ComputerBase Menü
Aktuelles

Ist ein "salted and hashed" password für einen "encryption Key" sicher?

ace-drink

ace-drink

Lt. Commander
Registriert
Juni 2008
Beiträge
1.296
Hi

Dienste wie Mozy, Crashplan, Spideroak, Backblaze etc. bieten die Option den Verschlüsselungsschlüssel, welcher meist 448 bit Blowfish ist, mit einem weiteren Paswort ausser dem Accountpasswort zu sichern.

Zitat von Crashplan:

"Tech Notes

Your encryption key remains the same when you upgrade security to private password
You can change your private password at any time and changing the private password does not affect backup data
The encryption key itself is stored secured (locked using the salted and hashed version of your private password) on CrashPlan's servers and at any friend destinations
Admins cannot access backup data stored on CrashPlan's servers without knowing your private password
Admins have no access to your private password"



Damit wird der Verschlüsselungs Schlüssel mit diesem Extra Passwort gesichert (mit diesem Passwort gelockt in "salted und hashed" Form), welches angeblich nie den Rechner verlässt.

Dieses Passwort ist bei mir nun über 100 Zeichen stark (querbeet).

Verstehe ich es nun richtig, dass die Firmen zwar den Key zur Sicherung haben aber diesen eben aufgrund des "locked" Status mit meinem Passwort nicht nutzen können. (das sagen die zumindest so)

Also bliebe nur bruteforce auf das Passwort, da ich den Blowfisch Key selbst mal als sicher ansehe. Korrekt?

Sollte doch dann als sicher anzusehen sein? Keepass meint das Passwort hätte über 800 bit.
 
Zuletzt bearbeitet:
salten schützt gegen rainbowtables und ist daher immer gut =)
was da smit dem locken auf sich hat k.a....
ein 100 zeichen passwort? o_0
respekt^^
 
Ein Salt ist ein bekanntes Passphrase, welches an das jeweilige Passwort genhängt wird, bevor man daraus den Hash erstellt. Eine Zurückrechnung auf die Ausgangslage von einem Hash ist prinzipbedingt nicht möglich. Man kann jedoch Hash Tables errechnen, die sämtliche Hash bestimmer Zeichenkombinationen enthalten (man rechnet also nicht von einem Hash das Passwort, sondern von allen möglichen Passwörtern den Hash). Hast du als Passwort "1234" erkennt man das am Hash dann ganz schnell. Bei Salt + 1234 kommt ein ganz anderer Hash heraus. Damit muss man also Tabellen haben, die nicht nur für 1234 den Hash berechnet haben, sondern für das neue Passwort "asdkajsdfksdjsdf1234", ansonsten ist der Hash nicht identifizierbar. Das ist das Funktionsprinzip eines Salt.

Der Serverbetreiber kann aus dem Hash also selbst nicht das Passwort generieren, außer sie legen enorme Hash Tabellen an (Salt + alle möglichen Kombinationen).
 
@Blo0dLust: Das stimmt so nicht, das Ergebnis des Hashes ist maximal so stark wie der Hash lang ist. 100 Zeichen bei 7 Bit Informationsdichte je Zeichen (Buchstaben Zahlen Sonderzeichen) sind 700 Bit, so lang werden sie den Hash wohl nicht machen.

Wenn ich recht verstehe, Verschlüsseln sie den eigentlichen Key mit deinem (salted und hashed) PW. Dadurch müssen nicht alle Sicherungsdaten neu verschlüsselt werden, wenn Du das PW änderst.

Bei Truecrypt läuft das z. B. auch so.

Sicher ist das Ganze, wenn die komplette Implementierungskette sicher ist. D. h. die Versclüsselung der Daten mit dem Key. Die Verschlüsselung des Keys mit dem PW sowie die Verwendung des salt und des Hashalgorithmus etc.

Alternativ könnte man über asynchrone Verschlüsselung nachdenken: Sie können nur verschlüsseln und den privaten Schlüssel bewahrst nur Du bei Dir auf. Wobei das ggf. dem Backup Gedanken widerspricht ;)

edit: bold
 
Zuletzt bearbeitet:
hmmm...okay dann she ich das mal asl sicher an. Mein Passwort hat alles an Spezialzeichen was Keepass so hergibt. Muss es mir ja nicht merken :-) Das Passwort selbst ist also sicher bzw. sehr stark.

Die Möglichkeit mit der asynchronen Verschlüsselung bieten die auch an aber dann ist das ganz große Problem, dass bei Änderung des Keys alles neu hochladen muss. So kann ich immer mal wieder mein privates Passwort ändern. Ich denke das passt dann schon so.

Dann hab ich jetzt alles verschlüsselt. Wollte ich schon immer. Daheim mit TrueCrypt für PC und exteren Platte, Offsite eben Crashplan mit privatem Passwort und Mobil Verschlüsseöung von Ice Cream Sandwich.

So lob ich mir das. Seit mir mal was abhanden kam via Diebstahl bin ich lieber paranoid als das irgendwer ohne extremen Aufwand an mein Zeug kommt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz