AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Sichere authentifizierung

Ein Thema von th_bone · begonnen am 22. Jul 2006 · letzter Beitrag vom 23. Jul 2006
Antwort Antwort
Seite 1 von 2  1 2      
th_bone

Registriert seit: 16. Jun 2004
172 Beiträge
 
Delphi 2005 Professional
 
#1

Sichere authentifizierung

  Alt 22. Jul 2006, 09:40
Hi,

ich brüte gerade darauf herum wie ich ein gesichertes Login
über das Internet zu meinem Server herstellen kann..

meine IDEE ist folgende

Server kennt: Name, Passwort, Privates Passwort

1. Der Client sendet Name offen an den Server
2. Server sendet eine Zufallszahl verschlüsselt mit dem Passwort an den Client
3. Client sendet die Zufallszahl mit dem privaten Passwort verschlüsselt zurück
4. wenn die übereinstimmung vorhanden ist, ist das Login erfolgreich

Frage: Ist dieser Ansatz so sicher oder habe ich etwas übersehen ?

Danke Ralf
  Mit Zitat antworten Zitat
Benutzerbild von inherited
inherited

Registriert seit: 19. Dez 2005
Ort: Rosdorf
2.022 Beiträge
 
Turbo Delphi für Win32
 
#2

Re: Sichere authentifizierung

  Alt 22. Jul 2006, 09:50
wozu die beiden passwörter?

Client sendet 'wanttologin'
Server hat nur MD5-Hash des PW
Client Sendet sein MD5-Hash des eingegebenen PW.
Server vergleicht, wenn gleich, login ok, wenn nicht, dann nicht
Nikolai Wyderka

SWIM SWIM HUNGRY!
Neuer Blog: hier!
  Mit Zitat antworten Zitat
th_bone

Registriert seit: 16. Jun 2004
172 Beiträge
 
Delphi 2005 Professional
 
#3

Re: Sichere authentifizierung

  Alt 22. Jul 2006, 10:05
Hi,

dann braucht man als Angreifer doch eigentlich nur den MD5Hash abfangen und kann
sich dann ebenfalls einloggen... ist im grunde ja nichts anderes als wenn Du
das Passwort offen sendest der MD5Hash ändert sich ja nicht.

ich weiß ist zwar theoretisch, aber mir geht es ja darum wie man ein
sicheres login hinbekommt..

cu

Ralf
  Mit Zitat antworten Zitat
Benutzerbild von Nikolas
Nikolas

Registriert seit: 28. Jul 2003
1.528 Beiträge
 
Delphi 2005 Personal
 
#4

Re: Sichere authentifizierung

  Alt 22. Jul 2006, 10:24
Eine Methode der digitalen Unterschrift läuft so ab: Du nimmst ein Verschlüsselungsverfahren mit Public/Private-Key.

Der User nimmt einen Text ('Hallo Server ich will Rein. Bob.) und verschlüsselt das mit seinem eigenen private Key. Dann nimmt er diesen verschlüsselten Text und verschlüsselt ihn nochmal mit dem public Key des Servers und schickt das dann weg.

Der Server bekommt das Teil und kann es als einziger lesen. Also macht er erstmal die Datei mit seinem eigenen Private Key auf. Dann nimmt er den public Key des Users und entschlüsselt die Datei. Wenn das Funktioniert und was sinnvolles drinsteht, weiss er, dass der Text nur von demjenigen erstellt wurde, der den Private Key von Bob hat.

Eigentlich reicht es auch Bob einfach nur einen Text mit seinem Private Key zu verschlüsseln und hinzuschicken. Die kann zwar dann jeder lesen, aber das stört ja auch nicht, da kein Passwort übermittelt wurde.

In dem Text der verschickt wird, sollte natürlich noch die Uhrzeit eingebacken sein, damit der Angreifer den Code nicht einfach mitschreibt und nachher benutzt. Oder der Server schickt offen eine Nachricht an Bob, die er doch bitte verschlüsseln soll.

Also das war vielleicht etwas verdeht, somit mein Vorschlag in Kurz:

Bob klopft an, Server schickt im offen irgendeinen schönen Text, Bob verschlüsselt ihn mit seinem private key und der Server öffnet sie einfach mit Bobs public Key. Das sollte dann ein sicheres Verfahren sein.
Erwarte das Beste und bereite dich auf das Schlimmste vor.
  Mit Zitat antworten Zitat
Basilikum

Registriert seit: 9. Aug 2003
389 Beiträge
 
Delphi 7 Professional
 
#5

Re: Sichere authentifizierung

  Alt 22. Jul 2006, 10:29
ich würde mich eher an CRAM-MD5 anlehnen (Vorteil: keine asymetrischen Schlüssel notwendig):

