Lenon schrieb:
Danke!Ja so ein bisschen kenn ich mich da schon aus.. Zumindest so den groben Ansatz.. "Berufskolleg für Informations- und Kommunikationstechnik-Wissen"
* Kann Spuren von Erdnüssen enthalten.
Verschlüsselung mit CryptoSwift/RNCryptor
Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen
-
Das schockiert mich ehrlich gesagt.
-
Das Password wird verschlüsselt und dann an den Server gesendet, dieser speichert das verschlüsselte Password in der Datenbank. Dies ist der Registrierung-Prozess.
Thallius schrieb:
Jetzt überleg doch einfach einmal was du da machst. Du verschlüsselst das Passwort und schickst das an den server der dass dann in welcher Form auch immer verwendet um den User damit einzuloggen. Dabei ist es total egal ob der das entschlüsselt nochmal verschlüsselt hashed oder gleich wegwirft...Lenon schrieb:
ist AES-128bit keine Verschlüsselung?Das umgewandelte Password, kann zwar mitgelesen werden, aber was bringt ein Gewirre aus unterschiedlichen Zeichen, wenn der, der es in der Hand hat, nicht weis, was es bedeutet? ohne den KEY und IV kann es ja nur "schlecht" entschlüsselt werden. im Grunde ist das doch bei jeder im Netz verschlüsselten Datei so? Man sendet ein Gewirre aus Zeichen, die dann wieder mittels KEY entschlüsselt werden, nach deiner Aussage, kann man ja selbst die Daten von Twitter Facebook etc auch einfach mitlesen und verwenden (Zumindest das Gewirre, was ja auch stimmt).
torquato schrieb:
Ich beiße hier gerade in die Tischkannte...Lenon schrieb:
Die Verschlüsselung an sich wird bzw. wurde nicht falsch benutzt. (Oder sie wird falsch benutzt.. Aber auf jeden Fall funktioniert die Verschlüsselung einwandfrei). Ich Verstehe diesen Satz nicht ganz.
Der Punkt ist: Du verschlüsselst gar nicht!!!
Du schickst die User-Credentials im Netz für jeden mitlesbar im Klartext raus! Du wandelst ein Paßwort um, ja, aber dieses umgewandelte Paßwort kann jeder mitlesen und verwenden! Ohne Transportverschlüsselung gaukelst Du Dir nur selber etwas vor, was nicht da ist.
Fakt ist:
Wenn ich das verschlüsselte Passwort abfange und das ist eben bei nicht TSL extrem einfach, dann kann ich mich mit diesem verschlüsseltn Passwort an deinem Server anmelden, indem ich ihm dieses schicke. Mich interessiert dabei gar nicht was das entschlüsselt bedeutet...
Und das du das nicht erkennst lässt mich stark daran zweifeln das du dich laut deiner eigenen Aussage damit auskennst....
Der Login-Prozess hingegen sieht da etwas anders aus. (Nicht unbedingt sicherer, aber nicht ganz so, wie du es denkst). Einloggen, ohne die App funktioniert nicht. Der Login-Prozess ist derzeit folgendermaßen aufgebaut (wird aber noch verändert):
Der User gibt in zwei Textfelder seinen Benutzernamen und das Password ein. Zuvor wurde das Verschlüsselte Password geladen. Das eingegebene Password, nennen wir es mal "BLABLA" wird innerhalb der app auch als "BLABLA" dargestellt. Nun haben wir das verschlüsselte Password. Dieses wird nie wieder "angerührt" bzw. "verändert" oder "entschlüsselt" Es wurde nur bei der Registration verschlüsselt.
Jedenfalls wird jetzt das eingegebene Password verschlüsselt. Nun werden die Daten innerhalb der App verglichen.. (Also bringt das "verschlüsselte" Password einem doch nicht wirklich etwas, da das andere Password ja unverschlüsselt eingegeben werden muss oder nicht?)...
Sind die Beiden "Texte" gleich, war auch das eingegebene Password richtig. Sprich der Login-Prozess wird fortgeführt. An dieser Stelle bin ich gerade noch am überlegen, wie ich die Datenübermittlung dann genau gestalte. Sicherlich gibts da andere Wege, wie man das regeln kann etc.. Aber wie gesagt, ich möchte erst einmal eine Funktionsfähige App auf die Beine stellen, wodurch ich auch noch einiges an Erfahrung sammle, um mich später detaillierter damit zu beschäftigen und das Grundgerüst anpasse. Ich weis auch, das diese Logik nicht unbedingt die "beste" ist, aber so fällt mir das Lernen einer Sprache einfacher.
Als ich damals Java lernte, habe ich für mein erstes Programm Hochzahlen berechnen lassen. Hierfür habe ich nicht die einfache Version : Math.pow(2,3) oder wie die auch war benutzt, sondern hab es schon in eine for schleife gepackt und halt mega umständlich gemacht.. So hab ich die ganze Funktion aber um einiges Besser verstehen können und es prägt sich so einfach besser in meinem Kopf ein!
In wie fern? Ich befinde mich erst seit September in dieser Laufbahn und wir haben das Gebiet nur mal so nebenbei angeschnitten (Also den Ablauf). Die Detailliertere "Kryptographie", sowie "Stenographie" wird auch irgendwann gegen ende dieses Jahres behandelt.
