Das Problem ist allerdings, daß du passend zum verschlüsselten Passwort direkt im Programm die Entschlüsseltungsmethode mitlieferst.
Also egal wie sicher die Verschlüsselung ist, da die Entschlüsselung immer mitgeliefert ist, kann man alles knacken, abgesehn davon, daß man das unverschlüsselte Passwort auch direkt aus dem Arbeitsspeicher rauskopieren könnte, wärend dein Programm dieses entschlüsselt hat, zur Anmeldung am Postfach.
(oftmals werden solche Passwörter sogar unverschlüsselt zum Mailserver übertragen, so daß man es auch noch im Netzwerktrafic leicht mitloggen kann und dann eh jeder vorherige Verschlüsslung umsonst war)

Da kann man also auch ein einfaches XOR oder Dergleichen nehmen.



Komplett unverschlüsselt würde ich diese Daten aber nicht speichern. (das wäre ja zu einfach )

Ja und? Es ist eine eiserne Regel der modernen Kryptographie, daß die Sicherheit nur im Schüssel liegt und die Methode im Gegensatz zu Deiner Behauptung veröffentlicht ist (damit man sie reviewen und verbessern kann).

Was natürlich nicht gut wäre, den Schlüssel ungeschützt im Programm zu verwenden. Man kann ihn zur Laufzeit aus einem verschlüsselten Schlüssel berechnen. Ein ähnliches Prinzip wenden zB PGP und Konsorten an (die berechnen via Passwort die privaten Schlüssel aus einem verschlüsselten Schlüsselbund); diese Programme wäre gemäß Deiner Theorie völlig unsicher.

Wenn das Programm aber selbstständig entschlüsseln soll, liegt demnach der Schlüssel auch mit in der EXE.
Gut, jetzt kann man diesen Schlüssel ebenfalls verschlüsseln, aber wohin dann mit dem Schlüssel für den Schlüssel?

Wie gesagt, wen die Anwendung es selbstsändig entschlüsseln soll, dann liegt auch alles Nötige, zum Entschlüsseln, irgendwo "ungeschützt" rum.

Wollte erst gammatester zustimmen, aber der nachgelieferte Zusatz macht klar was gemeint war. War im ersten Post wohl etwas zweideutig.

Diese Anforderung kann ich nicht in den Beitragen von dust258 finden.

@gammatester: Wie sind Hellseher


Aber hast schon Recht, wenn er nun für's Verschlüsseln in Delphi ein Passwort nimmt und dann in C# jeweils das Passwort wieder abfragt und damit dann entschlüsselt, dann wäre es sicherer.
> Abgesehn davon, daß dann das Passwort 'ne Weile unverschlüsselt im RAM rumliegt (ich hoffe mal er hasht es sofort) oder der beliebte Tastatturlogger oder am Ende dann doch wieder eine unverschlüsselte Verbindung zum Mailserver.