Hi,
ich bin gerade über den Abschnitt "Sicherheitsaspekte" gestolpert, der auch auf der Homepage zu finden ist: http://www.oebackup.de/1pw/sicherheit.html
Darauf finden sich schön alle unterstützten Verschlüsselungs-Algorithmen von 1Password und die maximale Schlüssellänge des Algos. das ist ja sehr schön, nur leider wird kein Wort darüber verloren, welche Schlüssellängen in 1Password verwendet werden (oder habe ich die Stelle nur nicht gefunden?).
Was nützt es mir zu wissen, dass Blowfish maximal 448 Bit lange Schlüssel verabreitet, wenn 1Password eventuell kürzere Schlüssel verwendet.
Bitte um Aufklärung...
Grüße, sec_freak[/url]
Sicherheit der verschlüsselung: Schlüssellänge
-
Heiko Schröder
- Site Admin
- Beiträge: 2464
- Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
Ok, danke für die Info.
Zu dem Thema habe ich noch ein paar Fragen:
Für die Erzeugung des Verschlüsselungs-Schlüssels wird wahrscheinlich ein Hash-Algo wie SHA verwendet, richtig? SHA-1 z.B. erzeugt, wenn ich mich richtig erinnere aber nur 160bit, für RC2 werden aber 1024 bit benötigt, wie erzeugst du die restlichen Bits?
Hast du noch einen "Verlangsamer" gegen Brute-Force Angriffe eingebaut, wie beispielsweise bei KeePass oder PWSafe?
Ich hoffe, meine Fragen stören dich nicht, Sicherheit ist für mich eben ein sehr wichtiges Thema...
Gruß sec_freak
Zu dem Thema habe ich noch ein paar Fragen:
Für die Erzeugung des Verschlüsselungs-Schlüssels wird wahrscheinlich ein Hash-Algo wie SHA verwendet, richtig? SHA-1 z.B. erzeugt, wenn ich mich richtig erinnere aber nur 160bit, für RC2 werden aber 1024 bit benötigt, wie erzeugst du die restlichen Bits?
Hast du noch einen "Verlangsamer" gegen Brute-Force Angriffe eingebaut, wie beispielsweise bei KeePass oder PWSafe?
Ich hoffe, meine Fragen stören dich nicht, Sicherheit ist für mich eben ein sehr wichtiges Thema...
Gruß sec_freak
-
Heiko Schröder
- Site Admin
- Beiträge: 2464
- Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
Korrekt, es wird der Hash-Algorithmus SHA1 mit 160 Bit verwendet. Die verwendeten symmetrischen Algorithmen werden blockweise erzeugt. Bei RC2 sind es z.B. jeweils einzelne 64-Bit-Blöcke.sec_freak hat geschrieben:Für die Erzeugung des Verschlüsselungs-Schlüssels wird wahrscheinlich ein Hash-Algo wie SHA verwendet, richtig? SHA-1 z.B. erzeugt, wenn ich mich richtig erinnere aber nur 160bit, für RC2 werden aber 1024 bit benötigt, wie erzeugst du die restlichen Bits?
Informationen zu den Blockalgorithmen finden sich unter http://www.heise.de/security/artikel/39275/ (letzten beiden Absätze).
Auf Seite 7 findet sich z.B. eine Tabelle mit den bekannten Kryptoalgorithmen und der verwendeten Verschlüsselungsart: http://www.heise.de/security/artikel/39275/6
Nein habe ich nicht. Es ist auch nicht zwingend notwendig, wenn man die entsprechende Passwortlänge verwendet: http://www.1pw.de/brute-force.htmlsec_freak hat geschrieben: Hast du noch einen "Verlangsamer" gegen Brute-Force Angriffe eingebaut, wie beispielsweise bei KeePass oder PWSafe?
Die Qualität der Passwortlänge wird beim Erzeugen eines Datenbankpassworts berechnet und angezeigt.