(Co-Admin)
Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
Delphi 10.4 Sydney
|
AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?
12. Jan 2021, 19:01
Zwei der Probleme nennen sich "Debugger" und "Disassembler". Für einen Ottonormal-Anwender mag der Key in der EXE halbwegs sicher sein. Nur für technisch versierte Anwender ist es mit (zumeist) überschaubarem Aufwand möglich, ein Programm buchstäblich auseinander zu nehmen. Man kann sich dann Speicherbereiche ansehen und die Aufrufe von Programmteilen verfolgen. Für manche ist das ähnlich spannend wie Netflix.
Idealerweise solltest Du das Passwort nicht in oder neben die EXE legen (wäre ein wenig wie der Schlüssel unter der Fußmatte). Du könntest das Passwort verschlüsselt von einem Server abrufen und beispielsweise nur kurz im Speicher halten, solange es für die Entschlüsselung erforderlich ist. Danach könntest Du den Speicherbereich überschreiben.
Oder aber Du hältst Dich als Software-Entwickler da gänzlich raus und überlässt es dem Anwender, sich ein Passwort auszudenken und sicher aufzubewahren. Er würde dies dann nur eintippen und Du könntest dann damit arbeiten. Mit Blick auf die Sicherheit wäre dies das Beste, da ein Dieb, den wir als "Dritten" betrachten können, sowohl den PC mit den Daten als auch den Anwender bräuchte, um die Daten entschlüsseln zu können. (Stichwort Zwei-Faktor-Authentifizierung).
Daniel R. Wolf mit Grüßen aus Hamburg
|