Mehrfache Verschlüsselung

Alles rund um die Software-Entwicklung: Programme, Skripte, Projekte etc.
Antworten
Benutzeravatar
Soulprayer
Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 12842
Registriert: 01.07.2004, 20:42
Wohnort: Solingen

Mehrfache Verschlüsselung

Ungelesener Beitrag von Soulprayer » 21.08.2011, 16:06

Moin,

ich habe folgendes Vorhaben: einen Online Passwort Manager programmieren.
Natürlich gibt es sowas schon, aber wen vertraut man am meisten? Sich selbst.
Deswegen mein Vorhaben.

Praktisch möchte ich es so machen, daß ich mehrere Verschlüsselungen einsetze, das ist hier einfach mal hingekritzelt, sind bestimmt noch fehler drin:

Code: Alles auswählen

function encrypt(&$this,&$password,code) {

switch (code) {
    case 0:
        do_code_0_encode(&$this,&$password)
        break;
    case 1:
        do_code_1_encode(&$this,&$password)
        break;
    case 2:
        do_code_2_encode(&$this,&$password)
        break;
    default:
       echo "error in encryption methode";
}

function encode_string(this,pass) {

  encrypt(&$this,&$pass,"code0");
  encrypt(&$this,&$pass,"code1");
  encrypt(&$this,&$pass,"code2");

    //&$this ist nun mehrfach mit mehreren Salts verschlüsselt

}
}
Naja, meine Idee ist es, falls tatsächlich diese Datenbank geklaut wird (warum auch immer) mehrere gehashte Salts einzubauen, um die Entschlüsselung massiv zu Erschweren, damit Rainbow Tables in der Hinsicht auch noch Jahre brauchen, um die Datenbank zu cracken.
Insofern bräuchte das Cracken eines gehashten Hashes eines Saltedhashes (jeweils mit 2^256 Permutationen) Jahrzehnte, eine potenzierte Sicherung mit 2^256+2^256+2^256 denke ich ist quasi derzeit fast unknackbar.
Natürlich muss ich dann noch eine Funktion einbauen, damit bei einer Fehleingabe nicht der Server zusammenbricht ;)

Frage ist in der Hinsicht, inwiefern ich a) damit recht habe, b) ich über das Ziel hinausschieße oder c) alles vllt Unsinn ist und ich möglicherweise doch einen online password manager (stichwort passpack) den Vorzug geben sollte.
Ich weiß von mir selber, daß ich Ideen schnell versuche umzusetzen, aber dann nachlasse, deswegen möchte ich gerne ein wenig eruieren, ob sich diese Möglichkeit für mich lohnt, und es möglicherweise andere Interessierte gibt, wenn ich das dann als halboffenes Projekt mache, oder nicht.

Danke

Gruß
Soulprayer
Ich bin ein UFO - ein unheimlich faules Objekt.

Benutzeravatar
fassy
Vice Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 5855
Registriert: 26.01.2004, 20:44
Wohnort: Hamburg

Re: Mehrfache Verschlüsselung

Ungelesener Beitrag von fassy » 22.08.2011, 13:05

Halte ich für übertrieben und fehleranfällig.

Lieber einen guten Algorithmus und ein gutes Mastrpasswort. Das sollte dicke langen. Wenn du dann noch zusaätzlich deinen Online-Passwortmanager mit SSL und Client-Zertifikaten sicherst damit unbefugte gar nicht erst an die DB kommen bist du schon sehr sehr sicher.
Pick up the hammer... pick it up.

Benutzeravatar
quadpumped
Vice Admiral
Beiträge: 4736
Registriert: 16.03.2004, 15:15
Wohnort: 53757 Sankt Augustin
Kontaktdaten:

Re: Mehrfache Verschlüsselung

Ungelesener Beitrag von quadpumped » 12.02.2013, 10:52

solltest du die Möglichkeit haben dieses Buch auszuleihen: http://www.amazon.de/Security-Engineeri ... 723&sr=8-1

hat es einen sehr guten Abschnitt über cryptographie.

Benutzeravatar
PatkIllA
Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 14627
Registriert: 08.03.2004, 11:07
Wohnort: Dortmund

Re: Mehrfache Verschlüsselung

Ungelesener Beitrag von PatkIllA » 12.02.2013, 21:30

Soulprayer hat geschrieben:ich habe folgendes Vorhaben: einen Online Passwort Manager programmieren.
Natürlich gibt es sowas schon, aber wen vertraut man am meisten? Sich selbst.
Gerade bei Verschlüsselung meistens der falsche Ansatz.

Benutzeravatar
Soulprayer
Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 12842
Registriert: 01.07.2004, 20:42
Wohnort: Solingen

Re: Mehrfache Verschlüsselung

Ungelesener Beitrag von Soulprayer » 12.02.2013, 21:39

ihr seid doch sonst keine Totengräber?! xD
Ich bin ein UFO - ein unheimlich faules Objekt.

mr.no-name
Fleet Captain
Beiträge: 1095
Registriert: 06.04.2005, 20:34
Wohnort: Hannover

Re: Mehrfache Verschlüsselung

Ungelesener Beitrag von mr.no-name » 12.02.2013, 22:04

Und was ist daraus geworden?

Benutzeravatar
Soulprayer
Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 12842
Registriert: 01.07.2004, 20:42
Wohnort: Solingen

AW: Mehrfache Verschlüsselung

Ungelesener Beitrag von Soulprayer » 22.02.2013, 00:17

Truecrypt & KeePass. ;)
Einzig doofe ist, der Sync zum Onlinespeicher erkennt nicht, dass sich der Truecrypt Container geändert hat. (und nein, ich sag nicht, welchen Dienst ich nehme ;) )
Ich bin ein UFO - ein unheimlich faules Objekt.

stanglwirt
Fleet Captain
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 1591
Registriert: 17.03.2004, 07:22

Re: Mehrfache Verschlüsselung

Ungelesener Beitrag von stanglwirt » 25.02.2013, 09:23

imho kann man einstellen, ob truecrypt das änderungsdatum des containers aktualisiert oder nicht. dann sollte auch der sync funzen.
MfG
everybody´s darling is everybody´s Arschloch. (c) Franz Josef Strauß

Elmariachi
Fleet Captain
Beiträge: 1425
Registriert: 08.03.2004, 14:26
Wohnort: Dortmund

Re: Mehrfache Verschlüsselung

Ungelesener Beitrag von Elmariachi » 25.02.2013, 10:26

In Zusammenhang mit Dropbox klappt das garantiert, ich praktiziere das selber.

Zu der ursprünglichen Idee: Um Rainbowtables auszuschalten, kann man die gesalzenen Hashes selbst noch x-mal hashen und sich so der Rechenaufwand beliebig in die Höhe schrauben. Sprich, man hasht tausend mal in einer Schleife und der Aufwand aus einer Rainbowtable das nachzuvollziehen ist auch tausendfach. Natürlich muss man selbst den höheren Rechenaufwand mitgehen, aber eben nur einmal.

Drei mal verschieden zu salten bringt nicht sehr viel, wenn der Angreifer an die entsprechende Stelle Code gelangt. Und davon sollte man ja ausgehen.

Antworten