AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Verschlüsselung mit AES-256 und Key, wo sind die Risiken?
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

Ein Thema von Samuel Kurmann · begonnen am 12. Jan 2021 · letzter Beitrag vom 13. Jan 2021
Antwort Antwort
Samuel Kurmann

Registriert seit: 12. Jan 2021
8 Beiträge
 
#1

Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 12. Jan 2021, 17:24
Hallo Zusammen

Ich befasse mich seit kurzem mit dem Thema Verschlüsselung, so einiges kapiere ich schon, habe aber einige konkrete Fragen.

Hier ein paar Infos zu meinem SetUp: Ich verwende Delphi Sydney und habe LockBox 3 per GetIt installiert. Damit ist es sehr einfach, die AES-256 Verschlüsselung zu implementieren. Dies hat auch einwandfrei geklappt.

Einfachkeitshalber, aber nicht abschliessend, habe ich den Key für die Verschlüsselung im Programmcode fix hinterlegt. Wie sicher sind nun meine verschlüsselten Werte?
Wie einfach ist es die EXE soweit zu analysieren, um an diesen Key zu kommen?
Ist es sicherer den Key beispielsweise in verschiedenen Ecken im Programmcode als Konstanten zu hinterlegen und nur beim Encrypten/Decrypten den Key zusammenzubauen?

Es geht mir nicht darum, den "perfekten" Weg für eine Passwortverschlüsselung mit Master-Passwort erklärt zu bekommen, damit habe ich mich auseinandergesetzt und soweit verstanden.
Mir ist nur nicht ganz klar worin die Sicherheitsrisiken bei einfacheren Methoden, wie den Key im Programmcode fix zu hinterlegen, liegen?
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#2

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 12. Jan 2021, 19:01
Zwei der Probleme nennen sich "Debugger" und "Disassembler". Für einen Ottonormal-Anwender mag der Key in der EXE halbwegs sicher sein. Nur für technisch versierte Anwender ist es mit (zumeist) überschaubarem Aufwand möglich, ein Programm buchstäblich auseinander zu nehmen. Man kann sich dann Speicherbereiche ansehen und die Aufrufe von Programmteilen verfolgen. Für manche ist das ähnlich spannend wie Netflix.

Idealerweise solltest Du das Passwort nicht in oder neben die EXE legen (wäre ein wenig wie der Schlüssel unter der Fußmatte). Du könntest das Passwort verschlüsselt von einem Server abrufen und beispielsweise nur kurz im Speicher halten, solange es für die Entschlüsselung erforderlich ist. Danach könntest Du den Speicherbereich überschreiben.

Oder aber Du hältst Dich als Software-Entwickler da gänzlich raus und überlässt es dem Anwender, sich ein Passwort auszudenken und sicher aufzubewahren. Er würde dies dann nur eintippen und Du könntest dann damit arbeiten. Mit Blick auf die Sicherheit wäre dies das Beste, da ein Dieb, den wir als "Dritten" betrachten können, sowohl den PC mit den Daten als auch den Anwender bräuchte, um die Daten entschlüsseln zu können. (Stichwort Zwei-Faktor-Authentifizierung).
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Andreas13

Registriert seit: 14. Okt 2006
Ort: Nürnberg
719 Beiträge
 
Delphi XE5 Professional
 
#3

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 12. Jan 2021, 19:49
Hallo Samuel,
schau doch mal hier rein:https://www.delphipraxis.net/200188-...ml#post1428892. Unter #9 findest Du einen Lösungsvorschlag: Dieser ist besser als ein mit abgelegtes Passwort.
Gruß, Andreas
Grüße, Andreas
Wenn man seinem Nächsten einen steilen Berg hinaufhilft, kommt man selbst dem Gipfel näher. (John C. Cornelius)
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#4

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 12. Jan 2021, 20:52
Schlüssel ist natürlich das größte Problem.

