[Erledigt] Sicherer AES Passphrase - php.de

X

easyAnfaenger26

Dabei seit: 10.03.2014

Beiträge: 208
#1

[Erledigt] Sicherer AES Passphrase

10.11.2014, 17:14

Hallo Leute,

Für einen Chat,der Ende-zu-Ende verschlüsselt sein soll,will ich cryptico
(https://github.com/wwwtyro/cryptico) verwenden.
Hier kommen mir jedoch einige Fragen:

1.Wie erstelle ich automatisch generierte Passphrasen, welche auch sicher sind?

2.Was haltet ihr von der Kombination
"Benutzername+email+Ip-Adresse+timestamp(microtime) ?"

3.Wenn jemand Benutzername+email+Ip-Adresse irgendwie herausfinden kann und weiß, wann die Nachricht ungefähr abgeschickt wurde,könnte er ja das problemlos nachbauen..oder nicht?.
Wisst ihr da was Besseres?

4.Sollte man eigentlich für jede Nachricht ein neues Key-Pair generieren oder ist das ein wenig übertrieben?

5.Gibt es vielleicht auch eine sicherere/bessere Alternativen zu cryptico, die dieses Problem gleich mitlöst?

Ich hoffe das waren nicht zu viele Fragen auf einmal

Vielen Dank
euer easyAnfänger26
Stichworte: -
rkr

Dabei seit: 17.06.2013

Beiträge: 3740
#2

10.11.2014, 19:45

Was stellt denn sicher, dass du dem Bootstrap-Skript (das ist das IndexSkript, dass deinen Chat startet) Vertrauen kannst?
Kommentar
lstegelitz

Dabei seit: 07.09.2009

Beiträge: 8884
#3

10.11.2014, 20:08

browser fingerprint?

Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.
Kommentar
easyAnfaenger26

Dabei seit: 10.03.2014

Beiträge: 208
#4

10.11.2014, 20:10

was meinst du damit?
ich schreibe mein skript selber und nutze ssl.
Kommentar
ChristianK

Dabei seit: 29.06.2011

Beiträge: 3400
#5

10.11.2014, 21:26

Jede Passphrase ist im Endeffekt nur eine Folge von Bits. Die Passphrase ist in der Länge begrenzt (bei AES üblich 128 oder 256 Bit). Lies also von /dev/urand ein paar Bytes und du bist glücklich .

[URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]
Kommentar
easyAnfaenger26

Dabei seit: 10.03.2014

Beiträge: 208
#6

10.11.2014, 21:40
Zuletzt geändert von easyAnfaenger26; 10.11.2014, 21:57.

ja aber ist diese denn einzigartig und nicht reproduzierbar? (also statitisch gesehen)
ich kenn mich mit den zufallsalgos nicht aus darum frag ich so blöd..

und wo bekomm ich die her? js kennt kein urand() soweit ich weiß!?

EDIT:
was haltet ihr von sowas? :
https://entima.net/diceware/
Kommentar
Gast
#7

10.11.2014, 22:21

1.Wie erstelle ich automatisch generierte Passphrasen, welche auch sicher sind?

gar nicht - ohne hardware oder brauchbaren zufallsgenerator.
weniger?

Lies also von /dev/urand ein paar Bytes und du bist glücklich .

genau.
Kommentar
easyAnfaenger26

Dabei seit: 10.03.2014

Beiträge: 208
#8

10.11.2014, 22:33

Zitat von moma Beitrag anzeigen

gar nicht - ohne hardware oder brauchbaren zufallsgenerator.
weniger?

gut, und wie geht das dann überhaupt?
wie machen denn das dann TextSecure Messenger,threema usw.,da ist die hardware ja auch nur ein smartphone..
Kommentar
Gast
#9

10.11.2014, 23:12

Zitat von easyAnfaenger26 Beitrag anzeigen

gut, und wie geht das dann überhaupt?
wie machen denn das dann TextSecure Messenger,threema usw.,da ist die hardware ja auch nur ein smartphone..

so, wenn mich nicht alles täuscht:
http://developer.android.com/referen...ureRandom.html
in der form:

Code:

random = SecureRandom.getInstance("SHA1PRNG");

ich weiss nicht, wie highend mäsig das so ist.

die sorgen bei linux sind mal kurz hier erleutert, werden aber wohl beim endgültigen umschwung auf libressl behoben:
https://www.schneier.com/blog/archiv...rities_in.html

trozdem rate ich dir nach wie vor zu dem linux random generator, wenn du darauf zugreifen kannst.
Kommentar
easyAnfaenger26

Dabei seit: 10.03.2014

Beiträge: 208
#10

11.11.2014, 11:24

ok, das ist ja dann geräte-spezifisch,ich dachte eigentlich ich kann das direkt in JS browserübergreifend realisieren...
Kommentar
ChristianK

Dabei seit: 29.06.2011

Beiträge: 3400
#11

11.11.2014, 12:15

Du kannst ja auch mittels AJAX von urand eines zentralen Servers lesen.

[URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]
Kommentar
easyAnfaenger26

Dabei seit: 10.03.2014

Beiträge: 208
#12

11.11.2014, 14:14

aber untergräbt das nicht irgendwie das Prinzip von PGP?
Kommentar
Gast
#13

11.11.2014, 14:57

Zitat von easyAnfaenger26 Beitrag anzeigen

ok, das ist ja dann geräte-spezifisch,ich dachte eigentlich ich kann das direkt in JS browserübergreifend realisieren...

wieso auch linkis lesen gelle?
also servier:
http://bitwiseshiftleft.github.io/sj...sjcl.prng.html
http://bitwiseshiftleft.github.io/sjcl/demo/

ist nicht "full metal jacket uranium bullet profed" aber gut genung für unsere anwendungen!
Kommentar
easyAnfaenger26

Dabei seit: 10.03.2014

Beiträge: 208
#14

11.11.2014, 16:45
Zuletzt geändert von easyAnfaenger26; 11.11.2014, 16:48.

also schön ich seh ein,so einfach ist das wohl nicht...
Was haltet ihr von diesem Ansatz:

PHP-Code:

if(typeof(window.crypto)==='undefined') { alert('Ihre Nachrichten sind nicht kryptographisch sicher!'); Passphrase=(Math.random()*10).toString(); Passphrase=Passphrase.replace('.',''); alert(Passphrase);//testzweck /* weitere verarbeitung */ } else { Passphrase=new Uint32Array(10); window.crypto.getRandomValues(Passphrase); for(var i=0;i<Passphrase.length;i++) { alert('sichere Nachrichten-verschlüsselung!'); alert(Passphrase[i]); //nur zu testzwecken /*weitere verarbeitung*/ } }

Wenn ich jetzt noch Math.random() mit einem ajax-urand aus dem server ersetze bin ich doch ganz gut aufgestellt,oder ?! 100% gibt's ja eh nicht..
Kommentar
Gast
#15

11.11.2014, 16:52

Zitat von https://developer.mozilla.org/en-US/docs/Web/API/RandomSource.getRandomValues

The PRNG used differ from one implementation to the other but is suitable for cryptographic usages.
Kommentar

Vorherige 1 2 Weiter

Lädt...

X