Suchergebnisse

Beispielaufbau für einen Thread im Showroom (diese Vorlage kann beliebig angepasst werden): Name: Eran Beschreibung: Es handelt sich hierbei um einen Verschlüsselungsmessenger. Hierbei werden die Algorithmen AES 256bit und RSA 2048bit genutzt. Der Schlüsselaustausch erfolgt über RSA worauf dann die Kommunikation in AES fortgesetzt wird wenn Client und Server sich auf einen Schlüssel geeinigt haben. Das selbe verfahren wird denn zusätzlich nochmal angewendet wenn ein Nutzer einen anderen Nutzer K…

Danke für die Hinweise, die seite befindet sich noch im aufbau. Die Sources findet ihr hier github.com/WinCrypt/WinCrypt/tree/master/Eran //Edit Und das mit MITM wird noch dran gearbeitet, noch ist es möglich den Public Key vom Client abzufangen und auszutauschen mit seinem eigenen. Da muss ich wirklich schauen wie ich das mache das der Public Key nicht ausgetauscht werden kann während der Übertragung vielleicht hat hier ja jemand tipps wie man das Realisieren kann.(Und wiki hab ich alles dazu s…

Da ist ja schon, und ob 2048 oder 8096 ist nur die verschlüsselungsstärke ändert aber nichts an dem schutz von MITM. Es stellt sich also die frage von welcher art von MITM hier ist. Wenn man sich diese Methode anschaut wie der Herr von SemperVideo das beschreibt(youtube.com/watch?v=ZY1METeoEW8) so ist der Messenger vor solche Art des angriffes geschützt, da der Client seinen PublicKey an den Server schickt und nicht wie üblich der Server an den Client. Der Angreifer empfängt also nur die Verschl…

Klar ich weißt waas du meinst, allerdings ist dies auch Manipulierbar wenn der gesamte Traffic einer Leitung gefiltert wird und ggf. Daten Manipuliert werden werden können. Denn nützt auch kein PublicKey im Server der Hardcoded ist wenn meine Inetleitung mitgelesen wird und schon beim Empfangen des PublicKeys vom Server der PubKey einfach ausgetauscht wird. Klar bietet die Methode die du beschreibst etwas mehr sicherheit bzw. der aufwand wäre etwas höher, da man bei der Methode die du meinst den…

Zitat von Trade: „Und wenn man den PublicKey austauschen kann, hast Du das ziemlich falsch implementiert...“ Ok und was habe ich Falsch gemacht? Magst du mich aufklären? Und wie kann ich das Problem lösen?

Hier ist mal ein Szenario wenn der Hacker den gesamten Traffic Filtert und ggf. Manipuliert. Wie soll man so ein Problem lösen können? Die einzigste Möglichkeit wäre das die Verifizierung über eine komplett andere Internetleitung geht. //Edit Anders würde es aussehen wenn der Hacker an der Leitung vom Server hängt. Da wäre dies für den Hacker nicht möglich MITM zu spielen. Aber darum geht es ja nicht, es geht darum wenn ein Hacker direkt bei dem Nutzer seinen gesamten Traffic filtert und manipul…

Zitat von Mokki: „@Solaris der Angriff erfolgt so: 1. Client sendet Public Key an den Server 2. MITM fängt den Schlüssel ab und sendet eigenden Public Key an den Server. 3. Server sendet seinen Public Key verschlüsselt mit dem Public Key des MITM an den Client bzw. den MITM weiter. 4. MITM sendet eigenen Public Key mit dem Orginalpublic Key des Client verschlüsselt an den Client und entschlüsselt den Public Key des Servers 5. Nun kann der MITM alles mitlesen Lg Mokki“ So wie Mokki das Beschriebe…

Zitat von Radinator: „Ä-hem...hat überhaupt irgendwer meinen Beitrag gelesen? @Mr. Johny: Das Problem mit dem MITM kannst du über diese Signaturen umgehen. Wenn jetzt der Angreifer die Nachricht ändert, kann er das nicht tun ohne auch die Signatur zu ändern...d.h wr muss erst die Nachricht ändern, dann die veränderte Nachricht mit dem Privten Schlüssel des Sender verschlüsseln (den er ned hat) und dann das ganze zusammenketten und weiter schicken (was er ned kann, weil er den privaten Key des Se…

Wie bereits angedeutet, ich denke das die einzigste Lösung da wirklich das TAN Verfahen ist bzw. dem OTP über eine komplett andere Leitung(z.b. SMS)

Wieso ist das STS Protokoll so unbekannt, ich finde in Deutsch so gut wie nichts darüber hätte jemand vielleicht einen Link in Deutsch von der Funktionsweise?

Also was meint ihr, wäre es am sichersten wenn man über einen zweiten Kanal geht, z.b. der Client schickt seinen Public Key an den Server mit dem der Server, um zu überprüfen ob der Publickey wirklich vom Client ist, schickt der Server z.b. eine SMS an den Client mit dem Hash des Public Key, der Client überprüft den Hash in dem er auch seinen Hash PublicKey ermittelt und vergleicht diese, wenn sie übereinstimmen kann man garantieren das der PublicKey nicht ausgetauscht wurde, nun teilt der Clien…

Zitat von Mokki: „Äh nein so funktioniert das nicht...... Dann macht der MITM folgendes: Er baut eine Verbindung zum Server auf Er sucht sich ein Opfer Er findet die Telefonnummer des Opfers heraus(das ist das schwierigste) Er wartet bis das Opfer eine Verbindung zum Server aufbaut Er gibt sich als Telefonmast aus Er blockt die Verbingdung total ab und sendet den Hash an den Client Er wartet bis der Client antwortet Und feddich Natürlich denk ich nicht, dass sich jmd die Mühe macht nen Telefonma…