Sicherheit & Datenschutz

whenyouDIE · 03.04.2012, 20:47

Hallo RR'Team,

Wir haben folgende Problematik in unserem Projekt und zwar erfordert eine externe Bibliothek den Aufruf mit einem spezifischen Passwort, welches die Programmdaten zur Laufzeit entschlüsselt.
Dieses Passwort muss sich in dem Binary befinden. Unsere Lösung ist im Moment mit verschiedenen std::strings und char * [] das Passwort beim Call auf die Initialsierung der externen Bibliothek per std::string::append und std::string:substr zusammen zusetzen, da reine Textteile transparent zum Benutzer sind und per Texteditoren ausgelesen werden können.

Unsere Frage ist nun ob das Passwort immer noch angreifbar ist oder nicht, bzw. ob jemand das Passwort erfolgreich aus der Binary extrahieren kann.

Grüße
whenyou

**N0S** · 04.04.2012, 14:24

ja es ist immer auslesbar, egal wie gut du es verschlüsselst. Musst halt wissen wer dein Feind ist und das Passwort entsprechend dieser Vorgabe sichern.

Für 0815 Computerbenutzer reicht deine Implementierung aus.

whenyouDIE · 04.04.2012, 18:02

Wie könnte man diese Problematik ansonsten lösen?
Die externe Bibliothek braucht dringend dieses Passwort denn damit werden sensibele Programmdaten geschützt.

Eine Verschlüsslung per Schlüssel würde am Ende ja in das Gleiche laufen, dass der Schlüssel abgefangen werden kann und so wieder alles klar lesbar ist.

Grüße
whenyou

**N0S** · 04.04.2012, 19:45

Was ist das den für eine besondere Bibliothek? Aber keine Datenbank?

Ist das eine Art JAR oder DLL oder SO?

Letztendlich kriegst du es nur ganz sicher wenn du ein Proxy/Adapter in Form eines Servers dazwischenschaltest, der die Aufrufe über eine extra Schnittstelle zur Verfügung stellt. Der kapselt sozusagen die Aufrufe zur Bibliothek.

whenyouDIE · 04.04.2012, 20:33

Es handelt sich um einen Container mit Dateien (ala zip mäßig) welches mit einem Passwort geschützt ist.

Die Passwortübergabe läuft wiefolg ab:

Code:

MyObject object;
object.init("PASSWORD");

**N0S** · 04.04.2012, 22:03

ja also wie gesagt. Überleg dir welcher Feind dich bedroht. Du kannst nur die Schwierigkeit erhöhen. Es sei den du schaltest so ein Server dazwischen auf den der Benutzer eben keinen direkten Zugriff hat.

Kannst z.B. ein Software Protector (z.b. http://vmpsoft.com/products/vmprotect/ ) verwenden, wenn es dir wichtig ist. Oder für normale Nutzer reicht deine Methode aus.

whenyouDIE · 25.04.2012, 20:59

Hallo N0S,

danke für dein Feedback.
Closed.

Grüße
whenyou

03.04.2012, 20:47	# 1
whenyouDIE File Camper Bewertung: Registriert seit: Aug 2007 Internet: DSL2 16K Beiträge: 209 Power: 16	Hallo RR'Team, Wir haben folgende Problematik in unserem Projekt und zwar erfordert eine externe Bibliothek den Aufruf mit einem spezifischen Passwort, welches die Programmdaten zur Laufzeit entschlüsselt. Dieses Passwort muss sich in dem Binary befinden. Unsere Lösung ist im Moment mit verschiedenen std::strings und char * [] das Passwort beim Call auf die Initialsierung der externen Bibliothek per std::string::append und std::string:substr zusammen zusetzen, da reine Textteile transparent zum Benutzer sind und per Texteditoren ausgelesen werden können. Unsere Frage ist nun ob das Passwort immer noch angreifbar ist oder nicht, bzw. ob jemand das Passwort erfolgreich aus der Binary extrahieren kann. Grüße whenyou <Flip> 42 ist ja DIE Antwort, ne? <Flip> Also folgt ja, dass Pi * Daumen = 42 sein muss. <Flip> Pi ist ja bekanntermaßen 3.141.... <Flip> Also folgt daraus, dass Daumen ~~ 13,37 ist <Flip> 1337! \o/

04.04.2012, 14:24	# 2
N0S Malware Schreck Bewertung: Registriert seit: Nov 2005 Beiträge: 3.509 Power: 46	ja es ist immer auslesbar, egal wie gut du es verschlüsselst. Musst halt wissen wer dein Feind ist und das Passwort entsprechend dieser Vorgabe sichern. Für 0815 Computerbenutzer reicht deine Implementierung aus. „...wenn man selbst die Sklaverei in sich überwindet...“ SFT Decrypter 2009 ; FXP Tool ; RR Blog

04.04.2012, 18:02	# 3
whenyouDIE File Camper Bewertung: Registriert seit: Aug 2007 Internet: DSL2 16K Beiträge: 209 Power: 16 Themenstarter	Wie könnte man diese Problematik ansonsten lösen? Die externe Bibliothek braucht dringend dieses Passwort denn damit werden sensibele Programmdaten geschützt. Eine Verschlüsslung per Schlüssel würde am Ende ja in das Gleiche laufen, dass der Schlüssel abgefangen werden kann und so wieder alles klar lesbar ist. Grüße whenyou <Flip> 42 ist ja DIE Antwort, ne? <Flip> Also folgt ja, dass Pi * Daumen = 42 sein muss. <Flip> Pi ist ja bekanntermaßen 3.141.... <Flip> Also folgt daraus, dass Daumen ~~ 13,37 ist <Flip> 1337! \o/

04.04.2012, 19:45	# 4
N0S Malware Schreck Bewertung: Registriert seit: Nov 2005 Beiträge: 3.509 Power: 46	Was ist das den für eine besondere Bibliothek? Aber keine Datenbank? Ist das eine Art JAR oder DLL oder SO? Letztendlich kriegst du es nur ganz sicher wenn du ein Proxy/Adapter in Form eines Servers dazwischenschaltest, der die Aufrufe über eine extra Schnittstelle zur Verfügung stellt. Der kapselt sozusagen die Aufrufe zur Bibliothek. „...wenn man selbst die Sklaverei in sich überwindet...“ SFT Decrypter 2009 ; FXP Tool ; RR Blog

04.04.2012, 20:33	# 5
whenyouDIE File Camper Bewertung: Registriert seit: Aug 2007 Internet: DSL2 16K Beiträge: 209 Power: 16 Themenstarter	Es handelt sich um einen Container mit Dateien (ala zip mäßig) welches mit einem Passwort geschützt ist. Die Passwortübergabe läuft wiefolg ab: Code: MyObject object; object.init("PASSWORD"); <Flip> 42 ist ja DIE Antwort, ne? <Flip> Also folgt ja, dass Pi * Daumen = 42 sein muss. <Flip> Pi ist ja bekanntermaßen 3.141.... <Flip> Also folgt daraus, dass Daumen ~~ 13,37 ist <Flip> 1337! \o/

04.04.2012, 22:03	# 6
N0S Malware Schreck Bewertung: Registriert seit: Nov 2005 Beiträge: 3.509 Power: 46	ja also wie gesagt. Überleg dir welcher Feind dich bedroht. Du kannst nur die Schwierigkeit erhöhen. Es sei den du schaltest so ein Server dazwischen auf den der Benutzer eben keinen direkten Zugriff hat. Kannst z.B. ein Software Protector (z.b. http://vmpsoft.com/products/vmprotect/ ) verwenden, wenn es dir wichtig ist. Oder für normale Nutzer reicht deine Methode aus. „...wenn man selbst die Sklaverei in sich überwindet...“ SFT Decrypter 2009 ; FXP Tool ; RR Blog

25.04.2012, 20:59	# 7
whenyouDIE File Camper Bewertung: Registriert seit: Aug 2007 Internet: DSL2 16K Beiträge: 209 Power: 16 Themenstarter	Hallo N0S, danke für dein Feedback. Closed. Grüße whenyou <Flip> 42 ist ja DIE Antwort, ne? <Flip> Also folgt ja, dass Pi * Daumen = 42 sein muss. <Flip> Pi ist ja bekanntermaßen 3.141.... <Flip> Also folgt daraus, dass Daumen ~~ 13,37 ist <Flip> 1337! \o/

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
StudiVZ Passwort speichern	Duc	Sicherheit & Datenschutz	3	04.05.2010 14:58
[Windows 7] - Netzwerkanmeldung: Passwort speichern	PaRaD0X	Windows	3	02.12.2009 09:11
[C/C++] - bmp Datei speichern mit c-code	Staasi	Programmierung & Entwicklung	0	21.01.2008 17:50
Firefox Passwort speichern nachfrage	GiGal	Netzwerk & Internet	4	18.02.2006 00:16

Sicherheit & Datenschutz

Passwort sicher speichern im Binary Code