Hi Leuts!

Hier ist die Version 1.5 des CryptMasters!
Es hat so einige Änderungen gegeben:
- Anstelle von SHA-1 verwende ich jetzt Haval256. Auf diese Weise hat der CryptMaster jetzt auch 256 Bit-Verschlüsselung!
- Zufallswerte werden jetzt auch bei der Verschlüsselung von Dateien mit angehängt. (32 Bit Hash + 32 Bt Zufall)
- CryptMaster registriert die Endung .cryptmaster (nur bei Installation). Das ermöglicht das direkte Öffnen von Dateien zum entschlüsseln.
- Dateien können auch geöffnet werden, indem Sie einfach auf die EXE-Datei gedroppt werden. Das ist besonders praktisch, wenn man den CryptMaster auf einem USB-Stick mitnimmt.
- Es wird jetzt bei der Ver- und Entschlüsselung mit einer temporären Datei gearbeitet, die dafür sorgt, dass die Performance wesentlich erhöht wird! Diese Datei wird anschließend natürlich vernichtet.
- Die Temporäre Datei wird grundsätzlich in das Verzeichnis C:\WINDOWS\Temp geschrieben.
(Weiß irgendjemand, ob das bei irgendwelchen Systemen Probleme machen kann?) Flashspeicher, auf denen der CryptMaster eventuell gespeichert ist, werden geschont.

Testet das Prog mal und sagt mir, wie ihr es findet. Zum besseren Testen empfehle ich euch die Installation, ansonsten habt ihr hier auch die ZIP-Datei.
Alle Registryeinträge die bei der Installation gemacht werden, werden meines Wissens nach auch wieder entfernt. Insbesondere die Registrierung der Dateiendung.

Download CryptMaster-Installer

MfG,
Daniel.

Bei mir gibt das Verzeichnis nicht.

Nicht?

Ich hab XP und bei mir existiert es. Liegt dann wahrscheinlich daran, dass es noch mehr von solchen Proggern gibt, die einfach das Verzeichnis nehmen wollen.
Aber so gesehen ist das ja nicht so schlimm, es kann ja problemlos erstellt werden.
Ein größeres Problem wäre es, wenn jemand sein System so eingerichtet hätte, dass es kein Laufwerk C gibt. Aber unter Windows ist C immer die Windows-Partition, oder?

MfG,
Daniel.

Windows2000.
Und Windows NT ff. läßt sich problemlos auf einer beliebigen Partzition installieren. Kleiner Tipp: Es gibt eine Funktion, mit der kannst du das temp-Verzeichnis des jeweiligen Benutzers ermittlen.

Und Erstellen, sage ich dir gleich, finde ich echt nicht gut.

Erstellen finde ich auch nicht gut, macht er aber schätzungsweise automatisch.
Wie heißt denn diese Funktion?

Ich gucke mal hier im Forum.

MfG,
Daniel.

So, nun hab ich's.

Hier jetzt die Version, die das Tempfile ins wirkliche Tempverzeichnis schreibt.

MfG,
Daniel.

Download CryptMaster 1.5 mit Installer

Hi,

ich hab jetzt mal den CryptMaster in der Version 1.6 noch mit einen Passwort-Generator ausgestattet.
Außerdem hab ich noch ein paar andere kleine Änderungen vorgenommen.

Zum Thema Passwort hab ich mal noch ein paar kleine Fragen an euch:
Ich hab da einen Passwortmanager gefunden, der aber erst gerade vor 4 Tagen veröffentlicht wurde. Mach auf mich einen sehr guten Eindruck (Funktionalität), ich weiß bloß nicht, ob man dem wirklich vertrauen kann.
http://www.bagus-software.de

Kennt jemand von euch ein Prog, mit dem man (z.B. nach Diffie und Hellman) Passwörter vereinbaren kann? Sollte also ein Einzeltool sein.

@Hagen:
Hast du eigentlich mit dem DEC selbst mal Freeware geschrieben? Wäre schön, wenn du mir - sofern vorhanden - ein paar Links oder so dazu geben könntest.

Download CryptMaster mit Installer

MfG,
Daniel.

Nein, nur kommerzielle Projekte. In diesen habe ich auch meine math. Library benutzt um zB. ein Elliptic Curve Diffie Hellman zu integrieren, u.ä.

Ich würde niemals solchen Tools trauen.

Auszug aus deren Seite:
Dies bedeutet das wenn man 100 Passwörter in eine Datei speichert und nun nur eines dieser Passwörter extrahieren will, denoch die komplette Datei entschlüsselt wird. Ein Angreifer mit Spysoftware erlangt also somit in einem Rutsch alle 100 Passwörter.
Dies ist ein grober Konzeptfehler !! Jedes Passwort muß separat auf sichere Weise verschlüsselt werden. Will man ein einzigste Passwort extrahieren so werden die restlichen 99 Passwörter überhaupt nicht aus der Datei geladen. Somit könnte, bei sicherer Masterpasswort-Abfrage, eine Spysoftware nur dieses eine Passwort ausspionieren.

