Hlavní navigace

Názory k článku Bezpečnostní střípky za 6. týden roku 2006

  • Článek je starý, nové názory již nelze přidávat.
  • 13. 2. 2006 8:27

    bez přezdívky
    Ke zprávě "KeePass Password Safe: hesla pěkně pod šifru" (http://www.zive.cz/h/Uzivatel/AR.asp?ARI=127970). Pro ty, co to nečetli, se jedná o recenzi programu zejména na ochranu hesel a přihlašovacích údajů.

    V diskusi k tomuto článečku se na www.zive.cz rozproudila diskuse, podle mého dost užitečná. Objevilo se několik SW pro tyto účely, například Schneierův PasswordSafe (http://www.schneier.com/passsafe.html), polský freeware PINs (http://www.mirekw.com/), program Scarabay, Aha Password (http://www.stahuj.cz/utility_a_ostatni/bezpecnost/prace_s_hesly/ahapassword/). KeePass byl mimořádně pochválen jako multiplatformní a velmi funkční a byly k němu pochvalné reference z praktického hlediska a jen pozitivní zkušenosti z používání.

    Když už je KeePass skutečně tak dobrý z uživatelského hlediska i jako open source, chtělo by to se podívat na jeho kvalitu kryptografickou. Nejde o jména šifer a hašovací funkce, ty jsou v pohodě, jde o jejich použití.

    Člověk by řekl, že pokud SW kryptograficky navrhuje Bruce Schneier, mělo by to být v pořádku, ale i mistr tesař se utne. Ve Schneierově PasswordSafe je totiž bezpečnostně-kryptografický bug. Píšeme o tom s Tomášem Rosou ve Sdělovací technice, únorové číslo (citace viz můj web http://cryptography.hyperlink.cz, publikace roku 2006, opravdovým zájemcům mohu poslat). Stručně řečeno, hlavní password je tam JAKOBY chráněn proti slovníkovému útoku, ale ve skutečnosti není. Takže není to vůbec kritické, ale má to dost velkou vadu na kráse.

    Chtělo by to se proto podívat na KeePass do hlavičky šifrovaného souboru a dále, jak se s hlavním passwordem pracuje a jak se kontroluje. Jestli mi někdo z programátorů pomůže, můžeme to zanalyzovat společně a tady pak poinformovat. Bohužel nemám čas na prolézání zdrojáků. Protože se jedná o opravdu užitečnou věc a open source, nabízím tuhle možnost.
  • 23. 8. 2006 11:42

    T (neregistrovaný)
    také by mne to zajímalo ale nevím zda bych dovedl něco vyčíst.
    Nicméně kdyby také napsali jako autoři TrueCrypt-u jak se kontroluje heslo byl bych radej.

    Každopádně bylo zajímavé napsat špatné heslo při pokusu o opravu databáze. Ta se sice otevřela, ale s žádnou skupinou / záznamem (jo ale ukázalo to počty záznamů a skupin) při následném pokusu o změnu hesla ... napsal program " chyba při crypt / decrypt " nelze uložit.
    Pokud jsem pohopil autory dobře je databáze zašifrovaná celá ... ale nějak to musej kontrolovat když to hlásí chyby a ne že zobrazí bláboly....