Wie sicher ist XOR ?
-
Das einzige was ich sehe ist eine Geldsenke, für die mein Backup auch noch unsicherer wird.
Dass du daran verdienst, ist kein Vorteil deiner Methode.
-
Mario Sandler schrieb:
Wie gesagt, beachetet auch die anderen Lösungen
Ah, ok. Es ist ein Witz. Ich hatte schon große Angst.
-
Mein Vorgänger benutzte auch XOR um unsere Lizenz-files zu verschlüsseln. Dabei speicherte er die Lizenz-Flags in einem 64-Bit Feld binär in eben diesem Lizenzfile. Jedes Bit dieses Feldes war genau ein Feature das an- bzw ausgeschaltet wurde. Und nein, auf die Bildung einer Checksumme über das ganze Lizenz-File verzichtete er aus "Performancegründen", so das man das File problemlos mit einem Hexeditor manipulieren konnte...
Der Schlüssel war natürlich absolut sicher "Hard Coded" im Sourcecode.
Was glaubt ihr wie "sicher" dieses Verfahren gegen Manipulationen war?
-
rüdiger schrieb:
Mario Sandler schrieb:
Wie gesagt, beachetet auch die anderen Lösungen
Ah, ok. Es ist ein Witz. Ich hatte schon große Angst.
Woah, der war aber subtil. Aber ich glaube du hast Recht. Ist aber irgendwie nicht witzig, wenn es so versteckt ist
.loks schrieb:
Was glaubt ihr wie "sicher" dieses Verfahren gegen Manipulationen war?
lol:
Der Schlüssel war natürlich absolut sicher "Hard Coded" im Sourcecode.
Da braucht man nicht weiterlesen.
-
ja ich min noch ziemlich neu in c++ und habe einfach mal nach einer einfachen verschlüsselung gegoogled.
da bin ich auf XOR gestoßen und hab es direkt mal runtergeschrieben, ist ja ein sehr einfaches verfahren.wie kann ich meine verschlüsselung noch ausbauen ?
ja der key ist leider im sourcecode aber ich habe keine ahnung wie ich das umgehen soll.
-
@Mario Sandler:
Ich wage hier mal einen Bruch in dem ich behaupte das deine Verschlüsslung vieleicht theoretisch sicher ist aber nicht praktisch.
Deine Lösung ist erstens sehr anfällig für Man-In-The-Middle Attacken, die heutzutage leider sehr oft passieren.
Zweitens, wie erzeugst du gute Schlüssel ? Denn ein Schlüssel 111... ist leider genauso schlecht wie 101010... und du must für absolute Sicherheit so einige Korrelanzen eleminieren.
Wie schädlich ist es wenn ein Angreifer deinen Schüsselgenerator klaut und eine Krpytoanalyse darüber macht. Wie zufällig sind deine Schlüssel ? Wie verhinderst du das ein Angreifer die Verteilung deiner Schlüssel bestimmt und daraus eine statistische Brute Force Attacke startet ?
So nach dem Motto: Der Schlüsselgenerator bestimmt so die Zufallszahlen also kann ich die möglichen Schlüssel nachrechnen und damit versuchen die Nachricht zu entschlüsseln.
Oder der Geheimtext soll meine empfangene Nachricht über einem Kanal sein, der Schlüssel meine additive Störung mit jener Wahrscheinlichkeitsverteilung also versuche ich durch Entwicklung eines an die Störung angepassten Filters das Störsignal herauszufiltern.
-
kantaki schrieb:
wie kann ich meine verschlüsselung noch ausbauen ?
ja der key ist leider im sourcecode aber ich habe keine ahnung wie ich das umgehen soll.Google mal nach RC4.
-
kantaki schrieb:
ja ich min noch ziemlich neu in c++ und habe einfach mal nach einer einfachen verschlüsselung gegoogled.
da bin ich auf XOR gestoßen und hab es direkt mal runtergeschrieben, ist ja ein sehr einfaches verfahren.wie kann ich meine verschlüsselung noch ausbauen ?
ja der key ist leider im sourcecode aber ich habe keine ahnung wie ich das umgehen soll.Versuch nicht selbst ein Verfahren zu entwickeln. Das geht einfach schief. Benutz einfach ein Standardverfahren zB AES und implementiere es nicht selbst. Nimm einfach was fertiges.
Wenn dich Kryptographie interessiert, dann schau dir mal
Applied Cryptography | ISBN: 0471117099
bzw. die deutsche Übersetzung
Angewandte Kryptographie | ISBN: 3893198547
an.
-
Ethon schrieb:
kantaki schrieb:
wie kann ich meine verschlüsselung noch ausbauen ?
ja der key ist leider im sourcecode aber ich habe keine ahnung wie ich das umgehen soll.Google mal nach RC4.
-
rüdiger schrieb:
Ethon schrieb:
kantaki schrieb:
wie kann ich meine verschlüsselung noch ausbauen ?
ja der key ist leider im sourcecode aber ich habe keine ahnung wie ich das umgehen soll.Google mal nach RC4.
RC4 ist unglaublich effizient für seine Einfachkeit, schlag ihm doch was besseres vor, was er mit seinem Kenntnisstand implementieren könnte.
Die ganzen theoretischen Schwächen hin und her,wenn man die ersten 10 generierten Bytes in die Tonne klopft ist das Verfahren für viele Einsatzzwecke absolut sicher.
