Forum: Programmieren allgemein
by negaH,
11. Feb 2008
Das ist der Punkt der dir in der Praxis dann deine Grenzen definiert.
Wolltest du es wirklich gut machen dann heist dies:
1.) Benutzer müssen sich mit dem neuen System komplett neu registrieren da es kein kompatibles System, von Alt auf Neu, geben kann. Meistens ist die Mathematik, Kryptographie und Daten der Alten Systeme kompolett unterschieldich zu den neuen Systemen
2.) da du nun ein...
Forum: Programmieren allgemein
by negaH,
11. Feb 2008
Nein das stimmt eben nicht. Bei guten Loginverfahren wie dem SRP kannst du das nicht. Alles läuft quasi "verschlüselt" ab. Vrschlüsselt heist hier mit speziellen mathematischen Verfahren geschützt. Wollte man da eine MITMA machen so benötigte man gespeicherte Daten auf dem Server und die Möglichkeit das Logarithmusproblem in Echtzeit zu knacken. Das geht bis heute nicht !
Also wenn im Falle...
Forum: Programmieren allgemein
by negaH,
11. Feb 2008
@Matze:
Stell es dir mal so vor:
Du schützt mit Algorithmus "Fantasy" alle Passwörter und andere Daten deines Systems. Nun sagt dir einer das Fantasy nicht mehr sicher ist, er tritt den Beweis an das er gebrochen werden kann. Du weißt nicht wer in der Zwischenzeit an deine verschlüsselten Daten herangekommen ist. Du must also von der Annahme augehen das Jemand an deine Daten herangekommen...
Forum: Programmieren allgemein
by negaH,
10. Feb 2008
Nenn mir ein Verfahren das absolut betrachtet einer MITMA widerstehen kann !
Gruß Hagen
Forum: Programmieren allgemein
by negaH,
10. Feb 2008
Quatsch, Du musst das differenzieren. WANN ist eine MITMA möglich ? Das Verfahren ist sicher gegen jeden bekannten Angriff wenn man einmal beim Server registriert ist. Danach geht auch MITMA nicht mehr. Das ist weitaus besser als viele der heutzutage benutzten Verfahren, inkulsive SSL das mit Zertifikaten arbeitet die auf RSA basieren. Im RSA gibt es viel möchtigere Möglichkeiten ganze...
Forum: Programmieren allgemein
by negaH,
10. Feb 2008
Irgendein Kryptologe sagte mal: TrustCenter bedeutet Vertrauenszenter und das bedeutet das es die einzigste Instutition ist die das Vertrauen der Kunden mißbrauchen kann. Das ist keine Sicherheit !
Das ist ja der Trick ;)
1.) bei einem guten Passwortbasiertem Loginsystem wird das Passwort niemals über das INet übertragen. Übertragen werden durch mathematische Verfahren "umgewandelte"...
Forum: Programmieren allgemein
by negaH,
10. Feb 2008
Ganz stimmt das nicht.
In meiner SRP Implementierung habe ich gezeigt das man mit einem mehrstufigem EMail basiertem Registrationsprozess auch diesen Prozess kryptographisch absichern kann. Dabei wird der neuangelegte Account auf dem Server stufenweise in seinen Zugriffsrechten inkrementiert. Als erstes wird über die EMail ein Benutzer einen Account beantragen. Der Server erzeugt ein...
Forum: Programmieren allgemein
by negaH,
10. Feb 2008
also wenn dann so
PasswortHash = variablerSalt || md5(vary(variablerSalt || festerSalt || Passwort));
Immer erst die Zufallsdaten und daran die festen Daten hashen. Eine Hashfunktion hat einen Lawineneffekt. Je veränderlicher die ersten Bits der Daten sind desto mehr Einfluß haben sie auf den internen Status der nachfolgenden Bits die man hasht.
Aber grundsätzlich ist ein solches...