1. Server sendet Client eine Nonce (irgend etwas einmaliges, z.B. Server-Name + Zeit + Zufallszahl)
2. Client hängt sein Kennwort an die Nonce, berechnet davon einen Hash (z.B. SHA1) und sendet diesen zum Server
3. Server kennt seine Nonce und das korrekte Client-Kennwort -> er kann den Hash ebenfalls berechnen -> wenn identisch, ist der Client authentifiziert.
  Mit Zitat antworten Zitat
Benutzerbild von gsh
gsh

Registriert seit: 24. Okt 2004
1.542 Beiträge
 
Delphi XE Architect
 
#6

Re: Sichere authentifizierung

  Alt 22. Jul 2006, 11:14
Zitat von Basilikum:
ich würde mich eher an CRAM-MD5 anlehnen (Vorteil: keine asymetrischen Schlüssel notwendig):

1. Server sendet Client eine Nonce (irgend etwas einmaliges, z.B. Server-Name + Zeit + Zufallszahl)
2. Client hängt sein Kennwort an die Nonce, berechnet davon einen Hash (z.B. SHA1) und sendet diesen zum Server
3. Server kennt seine Nonce und das korrekte Client-Kennwort -> er kann den Hash ebenfalls berechnen -> wenn identisch, ist der Client authentifiziert.
hmm ja genau so wollte ich es auch vorschlagen aber dann hab ich den Post fertig gelesen und Basilikum war schneller als ich
naja aberwas ich noch sagen wollte für den Zufallswert brauchst du nicht sowas komliziertes wie z.B. Server-Name + Zeit + Zufallszahl sondern einfach sagen wir mal eine 10 stellige Zufallszahl ... mehr braucht man nicht.

Hab dieses System mal bei einem Chat von mir eingebaut und es funktioniert perfekt
Alex
"Sage nicht alles, was du weißt, aber wisse alles, was du sagst!" Matthias Claudius
"Wer sich über Kritik ärgert, gibt zu, daß er sie verdient hat." Tacitus
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#7

Re: Sichere authentifizierung

  Alt 22. Jul 2006, 11:17
Bei Chats, bei denen lediglich ein Passwort von Server verlangt wird und es keine Benutzer ansich gibt, ist es sinnvoller alle gesendeten Commands mit dem Passwort zu verschlüsseln. Kann der Server den Befehl nun lesen, ist gut und er weiß, dass das Kennwort stimmen muss. Wenn nicht, wird das Passwort falsch gewesen sein.

Florian
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Benutzerbild von Nikolas
Nikolas

Registriert seit: 28. Jul 2003
1.528 Beiträge
 
Delphi 2005 Personal
 
#8

Re: Sichere authentifizierung

  Alt 22. Jul 2006, 11:23
Da ich mich nicht so mit modernen verschlüsselungsmethodenauskenne, wollte ich mal fragen, wie groß der geschwindigkeitsunterschied zwischen meiner und der Hash-Methode ist. Ich geh mal davon aus, das hashen schneller geht, aber kann das jemand bestätigen?
Erwarte das Beste und bereite dich auf das Schlimmste vor.
  Mit Zitat antworten Zitat
Benutzerbild von jfheins
jfheins

Registriert seit: 10. Jun 2004
Ort: Garching (TUM)
4.579 Beiträge
 
#9

Re: Sichere authentifizierung

  Alt 22. Jul 2006, 11:29
Zitat von Toxman:
Bob klopft an, Server schickt im offen irgendeinen schönen Text, Bob verschlüsselt ihn mit seinem private key und der Server öffnet sie einfach mit Bobs public Key. Das sollte dann ein sicheres Verfahren sein.
Ich glaube, du hast da was verwechselt ... das wäre nämlich total unsicher, wenn man mit dem public-Key entschlüsseln könnte ...

Der private-Key ist zum Entschlüsseln und darf nie nicht weitergegeben werden.

Der public-Key ist zum Verschlüsseln, und den darf jeder sehen.

Verschlüsseln kann also jeder, entschlüsseln nur der, der den private-Key hat, also idealerweise nur der Empfänger

Bei einer sichern Kommunikation sendet also jeder seine Nachricht verschlüsselt mit dem public-Key des Gegenüber
  Mit Zitat antworten Zitat
Benutzerbild von Nikolas
Nikolas

Registriert seit: 28. Jul 2003
1.528 Beiträge
 
Delphi 2005 Personal
 
#10

Re: Sichere authentifizierung

  Alt 22. Jul 2006, 11:36
Nein, du hast das System nicht verstanden. Bei RSA z.B. kann man mit beiden schlüseln ent/verschlüsseln.

Hier geht es ja nicht darum, dass Bob was geheimes an den Server schickt, sondern, dass der Server weiss, dass nur Bob die Nachricht geschickt haben kann, denn er ist der einzige, der mit Bobs geheimen Schlüssel arbeiten kann. Bobs anfrage an den Server kann also von jedem gelesen werden, es ist aber sicher, dass er ihn geschickt hat.
Soll Bobs nachricht an den Server aber geheim bleiben, überschlüsselt er seinen Code noch mal mit dem Public des Servers.
Erwarte das Beste und bereite dich auf das Schlimmste vor.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:40 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz