Hypercell ein ] Hypercell aus ] Zeige Navigation ] Verstecke Navigation ]
c++.net  
   

Die mobilen Seiten von c++.net:
https://m.c-plusplus.net

  
C++ Forum :: C (alle ISO-Standards) ::  Sichere Socketverbindung mit Clientauthenifizierung  
Gehen Sie zu Seite 1, 2  Weiter
  Zeige alle Beiträge auf einer Seite
Auf Beitrag antworten
Autor Nachricht
DocJunioR
Mitglied

Benutzerprofil
Anmeldungsdatum: 20.04.2001
Beiträge: 3144
Beitrag DocJunioR Mitglied 15:45:20 17.02.2017   Titel:   Sichere Socketverbindung mit Clientauthenifizierung            Zitieren

Hallo Leute *Staub abklopf* auch ich lebe noch..

Folgend mein Problem: Ich habe einen Socket Server auf den mehrere Programme zugreifen können. Das Ganze sendet derzeit Plaintext, was sicherheitstechnisch unfein ist..
Eine Verbindung absichern ist dank openssl ja prinzipiell machbar nur stecke ich da nicht hinreichend tief drin im Thema für eine "schnelle" Lösung.
dies hier ist eine einfache Implementierung eines Server-Clientverbundes, allerdings wird hier nur das Zertifikat des Servers genutzt. Jetzt möchte ich aber gern, ähnlich wie bei SSH-Verbindungen eine Liste von authorized keys hinterlegen.

Clients sollen sich also mit einem privaten Zertifikat authentifizieren und ggf. vom Server auch abgewiesen werden.

Hat jemand einen Hinweis für mich wie ich das mache?

_________________
Sei froh, dass einige Menschen dümmer sind als Du.Wen würdest Du sonst damit beeindrucken können, wie gut Du bist?
Das Ding links an deinem Lenkrad ist ein BLINKER! Nutze ihn weise..
Ich hoffe du weißt, dass das dass das das sein sollte..
HansKlaus
Mitglied

Benutzerprofil
Anmeldungsdatum: 19.04.2016
Beiträge: 262
Beitrag HansKlaus Mitglied 09:50:47 20.02.2017   Titel:              Zitieren

du hinterlegst die jeweiligen privaten schlüssel auf dem server und verschlüsselst dann auf dem client irgendwelche daten.

wenn der server sie entschlüsseln kann, ist die authentifizierung erfolgreich.
icarus2
Mitglied

Benutzerprofil
Anmeldungsdatum: 20.09.2009
Beiträge: 1735
Beitrag icarus2 Mitglied 19:21:31 20.02.2017   Titel:              Zitieren

HansKlaus schrieb:
du hinterlegst die jeweiligen privaten schlüssel auf dem server und verschlüsselst dann auf dem client irgendwelche daten.

wenn der server sie entschlüsseln kann, ist die authentifizierung erfolgreich.

Furchtbar schlechte Idee (google z.B. mal nach Replay Attacks). Das ist genau der Grund warum man solche Protokolle niemals selber designen/implementieren sollte.

TLS unterstuezt Client Certificates. Gibt es in deinem Fall einen Grund diese nicht zu verwenden?
HänschenKläuschen
Unregistrierter




Beitrag HänschenKläuschen Unregistrierter 07:47:52 21.02.2017   Titel:              Zitieren

Tja, HansKlaus... wieder mal: wenn man keine Ahnung hat...
P.S. wegen dir glaubt die Menschheit zunehmend, alle Elektroingenieure wären Volldeppen!
HansKlaus
Mitglied

Benutzerprofil
Anmeldungsdatum: 19.04.2016
Beiträge: 262
Beitrag HansKlaus Mitglied 12:29:15 21.02.2017   Titel:              Zitieren

icarus2 schrieb:
google z.B. mal nach Replay Attacks


hab ich getan. da gab es dann auch irgendwelche lösungsvorschläge wie z.b. zeitstempel im chiffrat, allerdings war das (noch) nicht gefragt.
keine ahnung, wo da jetzt das problem liegt, sachlich über so etwas zu diskutieren.

Zitat:

Tja, HansKlaus... wieder mal: wenn man keine Ahnung hat...
P.S. wegen dir glaubt die Menschheit zunehmend, alle Elektroingenieure wären Volldeppen!


ja und wegen dir glaubt die menschheit zunehmend, dass man die zwangsehe wieder einführen sollte, damit jeder dann was zum bumsen hat und sich die zeit nicht mit forentrollerei vertreiben muss.
icarus2
Mitglied

Benutzerprofil
Anmeldungsdatum: 20.09.2009
Beiträge: 1735
Beitrag icarus2 Mitglied 13:46:42 21.02.2017   Titel:              Zitieren

HansKlaus schrieb:
icarus2 schrieb:
google z.B. mal nach Replay Attacks


hab ich getan. da gab es dann auch irgendwelche lösungsvorschläge wie z.b. zeitstempel im chiffrat, allerdings war das (noch) nicht gefragt.

keine ahnung, wo da jetzt das problem liegt, sachlich über so etwas zu diskutieren.

Naja, Timestamps sind immer die erste Idee und wenn man mehr als 2 Minuten darueber nachdenkt merkt man, dass es keine so gute Idee ist.

Wenn dann wohl eher ein Challenge-Response Protokoll mit Nonces. Ist es dann "sicher" (wir haben ja noch nicht einmal gesagt welche Eingeschaften wir genau wollen)? Hmm, kommt draufan.

Deswegen nochmals: Man designed solche Dinge einfach nicht selber, schon gar nicht wenn TLS selber einen Mechanismus anbietet. Selbst Experten verhauen diese Designs manchmal (ich hab letzten Sommer z.B. einen Protokollfehler gefunden in einem Paper).


Zuletzt bearbeitet von icarus2 am 13:47:01 21.02.2017, insgesamt 1-mal bearbeitet
HänschenKläuschen
Unregistrierter




Beitrag HänschenKläuschen Unregistrierter 14:27:55 21.02.2017   Titel:              Zitieren

HansKlaus schrieb:
und sich die zeit nicht mit forentrollerei vertreiben muss.
Der einzige Troll hier bist du, und dass du mittlerweile jeden hier nervst mit deinem Halbwissen, ist auch bekannt. Also, los! Troll dich zurück!
HansKlaus
Mitglied

Benutzerprofil
Anmeldungsdatum: 19.04.2016
Beiträge: 262
Beitrag HansKlaus Mitglied 19:58:02 23.02.2017   Titel:              Zitieren

icarus2 schrieb:
Ist es dann "sicher" (wir haben ja noch nicht einmal gesagt welche Eingeschaften wir genau wollen)? Hmm, kommt draufan.


ja das ist eben so eine relativ-frage: was ist eigentlich sicher? nach meinem wissen kann man sich das eigentlich schenken, weil es gar kein "sicher" gibt, sondern nur ein "nach derzeitigem kenntnisstand schwierig zu brechen", weshalb man als mafiaboss vielleicht lieber darauf bauen sollte, dass man einem die anordnung, die leichen zu verstecken, einfach nicht nachweisen kann.

Zitat:

Deswegen nochmals: Man designed solche Dinge einfach nicht selber, schon gar nicht wenn TLS selber einen Mechanismus anbietet. Selbst Experten verhauen diese Designs manchmal (ich hab letzten Sommer z.B. einen Protokollfehler gefunden in einem Paper).


war nicht nach einem hinweis gefragt, wie man das selbst macht?

HänschenKläuschen schrieb:
Der einzige Troll hier bist du

naja du loggst sich doch allem anschein nach aus deinem regulären account aus, verwendest dann einen namen, der darauf ausgelegt ist, mich dumm anzumachen und trägst dann außer stunk nichts bei. wenn das kein trollen ist, was ist dann trollen?

ich meine, wenn du nebenbei mit deinem spezialwissen geglänzt hättest...... hast du aber nicht!

Zitat:

und dass du mittlerweile jeden hier nervst mit deinem Halbwissen, ist auch bekannt.

och nerv ich dich? brauchst es ja nicht zu lesen! in de herrscht doch meinungsfreiheit. oder besser noch: du vervollständigst mein halbwissen einfach, bekommst deine anerkennung und schon kommen wir alle gut miteinander aus.

Zitat:
Also, los! Troll dich zurück!

komm sei doch mal ehrlich: wenn du mich nicht hättest, wäre dein leben doch noch schlimmer.

hast du eigentlich mal was von erich fromm gehört? in "anatomie der menschlichen destruktivität" beschreibt er sehr eindrucksvoll den antiproportionalen zusammenhang zwischen fehlender lebensfreude und einem verhalten, wie du es an den tag legst. dürfte dich wirklich interessieren!
dachschaden
Mitglied

Benutzerprofil
Anmeldungsdatum: 06.12.2014
Beiträge: 1224
Beitrag dachschaden Mitglied 23:51:59 23.02.2017   Titel:              Zitieren

HansKlaus schrieb:
ja das ist eben so eine relativ-frage


Nein, ist es nicht.

Eigene Krypto < gut abgehangenes Zeug.

Selbst wenn Letzteres immer mal wieder einen Bug aufweist, so ist die Chance, dass eigene Krypto besser wird, eigentlich immer gleich Null. Und egal, wie oft du das sagst, einer wird glauben, dass er's besser weiß als andere, und dabei auf die Fresse fliegen.

HansKlaus schrieb:
nach meinem wissen kann man sich das eigentlich schenken, weil es gar kein "sicher" gibt, sondern nur ein "nach derzeitigem kenntnisstand schwierig zu brechen"


Es ist der Unterschied zwischen: "Haha, guck mal, der Trottel hat mit ECB verschlüsselt!" und dem hier. Problem: Krypto ist echt konservativ, die Leute designen sowas mit Blick in die nächsten paar Jahrzehnte, und wenn du an den Kerl nicht rankommst, dann bleibt dir nur das Brechen.

Den Einzigen, denen du damit schenkst, sind die Leute, die die Kommunikation überwachen.

HansKlaus schrieb:
war nicht nach einem hinweis gefragt, wie man das selbst macht?


Ist scheißegal. Man macht sowas nicht selbst. Schau dir Cryptocat an als Beispiel, was passiert, wenn du es doch tust. Da haben sie "Sicherheit" draufgeklebt, aber auch mal alles falsch gemacht, was falschzumachen war - nicht mal den Schneier zu Ende gelesen, wenn überhaupt damit angefangen. Und im Zweifel hat diese Software Leute umgebracht, weil Leute in autoritäreren Regimes darauf vertraut haben und dann die Krypto wegzubrechen war.

Wenn die Frage auftaucht, wie man sowas selbst macht, lautet die Antwort: Gar nicht.
Wenn du alles weißt, was dabei schiefgehen kann, dann brauchst du danach nicht zu fragen. Und wenn du fragst, wird alles schiefgehen. Ganz einfach.

HansKlaus schrieb:
naja du loggst sich doch allem anschein nach aus deinem regulären account aus


Jetzt bewertest du auch noch Argumente nach der Person, die sie ausgibt? Sag mal, was stimmt mit dir nicht? Wie wäre es, wenn du nicht mal Halbwissen zum Besten gibst?

HansKlaus schrieb:
och nerv ich dich? brauchst es ja nicht zu lesen! in de herrscht doch meinungsfreiheit.


Und jetzt troll dich endlich weg!

Randall Munroe schrieb:
It doesn't mean that anyone else has to listen to your bullshit, or host you while you share it.

_________________
"'Das habe ich getan' sagt mein Gedächtnis. Das kann ich nicht getan haben - sagt mein Stolz und bleibt unerbittlich. Endlich - gibt das Gedächtnis nach." - Friedrich Nietzsche
The only valid measurement of code quality: WTFs/minute
HänschenKläuschen
Unregistrierter




Beitrag HänschenKläuschen Unregistrierter 11:20:14 24.02.2017   Titel:              Zitieren

HansKlaus schrieb:
och nerv ich dich?

Du nervst hier JEDEN, weil du halt einfach ein Würstchen bist. Vielleicht liegt es auch an deiner Lern- und Beratungsresistenz, wer weiß das schon, interessieren tut's wohl eh keinen.

HansKlaus schrieb:
und trägst dann außer stunk nichts bei.

Und du trägst außer Kopfschütteln nichts bei. Jetzt kommt die große Preisfrage: "Worin unterscheiden wir uns?" - Richtig! ICH weiß, wann ich Mist schreibe. Du nicht!

HansKlaus schrieb:
komm sei doch mal ehrlich: wenn du mich nicht hättest, wäre dein leben doch noch schlimmer.

Das ist absolut richtig. Ich freue mich über jeden Beitrag von dir, weil du dich immer so goldig freiwillig blamierst. Das macht sympathisch!

dachschaden schrieb:
HansKlaus schrieb:

naja du loggst sich doch allem anschein nach aus deinem regulären account aus


Jetzt bewertest du auch noch Argumente nach der Person, die sie ausgibt? Sag mal, was stimmt mit dir nicht? Wie wäre es, wenn du nicht mal Halbwissen zum Besten gibst?

Ich sehe mich mal bestätigt :D
C++ Forum :: C (alle ISO-Standards) ::  Sichere Socketverbindung mit Clientauthenifizierung  
Gehen Sie zu Seite 1, 2  Weiter
Auf Beitrag antworten

Zeige alle Beiträge auf einer Seite




Nächstes Thema anzeigen
Vorheriges Thema anzeigen
Sie können Beiträge in dieses Forum schreiben.
Sie können auf Beiträge in diesem Forum antworten.
Sie können Ihre Beiträge in diesem Forum nicht bearbeiten.
Sie können Ihre Beiträge in diesem Forum nicht löschen.
Sie können an Umfragen in diesem Forum nicht mitmachen.

Powered by phpBB © 2001, 2002 phpBB Group :: FI Theme

c++.net ist Teilnehmer des Partnerprogramms von Amazon Europe S.à.r.l. und Partner des Werbeprogramms, das zur Bereitstellung eines Mediums für Websites konzipiert wurde, mittels dessen durch die Platzierung von Werbeanzeigen und Links zu amazon.de Werbekostenerstattung verdient werden kann.

Die Vervielfältigung der auf den Seiten www.c-plusplus.de, www.c-plusplus.info und www.c-plusplus.net enthaltenen Informationen ohne eine schriftliche Genehmigung des Seitenbetreibers ist untersagt (vgl. §4 Urheberrechtsgesetz). Die Nutzung und Änderung der vorgestellten Strukturen und Verfahren in privaten und kommerziellen Softwareanwendungen ist ausdrücklich erlaubt, soweit keine Rechte Dritter verletzt werden. Der Seitenbetreiber übernimmt keine Gewähr für die Funktion einzelner Beiträge oder Programmfragmente, insbesondere übernimmt er keine Haftung für eventuelle aus dem Gebrauch entstehenden Folgeschäden.