mediengestalter.info
FAQ :: Mitgliederliste :: MGi Team

Willkommen auf dem Portal für Mediengestalter

Aktuelles Datum und Uhrzeit: Fr 29.03.2024 13:19 Benutzername: Passwort: Auto-Login

Thema: Abhörsichere Nachrichten vom 22.10.2013


Neues Thema eröffnen   Neue Antwort erstellen MGi Foren-Übersicht -> Programmierung -> Abhörsichere Nachrichten
Autor Nachricht
Psilo
Threadersteller

Dabei seit: 20.02.2007
Ort: -
Alter: 35
Geschlecht: Männlich
Verfasst Di 22.10.2013 14:09
Titel

Abhörsichere Nachrichten

Antworten mit Zitat Zum Seitenanfang

Hallo,

ich habe gestern ein kleines Tool erstellt mit dem man meiner Meinung nach abhörsichere Nachrichten versenden kann.
Nur reicht mein technisches Verständnis nicht ganz um nachzuvollziehen, ob der Dienst auch wirklich sicher wäre.

Vorgehensweiße.
Als Anwender erhalte ich eine Seite auf der ich meine Nachricht eingeben kann.
Diese Nachricht kann ich nun mit einem Key schützen.

Anhand des Keys wird die Nachricht mithilfe der Stanford Javascript Crypto Library verschlüsselt.
Die verschlüsselte Nachricht wird dann ohne Key an den Server gesendet.

Es wird ein neuer Link generiert unter dem ich die Nachricht nun abrufen kann, verschlüsselt.
Auf der Seite, die mir nun die verschlüsselte Nachricht zeigt, kann ich jetzt den Key eingeben, den ich zuvor beim Erstellen schon angelegt habe.
Wenn der Key korrekt ist, wird mir die entschlüsselte Nachricht gezeigt.

Soweit so gut. Wenn ich das richti verstehe, würden sich die Nachrichten eigentlich nur entschlüsseln lassen, wenn ich als Angreifer nun an die verschlüsselten Nachrichten in der DB komme und diese dann mithilfe eines Bots entschlüsseln will...
Aber da nie ein Klartext an den Server gesendet wird, wird auch nie die eigentliche Botschaft übermittelt?

Also diese Nachricht ist solange safe, bis jemand den Eintrag aus der DB klaut und ihn dann mit viel Mühe knackt?

Oder hab ich irgendeinen Denkfehler?

Man kann das gerne auch schon testen: http://safe.weedesign.de/
Erstellte Nachricht: http://safe.weedesign.de/?communication=8e27d9c966 - Key = http://www.mediengestalter.info

Schönen Gruß
Wolfi
  View user's profile Private Nachricht senden
remote

Dabei seit: 10.11.2006
Ort: /var/www/
Alter: 109
Geschlecht: Männlich
Verfasst Di 22.10.2013 14:29
Titel

Antworten mit Zitat Zum Seitenanfang

Ein guter Blogpost zum Thema, wenn auch schon älter, immer noch valide: http://rdist.root.org/2010/11/29/final-post-on-javascript-crypto/

Nennt einige Gründe weshalb einer solchen Implementierung nicht zu vertrauen ist.
  View user's profile Private Nachricht senden
Anzeige
Anzeige
Psilo
Threadersteller

Dabei seit: 20.02.2007
Ort: -
Alter: 35
Geschlecht: Männlich
Verfasst Di 22.10.2013 14:37
Titel

Antworten mit Zitat Zum Seitenanfang

Danke, das ist sehr interessant.

Aber ich hab keine andere Wahl, als wie den Text Client-seitig bereits zu verschlüsseln, da eher ja sonst im Klartext an den Server gesendet wird.
Ich könnte natürilch den clientseitig verschlüsselten Text nochmal serverseitig verschlüsseln und dann erst speichern.. Dann wäre er jedenfalls nochmal zusätzlich verschlüsselt in der DB
Oder ändert das eigentlich nichts daran?
Ich hätte das ganze eben gern möglichst sicher^^
Der Grund warum ich mich für JS entschieden habe, war ganz klar, dass die Texte dann auch nie im Klartext gesendet wurden. Oder habe ich da einen totalen Denkfehler und mach mich grad zum affen^^ technisch ist das leider kaum noch nachvollziehbar für mich. Kenn mich noch nicht so aus mit Verschlüsselungstechniken und was dabei zu beachten ist.
  View user's profile Private Nachricht senden
top
Moderator

Dabei seit: 25.11.2003
Ort: Hedwig Holzbein
Alter: 52
Geschlecht: Männlich
Verfasst Di 22.10.2013 14:42
Titel

Antworten mit Zitat Zum Seitenanfang

Wie wäre es mit HTTPS?
  View user's profile Private Nachricht senden
 
Ähnliche Themen neue nachrichten mitteilen
Aktuelle Nachrichten für eine HP?
Neues Thema eröffnen   Neue Antwort erstellen
MGi Foren-Übersicht -> Programmierung


Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.