Aber auch AES selbst kann Trickreich sein, so ist z.B. der CBC durch die Oracle Padding Attacke anfällig. Die GC sind da besser.
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
Samuel Kurmann

Registriert seit: 12. Jan 2021
8 Beiträge
 
#5

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 10:40
@Daniel:
Das mit dem Dissasembler und Debugger habe ich mir bereits gedacht, wollte mich nur vergewissern, dass dies auch so möglich ist.

Die Idee mit dem Server ist mir ebenfalls gekommen, ergibt für mich nur das Problem: Ist der Server nicht verfügbar, kann ich die Passwörter nicht entschlüsseln. Hat in der heutigen Zeit wahrscheinlich nicht eine zu grosse Relevanz, da die meisten Anbieter eine Ausfallsicherheit von 99,9% anbieten. Trotzdem kann ja mal lokal ein Netzwerkproblem o.ä. vorkommen.

Diesen Vorschlag ist meines Erachtens ebenfalls am besten, je nachdem aber auch mit mehr Aufwand verbunden.

@Andreas13
Werde ich mir gerne mal anschauen.

@generic
Okee... muss ich demnach auch mal anschauen, habe ich noch nichts davon gehört.

Vielen Dank euch allen für die Antworten. Werde mich definitiv noch mehr damit beschäftigen.
Habe auch diverse bestehende Passwort-Tools angeschaut und deren Verschlüsselung, für mich am verständlichsten dargestellten ist das Verfahren von lastpass (https://www.lastpass.com/de/enterprise/security), was haltet Ihr davon?

Geändert von Samuel Kurmann (13. Jan 2021 um 11:29 Uhr) Grund: unvollständiger Satz
  Mit Zitat antworten Zitat
Benutzerbild von dummzeuch
dummzeuch

Registriert seit: 11. Aug 2012
Ort: Essen
1.623 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#6

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 10:50
Du könntest das Passwort verschlüsselt von einem Server abrufen und beispielsweise nur kurz im Speicher halten, solange es für die Entschlüsselung erforderlich ist.
In wie fern ist ein Server sicherer als eine lokale Datei? Ein Angreifer könnte doch genauso auf den Server zugreifen wie das Programm.
Thomas Mueller
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#7

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 12:01
Du könntest erklären warum du was verschlüsseln willst und was du verschlüsseln willst.
Zweck und Ziel
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
Samuel Kurmann

Registriert seit: 12. Jan 2021
8 Beiträge
 
#8

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 13:54
@generic

Es geht um eine Passwortverschlüsselungtool, ist aber "nur" als Spielerei für mich gedacht, bzw. um mich mit dem Thema zu befassen, da es mich sehr interessiert.
Mir geht es auch nicht darum hier zu erfahren, was der perfekte "Weg" ist (dafür gibt es bereits genug Forumeinträge und Googleeinträge).
Ich möchte nur besser verstehen wo die Lücken sind und dies verstehen.
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.144 Beiträge
 
Delphi 10.3 Rio
 
#9

AW: Verschlüsselung mit AES-256 und Key, wo sind die Risiken?

  Alt 13. Jan 2021, 13:57
In wie fern ist ein Server sicherer als eine lokale Datei? Ein Angreifer könnte doch genauso auf den Server zugreifen wie das Programm.
Der Server kann aber für jeden request ein neues PW erzeugen, wenn Du das eine die gerade er-debugged hast, beim nächsten call ist es schon wieder ein anderes...

App hat public Key - Server hat privat Key und erzeugt einen neues Session PW.

schau doch mal hier rein:https://www.delphipraxis.net/200188-...ml#post1428892. Unter #9 findest Du einen Lösungsvorschlag: Dieser ist besser als ein mit abgelegtes Passwort.
Sicherlich ist die Speicherung eins Passwortes im Klartext schlecht, aber da die App ja irgendwann mal das PW verwenden muss, ist der Breakpoint genau an dieser Stelle.
Verschleierung ist keine Verschlüsselung - eine gute Verschleierung wieder steht natürlich einem "einfachen in die Exe schauen", aber nicht dem disassemblier Profi.


Mavarik
  Mit Zitat antworten Zitat
Antwort Antwort

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:19 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz