Guten Abend,

ich habe mir heute ein Niedersachsen-Ticket an einem DB Automaten gekauft. Dabei sah ich, dass oben auf dem Ticket ein Aztec-Code aufgedruckt ist.

Jetzt frage ich mich, wofür der beim NDS-Ticket gut sein soll. Beim Online-Ticket klar, damit es nicht mehrfach ausgedruckt wird bzw. mit der Identifizierungskarte geprüft wird. Aber beim NDS-Ticket? Das ist beim Kauf nicht personalisiert.

Was wird da also geprüft beim Einscannen, weiß das jemand? Das Ticket wird schon keine Fälschung sein, wenn es auf dem Papier aus dem Automaten ist.

Viele Grüße
Bremer

Hier hatten wir das Thema schon mal: http://www.ice-treff.de/index.php?mode=thread&id=415927#p415978

Danke, aber den Thread habe ich vorher auch gefunden.

Die Kernausage ist:

Dient wohl als zusätzliches Sicherheitsmerkmal um damit Fälschungen besser erkennen zu können.

Dieses ist allerdings nur eine Vermutung. Außerdem steht nicht, was in dem Code gespeichert ist.

Jetzt frage ich mich, wofür der beim NDS-Ticket gut sein soll.

Tja, und ich frage mich, wozu man das wissen will / muß ? *kopfkratz

- kein Text -

bei einem grundsätzlich anonymen Stück Papier?

Genau das will ich doch erfahren. Darum geht es hier. Vielleicht sind die Daten meiner girocard, die ich zum Bezahlen benutzt habe, in dem Aztec-Code gespeichert? Dann wäre das Ticket nicht mehr anonym.

Was wird da also geprüft beim Einscannen, weiß das jemand? Das Ticket wird schon keine Fälschung sein, wenn es auf dem Papier aus dem Automaten ist.

Mooep. 0 Punkte. ;-)

In den letzten Jahren wurde schon oft versucht ein Ticket, was auf Originalpapier gedruckt war, zu manipulieren. Das ist auch hier und da durch die Presse gegangen.

Vielleicht auch ein Versuchsballon um das auf alle Tickets auszudehnen, die Tickets zu tracen oder den Weiterverkauf zu unterbinden. Ist ja nur ein Anfang.

Edit: Vielleicht kannst du das Ticket auch selbst scannen und in deine Mobil-NDS-Ticket App hinzufuegen und das Papierticket dann entsorgen. Macht im Moment keinen Sinn?! Mit der BC geht es doch auch so. Aber vielleicht gibt es in der Zukunft Tickets die auf weissen Papier ausgedruckt oder in der Tageszeitung beigelegt werden und nur wenn man sie mit seiner Smartphone App einscannt gueltig sind.

Hast du ein Bild von dem Ticket?

BR752

Hast du ein Bild von dem Ticket?

Gibs für sowas noch keine App um rauszufinden was sich hinter dem Code verbirgt? Was für eine rückständige Gesellschaft, alles digitalisieren wollen aber einen Code nicht decodieren können.

Oder er wird von der App nicht erkannt.

-> https://www.ebay-kleinanzeigen.de/s-anzeige/niedersachsenticken/462472758-286-3109

Aber beim NDS-Ticket? Das ist beim Kauf nicht personalisiert.

Eben, da kannst du auch mal deinen Code einstellen, wenn er besser lesbar ist.

BR752

Gibs für sowas noch keine App um rauszufinden was sich hinter dem Code verbirgt? Was für eine rückständige Gesellschaft, alles digitalisieren wollen aber einen Code nicht decodieren können.

*g*. Hast Du das Ernst gemeint?

Wir leben in einer Welt der Datenasymmetrie. Du sollst nicht alles decodieren können, sondern nur brav alle Daten von Dir preisgeben. Was von Dir gespeichert oder weitergegeben wird, was auf solchen Codes drauf ist, geht Dich doch (im wohlmeinenden Firmeninteresse) einen Sche... an, oder?

(Ironie aus)

Mit der App "Aztec Reader Demo" gerade anhand des Bildes ausgelesen. Ergebnis s.u.

Doch, gibt es. Ergebnis:

Gibs für sowas noch keine App um rauszufinden was sich hinter dem Code verbirgt?

Wir leben in einer Welt der Datenasymmetrie. Du sollst nicht alles decodieren können, sondern nur brav alle Daten von Dir preisgeben. Was von Dir gespeichert oder weitergegeben wird, was auf solchen Codes drauf ist, geht Dich doch (im wohlmeinenden Firmeninteresse) einen Sche... an, oder?

