Passwortverwaltung

Werbeanzeige

Mastermind

unregistriert

02.06.2011, 19:33

Also pgp usw. machen es so dass das Keyfile mit dem Passphrase als key verschlüsselt wird.

Wir haben also am Ende folgende Artefakte:

1) Datei mit Passwörtern AES veschlüsselt (sicher wenn key lang genug und zufällig)
2) Ausreichend langer Key zu 1) der mit einer CSPRNG Methode generiert wurde und mit einem bekannten sicheren Algo (z.B. auch AES) verschlüsselt ist (soweit sicher) der Schlüssel ist das Passphrase (potentiell unsicher)
3) Programm (potentiell usicher) was das alles verwaltet aber jedenfalls AES und den PRNG korrekt implementiert (i.e. Libs verwendet)

Sonst nichts. Insbesondere speichert/cached das Programm sonst nichts.

Egal was das Programm sonst unglaublich dummes tun mag, ohne den Key kommst du nicht an die Passwörter. Punkt. Der Angriffspunkt ist das Keyfile und da das ebenfalls sicher verschlüsselt ist musst du das brute-forcen (was ggf möglich ist wenn dessen key doof gewählt ist.)

Zum Seitenanfang

FalkT

Treue Seele

Beiträge: 125

Wohnort: AC

02.06.2011, 19:36

Ich sehe prinzipiell keine Sicherheitslücken, außer dass die Passwörter irgendwo als "Plain-Text" im RAM rumliegen.
Das dürfte der schwierigste Punkt werden.

Sicherlich könnte man für diese Text-Datei AES verwenden und statt AES-128 sowas wie AES-512.
Aber da es nun wirklich nicht Performance-Kritisch für den Benutzer ist, würde ich zur Verschlüsselung der Text-Datei sogar sowas wie ECC nehmen.

Zum Seitenanfang

Mastermind

unregistriert

02.06.2011, 19:42

Die Passwörter können erst nach der entschlüsslung Plaintext im RAM liegen. Und dann ist es eh zu spät.

Ich glaube du verwechselst auch DES mit AES. AES ist AFAIK ungebrochen.

Zum Seitenanfang

Werbeanzeige

spieleprogrammierer.de - Forum und Wiki zur Spieleprogrammierung und Spieleentwicklung

Passwortverwaltung