NSObject schrieb:
Das schockiert mich ehrlich gesagt.Lenon schrieb:
Danke! Ja so ein bisschen kenn ich mich da schon aus.. Zumindest so den groben Ansatz.. "Berufskolleg für Informations- und Kommunikationstechnik-Wissen"
-
Lenon schrieb:
In wie fern? Ich befinde mich erst seit September in dieser Laufbahn und wir haben das Gebiet nur mal so nebenbei angeschnitten (Also den Ablauf). Die Detailliertere "Kryptographie", sowie "Stenographie" wird auch irgendwann gegen ende dieses Jahres behandelt.NSObject schrieb:
Das schockiert mich ehrlich gesagt.Lenon schrieb:
Danke! Ja so ein bisschen kenn ich mich da schon aus.. Zumindest so den groben Ansatz.. "Berufskolleg für Informations- und Kommunikationstechnik-Wissen"
Stenographie!?
Eine Frage an die Mitforisten: Auf meinem Kalender steht 1. März. Stimmt das, oder sind wir schon einen Monat weiter?
SCNR Das iPhone sagt: "Zum Antworten streichen". Wie? Echt Jetzt? Muß ich erst die Wohnung streichen!? -
Ne das heißt anders haha..
torquato schrieb:
Stenographie!?Lenon schrieb:
In wie fern? Ich befinde mich erst seit September in dieser Laufbahn und wir haben das Gebiet nur mal so nebenbei angeschnitten (Also den Ablauf). Die Detailliertere "Kryptographie", sowie "Stenographie" wird auch irgendwann gegen ende dieses Jahres behandelt.NSObject schrieb:
Das schockiert mich ehrlich gesagt.Lenon schrieb:
Danke! Ja so ein bisschen kenn ich mich da schon aus.. Zumindest so den groben Ansatz.. "Berufskolleg für Informations- und Kommunikationstechnik-Wissen"
Eine Frage an die Mitforisten: Auf meinem Kalender steht 1. März. Stimmt das, oder sind wir schon einen Monat weiter?
SCNR
Ich weiß den Namen grade leider nicht, aber ich mein dieses Ding, wo die Daten z.B innerhalb eines Bildes stehen etc.. Also nicht verschlüsselt sondern versteckt.. haha Sorry
Jetzt hab Ichs gegoogelt: Steganographie haha Naja war ja zumindest nah dran.. -
Du lässt ernsthaft den Client entscheiden, ob der Login funktioniert hat?
Lenon schrieb:
Jedenfalls wird jetzt das eingegebene Password verschlüsselt. Nun werden die Daten innerhalb der App verglichen.. (Also bringt das "verschlüsselte" Password einem doch nicht wirklich etwas, da das andere Password ja unverschlüsselt eingegeben werden muss oder nicht?)... -
Du hast daraus also was gelernt? Dann erkläre mal warum Du PKCS7 Padding verwendest? Oder warum Du CBC anstatt dem GCM-Modus verwendest? Was spricht eigentlich gegen EBC? Und warum eigentlich symmetrisch?
Lenon schrieb:
(...) Als ich damals Java lernte, habe ich für mein erstes Programm Hochzahlen berechnen lassen. Hierfür habe ich nicht die einfache Version : Math.pow(2,3) oder wie die auch war benutzt, sondern hab es schon in eine for schleife gepackt und halt mega umständlich gemacht.. So hab ich die ganze Funktion aber um einiges Besser verstehen können und es prägt sich so einfach besser in meinem Kopf ein!
Dann lernst Du möglicherweise, dass ein Passwort kein Schlüssel ist, dass ein IV kein String ist, was eine Schlüsselableitungsfunktion macht, was ein Schlüsselaustauschprotokoll ist, und warum dein Treiben allen "die Haare zu Berge stehen" lässt.Lenon schrieb:
In wie fern? Ich befinde mich erst seit September in dieser Laufbahn und wir haben das Gebiet nur mal so nebenbei angeschnitten (Also den Ablauf). Die Detailliertere "Kryptographie", sowie "Stenographie" wird auch irgendwann gegen ende dieses Jahres behandelt.
...Und dass Du mit TLS die meisten dieser Probleme gar nicht hättest.* Kann Spuren von Erdnüssen enthalten. -
Verbuche es unter "Karneval".
torquato schrieb:
Stenographie!?
Eine Frage an die Mitforisten: Auf meinem Kalender steht 1. März. Stimmt das, oder sind wir schon einen Monat weiter?
SCNR
* Kann Spuren von Erdnüssen enthalten. -
Nur kurz zum speichern des Passworts, das ist eigentlich schon die Quelle des übels, man speichert kein Passwort, nirgends und unter keinen Umständen! Was man machen kann, ist das Passwort zu hashen und den Hash dann zu speichern. Dann gibt es nur den Weg, wer das Passwort hat, kann den Hash erzeugen, wer aber den Hash hat, kann (wenn wir von verschiedenen Schwächen absehen) aber das Passwort daraus nicht rekonstruieren. Was du hier versuchst ist Security by obscurity. Und wie oben die Kollegen anmerkten, eine Transportverschlüsselung ist pflicht.
Schöne Grüße
Wolf