(Ironie aus)

Ich zerstöre ungerne dein Weltbild, aber man kann Aztec-Codes tatsächlich mit Bordmitteln eines nicht mehr ganz neuen Smartphones lesen. Den Code auf dem Bild hier im Thread erkennt meine App allerdings auch nicht. Den vom am Wochenende gekauften SH-Ticket schon. Da können allerdings auch keine persönlichen Daten kodiert sein, weil ich bar bezahlt habe.

Doch, gibt es. Ergebnis:

Ah, siehste. Und, sind da nun irgendwelche persönlichen Daten von dir dabei?

Die Sichtweise ist etwas naiv.

Nein, ich erkenne da keine persönlichen Daten von mir, aber sie *könnten* verschlüsselt sein. Und jemand, der sich im Thema Kryptographie auskennt, könnte sie entschlüsseln.

Darauf zielte die Ausgangsfrage ja gar nicht, sondern lediglich, ob jemand weiß, welche Daten hier liegen.

Die Sichtweise ist etwas naiv.

Deine könnte ich als paranoid bezeichnen, aber ich lasse es lieber.

Nein, ich erkenne da keine persönlichen Daten von mir, aber sie *könnten* verschlüsselt sein. Und jemand, der sich im Thema Kryptographie auskennt, könnte sie entschlüsseln.

Ja, deine Kontodaten in verschlüsselter Form könnten aber auch schon im Klartext enthalten sein, oder kennst du die Bedeutung aller Zahlen, die auf dem Ticket stehen? Mal abgesehen von Steganografie und erst recht von der Frage, wozu das Ganze gut sein sollte. Und von der Frage, wie man persönliche Daten rückholbar auf wenige Ziffern komprimieren kann. Von dem Packalgorithmus träumt wohl so mancher Softwareentwickler ...

Mit der App "Aztec Reader Demo" gerade anhand des Bildes ausgelesen. Ergebnis s.u.

Ui. :-) Damit geht es.

Keine meiner Apps hatte den Code erkannt. Das Ergebnis ist anders als erwartet. Es scheint nicht besonders schwer verschluesselt zu sein.

BR752

Falls es dich beruhigt, poste ich hier mal den Inhalt des Aztec-Codes meines oben erwähnten Tickets zeilenweise:

2
110001
leer
00000310=Preis 3,10 Euro, bei dir 23 Euro
33
260616=vermutlich 1. Gültigkeitstag, bei dir also 03.05.16
260616=vermutlich letzter Gültigkeitstag, dito
1
30570740=die Zahl steht auch im Klartext drauf, vermutlich Ticketnummer
6103=das scheint bei dir auch zu stehen
663385=die Zahl steht auch im Klartext drauf
260616=vermutlich Kaufdatum, bei dir vermutlich auch der 03.05.16
leer
leer
leer
2

Wenn wir annehmen, dass auch noch die räumliche Gültigkeit und/oder die Ticketart codiert ist (wobei ich das Verfahren dafür nicht kenne), bleibt insgesamt nicht viel Raum für verschlüsselte private Informationen. Dass bei dir als Kartenzahler auch nicht mehr Felder gefüllt sind als bei mir als Barzahler, spricht auch nicht gerade dafür.

Doch, gibt es. Ergebnis:

Ah, siehste. Und, sind da nun irgendwelche persönlichen Daten von dir dabei?

Naja, das Datum und den Preis kann man erkennen. Ggf. noch den Automaten und die Zahlungsmethode. Persoenliche Daten muessen nicht drin stehen, sondern koennen verknuepft sein.

Eine Kauf-ID im Aztec-Code, die im Backend mit der EC Karte des Kauefers verknuepft ist, kann auch schon "persoenlich" sein, auch wenn es nicht jeder direkt lesen kann.

Bargeld lacht. :-)

Ansonsten kann ich auch nur ueber den Grund/Versuchsballon hier spekulieren, da der Code anscheinend nicht verschluesselt, sondern nur "codiert" ist.

BR752

Eine Kauf-ID im Aztec-Code, die im Backend mit der EC Karte des Kauefers verknuepft ist, kann auch schon "persoenlich" sein, auch wenn es nicht jeder direkt lesen kann.

OK, an die Möglichkeit hatte ich nicht gedacht. Wie gesagt steht im Aztec-Code aber nicht viel (wenn überhaupt irgendwas), was im Klartext nicht steht. Wenn überhaupt, besteht das Problem also unabhängig vom Code.

Guten Abend! :-)
Mal abgesehen vom eventuell verknüpften persönlichen Inhalt des Codes und dem Versuch die Tickets fälschungssicher zu machen, ist es auch möglich, dass der Code dazu dient, die Einnahmen durch das NDS-Ticket auf die verschiedenen EVU zu verteilen.

