Crypta (ein FileCrypter) *G*
 

Hi,

ist nen ganz normaler filecrypter... benutzt die Blowfish Verschlüsselung...

ich weiß, dass es noch nicht sicher ist... aber ich wollte euch erstmal testen lassen, danach baue ich ne sicherheit (passwordabfrage?!) ein...

Vers. 1.0, nur auf Win2k getestet...

http://leathl.verwaltungsbeirat.com/CryptaSetup.exe

ca. 500kb groß

cYa
Leathl

Re: Crypta (ein FileCrypter) *G*
 

Ich würde ihn gerne mal ankucken, weil ich selber ja auch einen geschrieben habe (www.luckie-online.de). Aber ist denn ein Setup unbedingt nötig? das schreckt mich immer wieder ab.

Re: Crypta (ein FileCrypter) *G*
 

Guten morgen: Will ich das Programm direkt vom Setup ausführen lassen, bekomm eich diese ;eldung:
Die Edits sind etwas sehr kurz geraten.
Aktiviere den Button zum Ver-7Entschlüsseln nur, wenn es auch Sinn macht.

Funktionieren tut es jedenfalls.

Aber für sowas ein Setup? Ich weiß ja nicht.

Re: Crypta (ein FileCrypter) *G*
 

sorry... mein winrar spinnt n bissl... sfx/rar file hat nicht geklappt und ich wollt halt nicht einfach die exe machen... naja ich änders ja auch noch :) ...

danke fürs feedback... ich poste gleich mal neue version (vllt baue ich pw abfrage schon rein... mal schauen, wielang ich jetzt zeit hab)...

//edit...

sooo...

http://leathl.verwaltungsbeirat.com/Crypta.zip

hab jetzt mal aus zeitgründen nen passwortschutz beim starten des progs eingebaut... sagt mir mal, ob das sinnvoll ist, oder ob ichs umschreiben soll auf nen pw schutz pro file???

cYa
Leathl

Re: Crypta (ein FileCrypter) *G*
 

Guten Tag Leathl,

Erst einmal, herzlichen Glückwunsch zu deinem Crypter.

Kannst du mir sagen welche Komponente du benutzt hast um Blowfish zu implementieren ??


Schönen Tag noch

Re: Crypta (ein FileCrypter) *G*
 

danke... ;) weiß grad nicht wie die heißt... und ich muss jetzt weg -> keine zeit, nachzuschauen... sag ich dir dann später....

Ist blowfish denn gut oder sollte ich ne andere methode benutzen?

Re: Crypta (ein FileCrypter) *G*
 

Guten Tag Leathl,

Ich finde Blowfish gut, es ist schnell und sicher (448 bit max.)
Was will man mehr.
Als 2. würde ich auf eine MD5 + RSA Implementation zurückgreifen.


Schönen Tag noch.

Re: Crypta (ein FileCrypter) *G*
 

Hi,

hab jetzt ne Doppelverschlüsselung eingebaut...

erst wird das File durch BlowFish und dann durch RES verschlüsselt... ist das = doppelte sicherheit? also lohnt es sich?

http://leathl.verwaltungsbeirat.com/Crypta1.1.zip

ist dann Version 1.1 :) (Sorry, steht noch 1.0 auf der Infoseite)


cYa
Leathl

Re: Crypta (ein FileCrypter) *G*
 

@Leathl

Irgenwie ist dein Programm doch etwas sinnlos, da ja jeder der die Datein Decrypten kann, ohne das Passwort zu wissen, oder?

Re: Crypta (ein FileCrypter) *G*
 

Guten Tag,

Bist du dir sicher das es RES ist und nicht DES ??

Tja Doppelverschlüsselung muss nicht immer gleich sicherer sein.Und schon gar nicht doppelte Sicherheit. Denn jede Verschlüsselung ist halt stärker oder schwächer. Wenn ich 5mal hintereinander CRC32 implementiere, was ja nur ein Hash ist, ist es doch auch nicht schwerer es zu reversen. Es dauert halt nur.

Ich finde:
Erstens ist es wichtig wie man implementiert. Z.B. wenn du RSA-848 falsch implementierst ist es kein großer Schutz. Und zweitens was du implementierst. Blowfish und DES einzubinden find ich nicht so passend.
Ist zwar schon recht sicher aber 3DES (Tripple-DES) ist dann doch schon besser. Aber dann ohne Blowfish. Ich würde mich auf eins beschränken. Sowas ist auch nicht üblich. Die meißten Autoren nehmen dann die Hash + Cipher Methode, oder auch manchmal nur Hash.

Aber warum versuchst dus nicht mal mit MD5 + RSA. Daraus kann ein unbezwingbarer Schutz werden. Ich liebe Bignums. :)

Was natürlich auch recht interessant ist, wäre ECDSA, halt Elliptische Kurven. Aber da muss echt die Implementation stimmen. Und soweit ich weiß gibt es erst eine für Delphi. ;)

Mach das beste draus.

Schönen Tag noch.

Re: Crypta (ein FileCrypter) *G*
 

Hi,

danke für die lange Antwort :) ...

ja, ich meinte DES *G*...

Naja ich kenn mich halt mit Verschlüsselungen nicht aus, aber ist MD5 nicht eine Einwegverschlüsselung?
Ich werd mich dann mal auf die suche nach guten Sachen machen und das mit MD5 + RSA ausprobieren :)

cYa
Leathl

//Hab jetzt noch Rijndael eingebaut... womit kann man das am besten verknüpfen? hab jetzt Rijndael + Blowfisch + ThreeDES

Re: Crypta (ein FileCrypter) *G*
 

Guten Tag Leathl,

... Hmm wieviel willst du denn da noch reinknallen ???