Wenn diese Datei nur mit einem Masterpasswort verschlüsselt wurd so heisst das auch das alle 100 Passwörter bei Verlust dieses Masterkeys kompromitiert sind. Würde man jedes Passwort separat verschlüsselt in dieser Datei speichern, so könnte der Benutzer eben verschiedene Masterkeys dafür benutzen. Meine Freundin z.B. könnte in der gleichen Datei mit anderem Masterkey ihre Passwörter zusätzlich zu meinen verwalten. Wie gesagt: Sicherheitskonzept ist schlecht.

Am besten testeste mal den Master-Passwort-Abfrage-Dialog ob man die Eingaben des Benutzers sniffen kann. Falls ja, schon Mist.

Man sollte sowieso nur selbst compiliertem und verstandenen Source vertrauen.

Gruß Hagen

Übrigens:

Sie benutzen Blowfish und das ist NICHT die beste Verschlüsselung ! Beim Blowfish ist bekannt und bewiesen das es "schlechte" Passwörter gibt die geringere Sicherheit haben als andere. Ok, bei 446 Bit langen Schlüsseln scheint dies im ersten Moment keine echte "Schwäche" zu sein, bedenkt man aber wie schwierig es ist für Menschen echte 446Bit Passwörter zu benutzen, so kann dies schon tragisch enden. 446Bit Passwörter sind komplizierte Sätze=Passphrasen mit mindesten 200-300 Worten. Dies ist auf Drund der schlechten Entropie der deutschen/englischen Sprache so. Pro 8Bit Bytes an Text gibt es ca. 3.6Bit Entropie. Die Passphrase sollte als ca. 1024 Bit lang sein = 128 Zeichen. Aber bei diesen Zeichen werden NUR Passphrasen benutzt die KEINERLEI wörtlichen Sinn ergeben dürfen. Geht man davon aus das ein Angreifer eine Wortdatenbank Attacke durchführt dann sollte man mindestens 128 Wörter als Passphrase benutzen.

Ich habe noch nie solch großen Passwörter bei Anwender gesehen !!

Nun wird klar warum eine symmetrische Verschlüsselung solcher Passwort-Safes nicht im geringsten ausreichen kann. Denn einmal im Besitz eines 1000 Passwort Safes, ist es sehr lohnend eine Brute Force Attacke auf diese Datenbank zu machen. Wurde als Passwort ein ca. 10 Zeichen langes Passwort benutzt ist dieser Angriff absolut durchführbar.

Man sollte von vornherein solche Safes anders angehen. Jedes gespeicherte Passwort wird mit einen sehr guten Zufallsschlüssel XOR verknüpft. Die Länge dieses Keys sollte fixiert auf zB. 512Bit sein, egal wie lang das eigentlich Passwort ist. Nun wird zum XOR verschlüsselten Passwort dieser 512Bit Zufallswert verschlüsselt gespeichert. ABER diese Verschlüsselung muß per Public Key Verfahren erfolgen. Der Private Teil des Public Keys wird auf sichere Weise gespeichert. Am besten gut verschlüsselt an sicherer Stelle und nur der Benutzer weis exakt wo. Nun muß ein Angreifer die Passwort-Datenbank klauen + den verschlüsselten Private Key. Dazu muß er erstmal Zugriff auf diesen bekommen. Desweiteren wird die Wahrscheinlichkeit an den Masterkey beim Erzeugen/Speichern neuer Passwörter auf 0 reduziert. Denn ein neues Passwort wird ja nur m,it dem Public Key verschlüsselt. Der Private Key ist bei dieser Operation nich beteiligt und für die SpySoftware nicht im geringsten sichtbar. Sie hat keinerlei Informationen über den privaten Key.

So und nicht anders würde ich einen solchen Safe designen. Mit einem zusätzlichen Merkmal: nämlich der Private Key ist nur auf einer SmartCard gespeichert und die entschlüsselung eines geschützten Passwortes wird nur INTERN auf dieser SmartCard erfolgen. Die Passwortdatei selber wäre ebenfalls auf der SmartCard gespeichert. Wenn SmartCard's unerwünscht sind, dann würde es ein USB-MemoryStick ebenfalls tun.

Gruß Hagen

Puh,

da kann ich nur noch eines sagen:
"Woher weißt du das alles?"

Gut, wenn ich meine Passwörter vor der CIA schützen will, dann glaube ich das gerne. Aber ist Blowfish für den normalen Anwender denn nicht sicher genug?
Logisch: Wenn ich da meine Tan-Nummern speicher in Kombination mit einem Online-Banking-Kennwort, dann ca 20000€ auf dem Konto liegen habe und so weiter, dann wird sich vielleicht jemand die Mühe machen die Daten zu cracken. Aber auch in dem Fall würde er wohl eher meine Leitung anzapfen oder mit eine Spysoftware unterjubeln, die genau dann aktiv wird, wenn ich selbst (von mir aus auch auf einer Smart-Card) auf den gewünschten Datensatz (z.B. TAN) zugreife. Denn irgendwann muss ich selbst die Daten ja auch aus den sicheren Bereich heraus in ein anderes GUI befördern.
Trotzdem hab ich mich selbst auch schon gewundert, weshalb die Blowfish und nicht einen anderen Algo verwenden. Mir selbst ist Blowfish irgendwie unsympathisch, auch wenn ich nicht weiß weshalb.
Kennst du denn eine Software, die die Datenbank auf einem USB-Stick speichert?

MfG,
Daniel.