Traditionell streiten sich alle beteiligten Verkehrsunternehmen um den Kuchen der Einnahem aus Pauschaltickets. Wenn ein Unternehemn jetzt durch den Scan der Tickets gegenüber den anderen nachweisen kann, dass soundsoviele Tickets konkret in ihren Zügen/Bahnen/Bussen/Wasauchimmer genutzt wurden, verbessert es seine Position bei den Verhandlungen um die Einnahmenverteilung erheblich, auch wenn dadurch noch kein fahrtstreckenabhängiger Nachweis gegeben ist. *justmy2cents*

Hab das mit anderen Tickets noch verglichen, die bei mir rumfliegen. Unter anderem ein Rheinland-Pfalz-Ticket sowie Tickets aus dem Reisezentrum (ist analog dazu aufgebaut).

- Das Datum ist nicht das Kaufdatum, sondern der Gültigkeitstag (auf einem Ticket war allerdings auch eine Rückreise, das Datum der Rückreise war merkwürdigerweise nicht zu finden)

- Die letzte Zahl gibt wohl die Klasse an, bei dir steht 2, bei den NDS-Tickets nicht, bei einem 1. Klasse Ticket eine 1

- Das mit dem Preis stimmt auch

- Zweite Zahl gibt wohl die Art des Tickets an, bei mehreren NDS-Tickets war es die Gleiche, nachfolgende Zahlen ebenfalls

- ...

Die Werte sind also nicht verschlüsselt und ich muss mir keine Sorgen machen.

Danke für die gemeinsame Aufschlüsselung / Analyse.

Hab das mit anderen Tickets noch verglichen, die bei mir rumfliegen. Unter anderem ein Rheinland-Pfalz-Ticket sowie Tickets aus dem Reisezentrum (ist analog dazu aufgebaut).

Dort sind dann noch Start und Ziel in Form der IBNRs vermerkt.

--
Weg mit dem 4744!

Vielleicht sind die Daten meiner girocard, die ich zum Bezahlen benutzt habe, in dem Aztec-Code gespeichert?

Wenn Du z.B. mit girocard bezahlst, dann 'weiß' das die Bahn doch. Warum sollte sie das dann noch mal 'versteckt' auf die Fahrkarte drucken ? Und wenn sie's tun würde, was wäre dann ?

Zumindest in der NDS-Ticket-Version "mit Groningen" könnte man diesen Code doch womöglich für diese tollen Holländer-Schranken in deren hermetisch abgeriegelten Bahnhöfen brauchen?

Ist das der passende Barcode-Style? Ich hab da keinen Vergleich.

Dass man wegen Schiffsunglücks jetzt und in den nächsten zehn Jahren gar nicht von Niedersachsen nach Groningen mit dem Zug fahren kann und im SEV-Bus wohl keine Schranken stehen, ist ja nun ein anderes Problem...

Ist das der passende Barcode-Style? Ich hab da keinen Vergleich.

Nein, ist der selbe Barcodetyp wie auf klassischen Papierfahrkarten. Zwar nach UIC-Standard, NS kriegts aber nicht hin, dass die Sperren damit umgehen können.

--
Weg mit dem 4744!

Tja, und ich frage mich, wozu man das wissen will / muß ? *kopfkratz

Hallo,

es wird immer mehr üblich, dass ein Kontrolleur sich den Fahrtausweis gar nicht mehr durchliest, sondern vor ein Lesegerät hält. Das Lesegerät entscheidet dann OK oder Beanstandung. Wenn ich nicht weiß, was im Aztec-Code geschrieben steht, kann ich mich in einem solchen Fall schwer verteidigen.

Hier als Beispiel eine Monatskarte der MVG (Münchner Verkehrs Gesellschaft):

Der Aztec-Code lässt sich mit dem Handy auslesen:

X03 00006006 0004633158016 01 04 28.01.2016,00:00 27.02.2016,12:00 IsarCard60 - Innenraum - Monat - Automatenverkauf

Der Inhalt lässt vermuten, dass 28.01.2016,00:00 der Beginn der Gültigkeit sein soll und 27.02.2016,12:00 das Ende der Gültigkeit.
Im Gemeinschaftstarif steht allerdings:
"Die IsarCard60 gilt einen Monat. Sie kann mit Gültigkeit von jedem Tag an ausgestellt werden und gilt über den letzten Geltungstag hinaus bis 12.00 Uhr des nächsten Tages."

Damit ist die Gültigkeit im Aztec-Code 24 Stunden kürzer als im Tarif. Ein Scanner würde in dieser Zeit ein EBE empfehlen.

Grüße,

Azerty