Ankündigung

Einklappen
Keine Ankündigung bisher.

Sicheres verschlüsseln mit mcrypt?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • David
    antwortet
    Ich wollte nur darauf hinweisen, dass ein Padding unterhalb der Blockgröße nichts bringt. Wenn Du zum Beispiel immer auf 25 Zeichen auffüllst, nutzt das nichts, weil mcrypt/der Blockcipher das eh auf 32 Zeichen auffüllen.

    Einen Kommentar schreiben:


  • t.animal
    antwortet
    @David: Jap. Stell dir vor, jeder Schüler hat einen Notenbogen, auf dem er eben seine Leistungen immer im Überblick hat. Grundsätzlich will ich so etwas machen. Später eventuell, wenn mich die Muse packt, füge ich noch Warnungen hinzu, wenn Gefahr besteht, nicht zum Abi zugelassen zu werden etc.

    Aber was ist denn jetzt mit diesen ominösen 32? Ich hab grad mal 25 Ziffern erfolgreich ver- und entschlüsselt, ohne da was gedreht zu haben?!

    Einen Kommentar schreiben:


  • Thomas
    antwortet
    Hi,

    Ja so klingt es, dachte jetzt eher da würde eine Lehrkraft Noten eintragen.

    Gruß Thomas

    Einen Kommentar schreiben:


  • David
    antwortet
    Das klingt, als wenn die Schüler ihre eigenen Noten (selbstbestimmt) eintragen.

    Einen Kommentar schreiben:


  • t.animal
    antwortet
    Ich hab mir mit Excel so ne Tabelle gemacht, die mir sagt, wie viele Punkte ich hab, was ich einbringen sollte etc. Damit bin ich bald an die Grenzen der nativen Excelfunktionen gestoßen und wollte das halt in php machen. Klar werden die Daten nicht mit Namen sondern höchstens Loginnames verknüpft und ich könnte mir die Verschlüsselung sparen.
    Ich mach mir das eher als so ne Art... mhm... Übung - und weil ein ähnlicher Service im Internet bisher scheinbar nicht existiert. Außerdem lässt sich je nachdem wie groß der Nutzerkreis ist auch anhand der Fächerbelegung Rückschlüsse auf den Nutzer ziehen.

    Einen Kommentar schreiben:


  • Thomas
    antwortet
    Hi,

    Wenn keine Zuordnung zu Schülern gemacht werden kann, dann würde ich mir das ganze Verschlüsseln sparen, ansonsten lohnt sich ein MITM Angriff vielleicht nicht wegen dem Wert der Daten, aber jemand kann dir damit Schaden, denn du bist für die Sicherheit der Daten verantwortlich.

    Wird das sowas wie ein Online-Klassenbuch?

    Gruß Thomas

    Einen Kommentar schreiben:


  • t.animal
    antwortet
    Zitat von David Beitrag anzeigen
    Dann bei Bedarf ein str_pad auf die gewünschte Länge. rijndael-256 hat selbst schon eine Blockgröße von 32 Bytes.
    Das heißt, ich muss den String auf ein Vielfaches von 32 bringen? Das wundert mich grade, weil ich davon in der Dokumentation nichts gefunden habe.

    Zitat von David Beitrag anzeigen
    Nicht zu viel rumbasteln. Was bringt es zum Beispiel den md5 Hash als des Passworted als Passwort zu benutzen?
    Korrigier mich: Die Verschlüsselung ist stärker, je länger der Schlüssel ist. Da Passwörter von usern häufig kürzer als 32 Zeichen sind, müsste dadurch nicht die Sicherheit steigen?

    EDIT:
    Zitat von [B
    dinamic at gmail dot com][/B]
    13-Nov-2007 12:05 Also it should be pointed that md5() and/or sha1() should not be used while forming your key for the mcrypt. This is so because hex encoding uses a set of only 16 characters [0-9a-f], which is equivalent to 4 bits, and thus halve the strength of your encryption: 4 x 32 = 128-bit.
    Verdammt.

    Zitat von Thomas
    Wenn die Daten auf dem Weg abgefangen werden nützt das nämlich garnichts, und ein schlecht gesicherter Server ist auch nicht schön.
    Ich weiß, daher berechne ich z.B. md5-hashes von Passwörtern schon vor dem Absenden per javascript und sende diesen.

    Zitat von Thomas
    Daten zu verschlüsseln ist zwar ein sehr einfacher weg, aber auch eher die letzte Lösung und schützt eher vor Lesen der Daten bei Arbeiten an der Datenbank.
    Ich will ja auch nur vor leaks schützen.

    Zitat von Thomas
    Muss es sein, dann sollten entsprechende Sicherheitsmaßnahmen getroffen werden, d.h. https, Server sicher konfigurieren und eine Hardwarefirewall sollte auch angeschafft werden. Idealerweise sollte der Datenbankserver auch nur diesen Dienst anbieten und keine weiteren.
    Grundsätzlich kann ich mir sowas alles nicht leisten. Leider. Jetzt sagst du natürlich, dann biete den Dienst nicht an. Aber ich sage: Es geht hier nicht um Daten, die die Staatssicherheit gefährden. Die Daten werden recht anonym übertragen und nach der Übertragung verschlüsselt. Ein Man-in-the-middle-Angriff lohnt sich bei Schulnoten mMn eher nicht .

    Einen Kommentar schreiben:


  • Thomas
    antwortet
    Hi,

    Seh ich das richtig, dass du anfängst, die Daten auf dem Server nach dem Absenden zu verschlüsseln und sonst noch irgendwie umzustellen? Wenn die Daten auf dem Weg abgefangen werden nützt das nämlich garnichts, und ein schlecht gesicherter Server ist auch nicht schön.

    Daten zu verschlüsseln ist zwar ein sehr einfacher weg, aber auch eher die letzte Lösung und schützt eher vor Lesen der Daten bei Arbeiten an der Datenbank. Du solltest dir erstmal überlegen, ob solch sensible Daten wirklich den Weg übers Internet machen sollten (falls es überhaupt um Internet geht). Muss es sein, dann sollten entsprechende Sicherheitsmaßnahmen getroffen werden, d.h. https, Server sicher konfigurieren und eine Hardwarefirewall sollte auch angeschafft werden. Idealerweise sollte der Datenbankserver auch nur diesen Dienst anbieten und keine weiteren.

    Gruß Thomas

    Einen Kommentar schreiben:


  • David
    antwortet
    Zitat von t.animal
    2. Danach werden alle Felder aneinandergehängt und mit einem Seperator ( getrennt.
    Dann bei Bedarf ein str_pad auf die gewünschte Länge. rijndael-256 hat selbst schon eine Blockgröße von 32 Bytes.
    Zitat von t.animal
    4. Jetzt wird das ganze mithilfe von mcrypt mit Rijndael-256 verschlüsselt wobei als Schlüssel [...] Passworts verwendet wird
    Nicht zu viel rumbasteln. Was bringt es zum Beispiel den md5 Hash als des Passworted als Passwort zu benutzen?

    Einen Kommentar schreiben:

Lädt...
X