AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

Ein Thema von Samuel Kurmann · begonnen am 12. Jan 2021 · letzter Beitrag vom 13. Jan 2021
Antwort Antwort
Samuel Kurmann

Registriert seit: 12. Jan 2021
6 Beiträge
 
#1

Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 12. Jan 2021, 17:24
Hallo Zusammen

Ich befasse mich seit kurzem mit dem Thema Verschlüsselung, so einiges kapiere ich schon, habe aber einige konkrete Fragen.

Hier ein paar Infos zu meinem SetUp: Ich verwende Delphi Sydney und habe LockBox 3 per GetIt installiert. Damit ist es sehr einfach, die AES-256 Verschlüsselung zu implementieren. Dies hat auch einwandfrei geklappt.

Einfachkeitshalber, aber nicht abschliessend, habe ich den Key für die Verschlüsselung im Programmcode fix hinterlegt. Wie sicher sind nun meine verschlüsselten Werte?
Wie einfach ist es die EXE soweit zu analysieren, um an diesen Key zu kommen?
Ist es sicherer den Key beispielsweise in verschiedenen Ecken im Programmcode als Konstanten zu hinterlegen und nur beim Encrypten/Decrypten den Key zusammenzubauen?

Es geht mir nicht darum, den "perfekten" Weg für eine Passwortverschlüsselung mit Master-Passwort erklärt zu bekommen, damit habe ich mich auseinandergesetzt und soweit verstanden.
Mir ist nur nicht ganz klar worin die Sicherheitsrisiken bei einfacheren Methoden, wie den Key im Programmcode fix zu hinterlegen, liegen?
  Mit Zitat antworten Zitat
Daniel
(Administrator)

Registriert seit: 30. Mai 2002
Ort: Hamburg
15.407 Beiträge
 
Delphi 10.4 Sydney
 
#2

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 12. Jan 2021, 19:01
Zwei der Probleme nennen sich "Debugger" und "Disassembler". Für einen Ottonormal-Anwender mag der Key in der EXE halbwegs sicher sein. Nur für technisch versierte Anwender ist es mit (zumeist) überschaubarem Aufwand möglich, ein Programm buchstäblich auseinander zu nehmen. Man kann sich dann Speicherbereiche ansehen und die Aufrufe von Programmteilen verfolgen. Für manche ist das ähnlich spannend wie Netflix.

Idealerweise solltest Du das Passwort nicht in oder neben die EXE legen (wäre ein wenig wie der Schlüssel unter der Fußmatte). Du könntest das Passwort verschlüsselt von einem Server abrufen und beispielsweise nur kurz im Speicher halten, solange es für die Entschlüsselung erforderlich ist. Danach könntest Du den Speicherbereich überschreiben.

Oder aber Du hältst Dich als Software-Entwickler da gänzlich raus und überlässt es dem Anwender, sich ein Passwort auszudenken und sicher aufzubewahren. Er würde dies dann nur eintippen und Du könntest dann damit arbeiten. Mit Blick auf die Sicherheit wäre dies das Beste, da ein Dieb, den wir als "Dritten" betrachten können, sowohl den PC mit den Daten als auch den Anwender bräuchte, um die Daten entschlüsseln zu können. (Stichwort Zwei-Faktor-Authentifizierung).
Daniel R. Wolf
Admin Delphi-PRAXiS
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Andreas13

Registriert seit: 14. Okt 2006
Ort: Nürnberg
302 Beiträge
 
Delphi XE5 Professional
 
#3

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 12. Jan 2021, 19:49
Hallo Samuel,
schau doch mal hier rein:https://www.delphipraxis.net/200188-...ml#post1428892. Unter #9 findest Du einen Lösungsvorschlag: Dieser ist besser als ein mit abgelegtes Passwort.
Gruß, Andreas
Wenn man seinem Nächsten einen steilen Berg hinaufhilft, kommt man selbst dem Gipfel näher.
John C. Cornelius
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.322 Beiträge
 
Delphi XE5 Professional
 
#4

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 12. Jan 2021, 20:52
Schlüssel ist natürlich das größte Problem.

