Thema: Delphi Key für Verschlüsselung

Einzelnen Beitrag anzeigen

Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#9

Re: Key für Verschlüsselung

  Alt 14. Okt 2003, 23:55
Zitat:
Sicher wird es nur mit einer one-way Verschlüsselung, sprich man hasht das Passwort und bei der Eingabe wird das eingegeben Passwort "gehasht" und mit dem gespeicherten Hash verglichen
Was bedeutet das ein Angreifer sein eigenes Passwort mit der gleichen Funktion hasht, und das gespeicherte Benutzerpasswort mit diesem Hash ersetzen kann. Somit hat nun der Angreifer Zugriff.

Nein, ein Passwort gehört in das Hirn und mit diesem Passwort werden alle Daten verschlüsselt. Nur wer dieses Passwort beim Start der Anwendung eingibt kann die Daten entschlüsseln. Die Sicherheit besteht dann nur noch aus der Fragestellung "Wie gut ist das benutzte Passwort ansich". D.h. ein Passwort wie "A" ist schlecht, aber ein Passwort wie "Die Frage hier ist nicht Sein oder Sein, da 5 * 3 = 17 und somit grün" kann man als sicher ansehen. (nungut, nun natürlich nicht mehr da ihr es kennt).

D.h. Passwörter sollten wenn überhaupt nur in einbruchssichere Hardware gespeichert werden, ansonsten nur im Kopf. Da hilft auch keine Public Key Verschlüsselung wie mit OpenPGP, denn auch dort muß zur Entschlüsselung der Private Key benutzt werden. Dieser sollte immer per Passwort verschlüsselt gespeichert werden. Diese Passwort muß also ebenfalls zur Entschlüsselung beim Benutzer abgefragt werden. Der EINZIGSTE Vorteil mit PK's wäre der das man zur Verschlüsselung keine Passwortabfrage benötigt.

Logisch gesehen gibt es bei solchen Systemen keinerlei andere sichere Alternativen !

Ein Passwort in die EXE zu speichern ist so sicher wie überhaupt nicht zu verschlüsseln. Ein Angreifer mit Zugriff auf die EXE kann dieses innerhalb von Stunden extrahieren. Dagegen gibt es keinerlei effektiven Schutzes, falls keine zusätzliche Hardware benutzt wird.
Wird diese EXE noch vertrieben ohne dieses Passwort für jede Kopie jedesmal zu ändern, dann ist dieser "Schutz" eher unsicherer als überhaupt nicht zu verschlüsseln. Unverschlüsselt beträgt die Sicherheit 0 Prozent. Mit einmaligem EXE gespeicherten Passwort beträgt die Sicherheit 0% - x%, wobei x% die durch den Benutzer suggerierte und angenommene Sicherheit ist die nicht existiert.
D.h. der Benutzter glaubt sich ziemlich sicher, angenommen zu 90%. Da dies definitiv nicht der Fall ist ist die effektive Sicherheit -90%, und fügt MEHR Schaden zu als ohne vorgetäuschte Sicherheit.

Gruß Hagen
  Mit Zitat antworten Zitat