Servus Leute,
um eine Verbidnung quer durchs Internet abzusichern benutze ich mitunter folgende Datei:
github.com/bluebirdtech/AESThe…ESThenHMAC/AESThenHMAC.cs
Wie dort drinnen zu sehen ist, wird bei jeder Ent- und Verschlüsselung von neuem der CipherKey und der AuthKey mit neuen Salts abgeleitet. Wenn ich nun jedoch beide Keys aufbewahre, sodass diese für eine gesamte Session gleich bleiben, und somit keine neuen Salts erstelle und daraus neue Keys ableite, ergibt sich daraus ein Sicherheitsproblem?
Hintergrund:
Ich habe herausgefunden, dass ein einzelner Ver- oder Entschlüsselungsvorgang ~170ms für das Ableiten benötigt, was bedeutet, dass bei einer Anfrage eines Clients mitsamt Antwort vom Server, ungefähr eine Sekunde vergeht, ohne dass irgendwelche Daten verarbeitet wurden. Dies möchte ich eben einsparen, da sich Server und Client recht frequent Nachrichten schicken, sofern sie miteinander verbunden sind. Da mit jeder Anfrage mind. 1 Sekunde Zeit vergeht, ohne dass überhaupt erst am Ergebnis gerechnet wurde, ist das bei bereits 10 Anfragen schon viel Wartezeit für nichts, was der User jemals zu Gesicht bekommt.
um eine Verbidnung quer durchs Internet abzusichern benutze ich mitunter folgende Datei:
github.com/bluebirdtech/AESThe…ESThenHMAC/AESThenHMAC.cs
Wie dort drinnen zu sehen ist, wird bei jeder Ent- und Verschlüsselung von neuem der CipherKey und der AuthKey mit neuen Salts abgeleitet. Wenn ich nun jedoch beide Keys aufbewahre, sodass diese für eine gesamte Session gleich bleiben, und somit keine neuen Salts erstelle und daraus neue Keys ableite, ergibt sich daraus ein Sicherheitsproblem?
Hintergrund:
Ich habe herausgefunden, dass ein einzelner Ver- oder Entschlüsselungsvorgang ~170ms für das Ableiten benötigt, was bedeutet, dass bei einer Anfrage eines Clients mitsamt Antwort vom Server, ungefähr eine Sekunde vergeht, ohne dass irgendwelche Daten verarbeitet wurden. Dies möchte ich eben einsparen, da sich Server und Client recht frequent Nachrichten schicken, sofern sie miteinander verbunden sind. Da mit jeder Anfrage mind. 1 Sekunde Zeit vergeht, ohne dass überhaupt erst am Ergebnis gerechnet wurde, ist das bei bereits 10 Anfragen schon viel Wartezeit für nichts, was der User jemals zu Gesicht bekommt.