... MD5 ist keine Verschlüsselung sondern ein Hash. Es berechnet eine eindeutige Prüfsumme aus einem String welche mathematisch nicht umkehrbar ist.(ist aber mathematisch nicht bewiesen !)


Tschau

Re: Crypta (ein FileCrypter) *G*
 

Nein, dies ist IMMER schlecht. Um dies mal genauer zu erklären, da ich von solchen Anwendungen immer wieder höre.

Also es gibt die perfekte Verschlüsselung die als einzigste Verschlüsselung mathematisch bewiesen zu 100% unknackbar ist. Diese nennt sich One Time Pad = OTP Verschlüsselung. Dabei wird bei jeder Verschlüsselung aus echtem Zufall ein Schlüssel erzeugt der exakt so lang ist wie die Message selber. Danach wird per simplem XOR die Message und der Schlüssel verknüpft. Raus kommt der CipherText.

Angenommen wir verschlüsseln so eine 1024 Bit Message, ezeugen einen absolut zufälligen Schlüssel der ebenfalls 1024 Bit lang ist und verknüpfen per XOR.

Bei einer Zweifachverschlüsselung würden wir also einen zweiten Schlüssel zufällig erzeugen und den 1. CipherText erneut mit diesem Schlüssel XOR verknüpfen. Die entstehende Differenz des nun 2. CipherTextes wäre exakt so groß wie sich die beiden Schlüssel unterscheiden, klaro ?? eben XOR.

Die Wahrscheinlichkeit das sich 1 Bit mit den Werten 0 und 1 in den beiden Schlüsseln negiert beträgt ???? ja 50 %. Diese Wahrscheinlichkeit kann auf alle 1024 Bits angewendet werden, und somit NEGIEREN sich die Schlüssel zu exakt 50%.

Somit würde eine Zweifachverschlüsselung bei einem OTP Cipher mit zwei Schlüsseln die Sicherheit um 50% reduzieren !!

Da nun besonders Streamcipher, Stromverschlüsselungen wie RC4, Vernam Cipher usw. versuchen den Schlüssel aus einem Pseudozufallsgenerator zu produzieren, ist bei Streamciphern bewiesen das eine Mehrfachverschlüsselung die Sicherheit reduziert.

Bei Blockverschlüsselungen wie Blowfish ist dieser Fakt schon ein bischen anders gelagert. Allerdings empfehlen alle Cryptoexperten nicht mehrfach zu verschlüsseln. Auf diesem Gebiet sind auch sogut wie keine Forschungen bekannt. Warum sollte ein Cryptoguru seinen Algo. querchecken mit den Algorithmen anderer Cryptogurus ??

Gruß Hagen

Re: Crypta (ein FileCrypter) *G*
 

Achso, verwende lieber SHA1 als Hashfunktion. Beim MD5 konte man eine partielle und abgeschwächte Kollision nachweisen. Somit wäre MD5 eigentlich als unsicher einzustufen.

Als Public Key Verfahren empfehle ich dir nicht RSA zu nehmen. Besser sind die ECC = Elliptischen Kurven. Man kann RSA so implementieren das bei der Schlüsselerzeugung die Schlüssel von spezieller Form sind. Dem Wissenden ermöglicht dies aus dem öffentlichen Schlüssel auf direktem Weg den privaten Schlüssel, sprich die beiden Primzahlen, zu berechnen.
Das lustige daran ist das man mathematisch nachweisen kann das ein solcher RSA, ohne die Sourcen zu kennen, beweisbar UNBEWEISBAR nachweisbar ist. Anders ausgedrückt: die so erzeugten Schlüssel können NICHT von herkömmlichen Schlüsseln unterschieden werden. Dies ist mathematisch bewiesen und genauso schwer nachweisbar wie einen RSA Schlüssel zu faktorisieren.

Das Problem mit RSA ist es also das sicherheitrelevante Werte, die zwei Primzahlen, eben NICHT öffentlich überprüfbar sind. Ansonsten hätte man ja gleich den privaten Schlüssel in der Hand. Für dieses Problem kann es keine Lösung geben.

Im Gegensatz dazu arbeiten die ECC's mit Parametern die alle öffentlich bekannt und überprüfbar sind. Die Sicherheitsrelevanten Paramter, wie der private Schlüssel, bestehen aus reinem Zufall.
Wer also einer Library nicht trauen kann, oder deren Source nicht kennt, kann bei ECC einen Würfel nehmen, > 168 mal würfeln und so seinen eigenen privaten Schlüssel erzeugen.

Bei RSA geht dies nicht !! Wenn man also nicht die Source hat darf man keinen RSA für sicher halten. Eher im Gegenteil: durch diese mögliche und vorgespielte Sicherheit und das somit notwendige Vertrauen, wirds erst recht unsicher. Der schlimmste Feind ist derjenige der schon längst meine Rechner gehackt hat, über alle Berge ist, und von dem ich NIE erfahre das er da war.

Oder anders ausgedrückt: Vertrauen ist es, wenn derjenige dem man vertrauen schenkt, dieses mißbrauchen kann. Deswegen heissen Trustcenter eben Trustcenter da es diejenigen sind die mein Vertrauen mißbrauchen (können).



Gruß Hagen

PS: ohne schwarz malen zu wollen: wenn ich als Hersteller eine einbruchsichere Hardware herstelle, wie z.b. SmartCards oder FritzChip, die RSA verwendet, und ich von so einer Backdoor weiß, dann bau ich sie ein.