Re: Passwort gesichert ablegen - Verschlüsselung

> Die Frage ist halt: WOVOR willst Du das Passwort schützen?
Na, vor unbefugter Benutzung natuerlich
> Wenn es nur darum geht daß andere Benutzer nicht rankommen
> regelt man das über die Rechte im Dateisystem oder der
> Registry — “zur Not” legt man für das Programm einen
> eigenen User an.
Die gaengige Arbeitshypothese ist, dass das Dateisystem keinen
wirklichen Schutz bietet. Vulgo, es ist anzunehmen, dass es durch
einen Bug entweder des OS selbst oder einer privilegierten Software
moeglich ist, jede beliebige Datei (einschliesslich der
Verzeichnisse) zu lesen oder zu aendern. Ob das tatsaechlich so ist
oder nicht, spielt keine Rolle; es wird regelmaessig ueber
Schwachstellen berichtet, die ebendies fuer unprivilegierte Benutzer
zulassen.
Das gilt natuerlich auch fuer die Plaintexte an sich.
Daraus folgt: Wenn der Server vertrauenswuerdig genug ist, um die
eigentlichen Daten zu bevorraten, und die Daten nur fuer den Versand
verschluesselt werden muessen, dann kannst Du den Schluessel ohne
weiteres auch in einer Datei ablegen.
Sollte der Server nicht ganz so vertrauenswuerdig sein, und die Daten
muessen auch verschluesselt gespeichert werden, dann musst Du auf
spezielle Harware zur Verschluesselung zurueckgreifen, die z.B. per
USB angeschlossen wird (sowas gibt’s auch zu kaufen, soweit ich
weiss).
Den Schluessel obskur in der Anwendung unterzubringen ist prinzipiell
Mist und hilft nur gegen inkompetente Angreifer.

September 16th, 2008 - Posted in Allgemein | |

Leave a reply

You must be logged in to post a comment.