Forum: Programmieren allgemein
by negaH,
23. Jul 2006
Von CRAM-MD5 halte ich nicht viel. Eine MITMA, Man in the Midle Attack ist nicht ausgeschlossen noch überhaupt notwendig um die anschließende Komunikation zu belauschen. Denn diese ist ja im CRAM-MD5 STandard ja garnicht verschlüsselt. Eine Brute Force Attacke auf das Clientpassword ist ebenfalls nicht ausgeschlossen, denn alle Daten dafür stehen während einer Loginkommunikation zur Verfügung....
Forum: Programmieren allgemein
by negaH,
22. Jul 2006
Doch mit SRP muß man auf Clientseite eben NICHTS speichern, es ist ein Password based Protocoll, und kein Certificate based Protocoll.
Je nachdem wie die Schlüssel für RSA erzeugt wurden ist, bzw. kann RSA sehr unsicher sein.
In den meisten Fällen gibt es 3 Methoden für die Erzeugung eines RSA Schlüselpaares
1.) TrustCenter
2.) einbruchsichere Hardware wie SmartCards, FritzChip
3.)...
Forum: Programmieren allgemein
by negaH,
22. Jul 2006
Suche hier in der Codelib meinen SRP Code. Der liegt als DLLs vor und du kannst diesen frei verwenden. Darin ist alles schon fertig umgesetzt und du musst nur noch wenig anpassen.
Implementiert wird ein verbesserter SRP-6a Standard, Secure Remote Passwort Protocol, siehe http://srp.stanford.edu/
Vergiß sowas wie Zertifikate auf Basis von RSA oder ähnlichem Quatsch. So wie du dir das gedacht...
