlicher?

Ja. Du beschreibst einen Hardware-Token.

Die Berechnungen sind alles andere als trivial, denn genau die schützt sich ja. Z.B. wäre MD5 über Datum und Uhrzeit reichlich dumm, denn dass kann man schon fast mit Bleistift und Papier knacken. Die Hardware-Tokens haben eine Seriennummer, eine eingebaute Uhr, und sehr, sehr wahrscheinlich auch noch einen Zufallsgenerator eingebaut. Daraus wird der angezeigte Schlüssel berechnet, bei den "großen" Modellen wird auch noch die eingegebene PIN mit "verwurstet", bevor ein Schlüssel ausgegeben wird.

Der dazu gehörende Server (ab hier kenne ich nur die RSA-Implementierung mit einfachem HW-Token) wird mit dem Token synchronisiert, dazu braucht man die Seriennummer und zwei aufeinander folgende Schlüsselwerte. Ab dann kann der Server allein aufgrund der verstrichenen Zeit für jeden weiteren Schlüssel sagen, ob der vom Token generiert wurde oder nicht. Das bedeutet nicht notwendigerweise, dass der Server die Schlüssel vorhersagen kann, aber er kann den Schlüssel mit der vergangenen Zeit und den bisherigen Schlüsseln zusammenrechnen und sagen, ob das Ergebnis paßt oder nicht. Gleichzeitig wird die Gangungenauigkeit der Token-Uhr berücksichtigt. Loggt man sich zu lange nicht ein, kann es passieren, dass Token-Uhr und Server-Uhr zu weit auseinander laufen und der Token vom Service-Techniker an der Hotline durch zwei aufeinander folgende Schlüsselwerte neu mit dem Server synchronisiert werden muß.

Das alles mathematisch so stabil zu bekommen, dass einerseits niemand (zu oft) unberechtigt ausgesperrt wird, andererseits aber auch mit an Sicherheit grenzender Wahrscheinlichkeit niemand unberechtigt herein gelassen wird, ist die große Kunst und das entscheidende Know-How von RSA und anderen.

Ohne exzellente Kenntnisse im Bereich Verschlüsselung stehen die Chancen sehr schlecht, ein sicher genug funktionierendes System selbst zu bauen.

Alexander