Verschlüsselung - Verständnisfrage

1. offizieller Beitrag

    Hallo Zusammen,

    auch wenn es mein erster Post hier ist, bin ich schon eine ganze Weile fleißiger Leser und habe daher auch nur eine Verständnisfrage, denn alles was man zum Scripten braucht, findet man eigentlich auch.. ;)

    In meinem kleinen Script werden Benutzerdaten in einer INI verschlüsselt gespeichert. Dies dient nur dazu, damit diese Daten nicht im Klartext in dieser Datei stehen. Das Passwort für die Ver- und Entschlüsselungsfunktion steht "einfach" im Quelltext des nur in compilierter Form verwendeten Scriptes und ich frage mich, ob diese Variante sicher genug ist?

    Ich habe in einem anderen Thread hier mal folgenden Spruch aufgeschnappt: "Was nützt der beste Tresor, wenn der Schlüssel daneben hängt". Diese Aussage geht mir nicht mehr aus dem Kopf und daher meine Frage.


    Gruß
    vurman

    Einmal editiert, zuletzt von vurman (23. November 2010 um 10:28)

    Hi
    Nu ich befass mich auch gerne mit Verschlüsselungen.
    Aber wirklich sicher ist nur das Enigma Prinzip oder SHA-1, MD5 Verschlüsselungen.
    Wenn du ein Script hast in dem dein PW offen steht würde dir nur ein Obfuscator helfen dies auch unkenntlich zu machen.
    Aber auch obfuscaten ist nicht wirklich sicher.
    Ich benutz es auch selber und sehe keine Schwachstellen aber vom hören sagen halt unsicher.
    MfG

    • Offizieller Beitrag

    @YayYo: Enigma ist schon vor rund 70 Jahren geknackt worden und SHA-1 sowie MD5 sind keine Verschlüsselungen, sondern Hashfunktionen. Bei Bedarf mal Google anwerfen... :D

    vurman: Wenn Du das Passwort in der Exe speicherst, wird ein halbwegs geübter "Angreifer" auch an die verschlüsselten Daten kommen. Entweder das Passwort abfragen oder Du musst mit der Unsicherheit leben.

    huhu
    @ Osacr
    Hier nen SHA-1
    28e13c0df5a5b7d49d50e8657347da4b0ad00f53
    ich mach mir auch eine Datenbank damit die ich automatisch übers IRC füllen lasse, klar nen Hash, aber entschlüssel doch mal pls
    Enigma auch ? gerne
    ðÙçÀ:þÙ@ðþ®}:@µÙçÀ®@µþÙçÀ:@ðÙçÀ:
    denn entschlüssel mal ohne Erstell Code. 70 Jahre reichen da sicher nicht für ^^
    Arthur Scherbius kannte noch kein ASCII dürfte nun was schwerer sein.
    Joar das Arbeitsprinzip ist schon lange bekannt.
    ... nich Google, Wiki ist besser

    mfG

    2 Mal editiert, zuletzt von YayYo (22. November 2010 um 17:36)

    Der SHA-1 Schlüssel ist auf jeden Fall Angelika ^^

    Spoiler anzeigen

    Grundkenntnisse in: C++, JavaScript
    Sehr gute Kenntnisse: PHP, JAVA, C und näturlich AutoIt


    Klaviatur, Anhang UDF, GDI+ Mühle

    Zitat

    "Wenn einen um 20h der Pizzadienst anruft und fragt, ob man's nur vergessen hat und ob man das gleiche
    möchte wie immer -- dann sollte man sein Bestellverhalten evtl überdenken"

    Eine Verschlüsselung ist faktisch nie sicher, es kann nur der Aufwand des Entschlüsseln ohne Kenntniss des Schlüssels endlich verlängert werden.
    Darüber hinaus ist eine Verschlüsselung nur so sicher wie der Schlüssel; Security through Obscurity ist nur wenig sinnvoll.
    Ich würde in deinem Fall dazu raten, die Passwörter, die du in der Ini speicherst zu Hashen (md5, sha, etc).
    Um Rainbow-Angriffen vorzubeugen, würde ich einen Salt (z.b. Hash von gesammelten Rechnerdaten (Ip,Modell, etc)) hinzufügen - Salt speichern nicht vergessen.

    Das Verschlüsseln der Ini bringt im Endeffekt nicht viel, siehe Security through Obscurity.

    Hallo,

    erstmal vielen Dank für hilfreichen Antworten, auch wenn ich mir sowas schon gedacht habe.

    Wie schon erwähnt, will ich das ganze nicht 100% Sicher machen (was ja eh nicht geht), aber ich will die Benutzerdaten eben nicht im Klartext in der datei stehen haben und wenn jemand diese Ini findet und öffnet, dann sieht er eben in gewissen Sektionen nur verschlüsselte Strings.

    Das Script so zu erweitern, daß das Passwort abgefragt wird bzw jeder (Windows-) Benutzer sich ein eigenes anlegen muss, habe ich auch schon überlegt und ist wohl auch die sicherste Variante. Aber ob das für meine Zwecke unbedingt notwendig ist, muss ich mir nochmal genau überlegen. Bis dahin werd ich das hinterlegte Passwort wenigstens mit einem Hash etc versehen.


    Gruß
    vurman