Aber auch AES selbst kann Trickreich sein, so ist z.B. der CBC durch die Oracle Padding Attacke anfällig. Die GC sind da besser.
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/channel/UCUG...aXLclwO9qA-lzA
  Mit Zitat antworten Zitat
Samuel Kurmann

Registriert seit: 12. Jan 2021
6 Beiträge
 
#5

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 10:40
@Daniel:
Das mit dem Dissasembler und Debugger habe ich mir bereits gedacht, wollte mich nur vergewissern, dass dies auch so möglich ist.

Die Idee mit dem Server ist mir ebenfalls gekommen, ergibt für mich nur das Problem: Ist der Server nicht verfügbar, kann ich die Passwörter nicht entschlüsseln. Hat in der heutigen Zeit wahrscheinlich nicht eine zu grosse Relevanz, da die meisten Anbieter eine Ausfallsicherheit von 99,9% anbieten. Trotzdem kann ja mal lokal ein Netzwerkproblem o.ä. vorkommen.

Diesen Vorschlag ist meines Erachtens ebenfalls am besten, je nachdem aber auch mit mehr Aufwand verbunden.

@Andreas13
Werde ich mir gerne mal anschauen.

@generic
Okee... muss ich demnach auch mal anschauen, habe ich noch nichts davon gehört.

Vielen Dank euch allen für die Antworten. Werde mich definitiv noch mehr damit beschäftigen.
Habe auch diverse bestehende Passwort-Tools angeschaut und deren Verschlüsselung, für mich am verständlichsten dargestellten ist das Verfahren von lastpass (https://www.lastpass.com/de/enterprise/security), was haltet Ihr davon?

Geändert von Samuel Kurmann (13. Jan 2021 um 11:29 Uhr) Grund: unvollständiger Satz
  Mit Zitat antworten Zitat
dummzeuch

Registriert seit: 11. Aug 2012
Ort: Essen
802 Beiträge
 
Delphi 2007 Professional
 
#6

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 10:50
Du könntest das Passwort verschlüsselt von einem Server abrufen und beispielsweise nur kurz im Speicher halten, solange es für die Entschlüsselung erforderlich ist.
In wie fern ist ein Server sicherer als eine lokale Datei? Ein Angreifer könnte doch genauso auf den Server zugreifen wie das Programm.
Thomas Mueller
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.322 Beiträge
 
Delphi XE5 Professional
 
#7

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 12:01
Du könntest erklären warum du was verschlüsseln willst und was du verschlüsseln willst.
Zweck und Ziel
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/channel/UCUG...aXLclwO9qA-lzA
  Mit Zitat antworten Zitat
Samuel Kurmann

Registriert seit: 12. Jan 2021
6 Beiträge
 
#8

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 13:54
@generic

Es geht um eine Passwortverschlüsselungtool, ist aber "nur" als Spielerei für mich gedacht, bzw. um mich mit dem Thema zu befassen, da es mich sehr interessiert.
Mir geht es auch nicht darum hier zu erfahren, was der perfekte "Weg" ist (dafür gibt es bereits genug Forumeinträge und Googleeinträge).
Ich möchte nur besser verstehen wo die Lücken sind und dies verstehen.
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik
Online

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
3.988 Beiträge
 
Delphi 10.3 Rio
 
#9

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 13:57
In wie fern ist ein Server sicherer als eine lokale Datei? Ein Angreifer könnte doch genauso auf den Server zugreifen wie das Programm.
Der Server kann aber für jeden request ein neues PW erzeugen, wenn Du das eine die gerade er-debugged hast, beim nächsten call ist es schon wieder ein anderes...

App hat public Key - Server hat privat Key und erzeugt einen neues Session PW.

schau doch mal hier rein:https://www.delphipraxis.net/200188-...ml#post1428892. Unter #9 findest Du einen Lösungsvorschlag: Dieser ist besser als ein mit abgelegtes Passwort.
Sicherlich ist die Speicherung eins Passwortes im Klartext schlecht, aber da die App ja irgendwann mal das PW verwenden muss, ist der Breakpoint genau an dieser Stelle.
Verschleierung ist keine Verschlüsselung - eine gute Verschleierung wieder steht natürlich einem "einfachen in die Exe schauen", aber nicht dem disassemblier Profi.


Mavarik
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:00 Uhr.
Powered by vBulletin® Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf