Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » Ideen & Projekte » Sicherheitsproblem, Logikproblem

Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 < [ 2 ] [ 3 ]
000
23.12.2007, 14:01 Uhr
~tobb0
Gast


Hallo,

ich habe folgendes Problem:

Benötigt wird ein Programm, dass Tagebucheinträge speichert. Mehrere Benutzer können an dem Programm angemeldet sein, wobei jeder Benutzer sein eigenes Passwort hat und auch nur mit diesem Passwort Einträge in das Tagebuch schreiben kann. Es soll somit sichergestellt werden, dass kein Benutzer einen Eintrag unter einem anderen Namen tätigt.
Des weiteren soll das Tagebuch verschlüselt werden, so dass man nur über das Programm und mit dem jeweiligen Passwort Einträge schreiben kann.

Allerdings scheinen mir die Vorraussetzungen meine ganze Idee zunichte zu machen:
1. Das Programm muss Open-Source sein.
2. Es gibt keine beschränkten Zugriffsrechte für Datreien auf dem Rechner, auf dem das Progamm läuft.
-> daraus folgt, dass es scheinbar unmöglich ist, die Userdaten zu speichern. Denn jeder, der an dem Rechner sitzt kann auf diese Datei (in dem die Userdaten gespeichert sind) zugreifen und Beispielsweise einen User komplett rauslöschen und Ihn über das programm erneut anlegen, nur diesmal mit einem anderen Passwort, und schon hat er den Zugriff geknackt.
3. Wie sollen die Tagebucheinträge verschlüsselt werden? Mit einem passwort, wo soll das stehen?


Kennt jemand Tricks, wie man das dennoch realisieren kann, oder ist das Projekt damit gescheitert?
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
23.12.2007, 14:30 Uhr
~tobb0
Gast


Noch ne Info die wichtig ist:
Es handelt sich um ein Team-Tagebuch, d.h. alle User schreiben in EIN einziges Tagebuch rein.l
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
23.12.2007, 14:43 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


Hi,
ersteres und zweiteres sind Probleme die problematisch sein könnten.Was man da höchstens machen kann ist folgendes:Jeder user hat ein Passwort. z.b

123456

Wenn nun ein User einen Eintrag anlegt,wird dieser mit diesem Passwort verschlüsselt, am besten über AES oder sowas in der Art. d.h wenn ein User einen Eintrag öffnen will (bei dem z.b nur der Name des Eintragers, Datum des Eintrags, und evtl andere Dinge unverschlüsselt bleiben) muss er das Passwort eingeben. Wenn er eben das falsche eingibt, kommt nonsense raus. Da er so keinen Ansatz hat WAS denn eigentlich drinstehen müsste, ist sowas relativ sicher. Auf der Festplatte steht dann halt z.b nur "FloSoft-2007.12.23_1.eintrag" darin eben alles mit dem Passwort des Benutzers verschlüsselt.

Man sollte nun nur noch sicherstellen, das die Passwörter so komplex gewählt werden, das ein doppeltes Vorkommen so gut wie unmöglich ist.
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
003
23.12.2007, 16:11 Uhr
~tobb0
Gast


Das hilft garnichts, denn so können ja andere User nicht lesen was er geschrieben hat.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
004
23.12.2007, 17:59 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


was soll denn dann verschlüsselt werden? das versteh ich net so ganz ...
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
005
23.12.2007, 18:19 Uhr
0xdeadbeef
Gott
(Operator)


Benutz RSA, leg die öffentlichen Schlüssel zum Tagebuch dazu, und lass das Programm die einzelnen Einträge signieren.
--
Einfachheit ist Voraussetzung für Zuverlässigkeit.
-- Edsger Wybe Dijkstra
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
006
23.12.2007, 20:40 Uhr
~tobb0
Gast


Hm, das kapiere ich nicht ganz.

Wie wird dabei das Problem gelöst, dass jeder in der Passwortdatei einfach einen User rauslöscht und einen neunen mit neuem Passwort anlegt?
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
007
23.12.2007, 22:29 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


jeder benutzer hat SEINEN private keyfile mit einem passwort. damit signiert er seine einträge. über den öffentlichen schlüssel und der signatur ist dann eindeutig sichtbar, wer den beitrag geschrieben hat oder OB der eintrag manipuliert wurde.

Privaten, öffentlichen key oder die Signatur manipulieren ist bei rsa so gut wie ausgeschlossen,außer natürlich das passwort des users wird zu schwach gewählt, aber das ist eh immer das problem.
--
class God : public ChuckNorris { };

Dieser Post wurde am 23.12.2007 um 22:30 Uhr von FloSoft editiert.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
008
24.12.2007, 12:30 Uhr
~tobb0
Gast


Ich schnall das irgendwie nicht...
Wie soll den das Programm nachweisen, dass ein Beitrag die original Signatur hat, wenn man das nur mit dem privaten Key des Users nachweisen kann, und wenn der gerade im Urlaub ist...?
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
009
24.12.2007, 12:37 Uhr
~tobb0
Gast


lange habe ich über FloSofts antwort gerätselt und nicht verstanden und dann schreibe ich, dass ich es nicht versetehe und kurz danach, schnall ich es auf einmal... toll lol

Bleibt aber immernoch die eine Frage offen:
Irgendwo muss der öffentliche Schlüssel eines Users und auch die Zugehörigkeit eines öffentlichen Schlüssels zu einem bestimten User gespeichert sein.
Wenn ich das als Bösewicht einfach lösche und den Benutzer mit einem anderen Passwort neu anlege und die digitalen Signaturen einfach jetzt auf das neue Passwort ändere, dann habe ich das ganze Sicherheitskonzept umgangen... oder nicht?
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 < [ 2 ] [ 3 ]     [ Ideen & Projekte ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: