3. blowfish passwortüberprüfung

blowfish passwortüberprüfung

  • ?

    hi,

    ich schreibe an einem programm welches daten mittels blowfish verschlüsseln soll. nun lasse ich ein passwort einlesen, berechne den sha-256 hash und benutze diesen als key für den blowfish algo. soweit sogut, doch wie überprüft man nun am besten ob das passwort stimmt?

    soll ich in die verschlüsselten daten am anfang vielleicht bytes einbauen mit denen ich checken kann ob die entschlüsselten daten korrekt sind?
    oder soll ich von dem pw-hash noch einen hash berechnen und dann abgleichen?

    hoffe auf hilfe 🙂

    0
  • R

    hab mich lange nicht mehr mit Kryptographie befasst. Aber ich seh bei beiden Methoden Nachteile:

    1. Magick-Code in den Text einbauen: Das sorgt dafür, dass der Angreifer bereits einen Teil des Verschlüsselten Textes kennt. Dies könnte er für eine Kryptoanalyse ausnutzen (Known Plaintext-Angriff)

    2. Hash des Hash des Passworts Abspeichern: Lässt einen Wörterbuchangriff zu. Ich halte es nicht für eine gute Idee Informationen über den Schlüssel den Daten beizulegen. Zumindest solltest du etwas Salz dazwischen streuen.

    0
  • N

    Warum nicht einen Hash über die Daten im Original mit übertragen? Nach dem Entschlüsseln muss dieser Hash wieder übereinstimmen und Du weisst, dass die Daten den Originaldaten entsprechen.

    0
Anmelden zum Antworten