- Aufgrund der Bequemlichkeit von Passwortverwaltungssystemen nutzen heute viele Menschen die in Betriebssysteme oder Browser integrierten Funktionen
- Dabei kann jedoch die Frage aufkommen: Ist das wirklich sicher?
- Definition von Verschlüsselung
- Das Ziel der Kryptographie ist es, Protokolle gegen feindlich gesinnte Akteure zu verteidigen
- Der Prozess, Informationen (also Klartext) mithilfe von Algorithmen so zu übertragen, dass sie außer für Personen mit besonderem Wissen von niemandem gelesen werden können
- Sind Algorithmen sicher, obwohl sie vollständig offengelegt sind?
- Es gibt das Kerckhoffs’sche Prinzip
- „Ein Kryptosystem sollte nicht geheim gehalten werden müssen und darf selbst dann kein Problem darstellen, wenn es in die Hände des Gegners fällt.“
- Dass ein Algorithmus trotz Offenlegung sicher ist, liegt am geheimen Schlüssel
- Wichtig ist, nicht den Algorithmus, sondern das Protokoll sicher zu gestalten
- Im Gegenteil ist es besser, den Algorithmus offenzulegen, damit mehr Menschen ihn prüfen und verbessern können
- Warum sind klassische Chiffren riskant?
- Vor dem Aufkommen von Computern waren sie ausreichend komplex und nützlich, doch mit Computern können sie in kurzer Zeit entschlüsselt werden
- Es gibt verschiedene Angriffsmethoden wie Brute Force und Frequenzanalyse
- Sind moderne Verschlüsselungsverfahren sicher?
- Klassische Chiffren sind riskant, weil der Schlüsselraum zu klein ist und sprachliche Eigenschaften einfließen
- Moderne Verfahren hingegen nutzen die Konzepte Verwirrung und Diffusion, um eine enorme Anzahl von Möglichkeiten zu erzeugen -> außer einer zufällig erfolgreichen vollständigen Schlüsselsuche praktisch nicht zu entschlüsseln
- Verwirrung (Substitution) bedeutet bei einer Zeichenfolge wie
ABCA, sie etwa durch 1231 zu ersetzen
- Diffusion (Permutation) bedeutet bei einer Zeichenfolge wie
ABCA, die Reihenfolge etwa zu BCAA zu verändern
- Drei Arten von Verschlüsselung
- Es gibt symmetrische, asymmetrische und Einweg-Verschlüsselung
- Symmetrische Verschlüsselung ist ein Algorithmus, der mit einem geheimen Schlüssel (oder symmetrischen Schlüssel) ver- und entschlüsselt
- Ein typisches Beispiel ist AES
- Asymmetrische Verschlüsselung ist ein Algorithmus, der mit zwei Schlüsseln ver- und entschlüsselt
- Ein typisches Beispiel ist RSA
- Bei vielen Teilnehmern kann symmetrische Verschlüsselung problematisch werden
- Einweg-Verschlüsselung wandelt Daten beliebiger Länge in Daten fester Länge um
- Ein typisches Beispiel ist SHA
- Sie wird zur Integritätsprüfung verwendet
- Umsetzung eines persönlichen Secret-Vaults
- Das Master-Passwort ist der geheime Schlüssel, mit dem die Eigentümerschaft am Geheimnisverwaltungssystem authentifiziert werden kann
- Der Hashwert des Master-Passworts darf niemals gespeichert werden, da sonst ein Pass-the-Hash-Angriff möglich ist
- Wenn zusätzlich ein zufälliger, an das Gerät des Nutzers gebundener Schlüssel verwendet wird, um einen Master-Unlock-Key zu erzeugen, können Passwörter sicherer gespeichert werden
- Unter macOS kann Keychain, unter Windows der Credential Manager verwendet werden
- Für die tatsächliche Implementierung siehe den Link
4 Kommentare
Gibt es unter Android nichts wie einen Schlüsselbund..? Ist auch Samsung Wallet auf dem Galaxy riskant?
Hallo. :) Soweit ich weiß, gibt es so etwas wie einen Secret Manager. Mit Samsung Wallet kenne ich mich nicht gut aus, aber vermutlich haben sie es sicher und gut umgesetzt, oder?
Dort steht Verwirrung (substitution) und Diffusion (permutation), daher fragte ich mich, was das bedeuten soll, und habe den Originaltext angesehen.
Dort steht, dass Verwirrung durch Substitution erreicht wird und Diffusion durch Permutation erreicht wird...
Ich habe es wohl zu stark zusammengefasst, sorry ^^;;