KeePass Schlüsseldatei (Key File) sinnvoller Speicherort

[Wilhelm14]

Hallo liebe CBler,

ich nutze KeePass http://keepass.info/ von mehreren Geräten aus und habe die Datenbank *.kbdx dazu auf einem NAS liegen. Zusätzlich zum Hauptpasswort würde ich gerne sinnvoll die Schlüsseldatei (Key File) *.key benutzen. Im ersten Moment würde ich aus praktischen Gründen die *.key auch auf das NAS legen. Liegt die *.key nun neben der *.kbdx, wird sie kein Sicherheitsgewinn sein.

Wenn ich sie nun nicht auf dem NAS habe, muss ich sie auf die Clients kopieren. Und da zweifel ich wieder an dem Sicherheitsgewinn. In jedem Fall zeigt mir KeePass oder Keepass2Android beim Öffnen im Verlauf so oder so den Speicherort der *.key an. Sehe ich das richtig, dass die *.key nur etwas bringt, wenn sie an einem dritten Ort liegt, z.B. auf einem USB-Stick, den ich zur Öffnung der Datenbank extra an den Rechner stecken muss?

 

[Kronos60]

Ich habe die Datei einfach auf meiner Datenpartition, ist ja verschlüsselt da kann normal nichts passieren.

 

[Wilhelm14]

Welche Datei, die kbdx oder die key? Sofern ich es nicht falsch verstanden habe, ist die *.kbdx verschlüsselt, die *.key nicht, sie dient nur als Schlüssel. Liegt der Schlüssel vor der Tür, kann ihn jeder ins Schloss stecken. So ist es doch, wenn man auf die *.key Zugriff hat.

 

[Kronos60]

Welche Datei, die kbdx oder die key?

Nur die kbdx, der Schlüssel ist nirgends gespeichert den habe ich im Kopf.

 

[miac]

Die Schlüsseldatei ist normalerweise was für eine SD Karte oder einen USB Stick.
Wenn deine KeePass Datei auf den NAS liegt, dann könntest Du die Schlüsseldatei auch direkt auf den Clients speichern. Optimalerweise sind diese selbst verschlüsselt und melden sich ans NAS an.

 

[master.rv]

Hi,

außer dem Passwort das ich eingeben muss, habe ich die Schlüssel Datei "pwsafe.key" auf meinen USB Stick. Das nutze ich auch zum PC Login, und wenn ich es abziehe dann wird der PC gesperrt. Auch das Admin Passwort ist gleich mit dem User Key. Es besteht aus 13 Zeichen, die ich selber nicht aus dem Kopf eingeben kann. Klar eine schriftliche Kopie, für den Notfall, habe ich auch. Sie liegt aber nicht in meiner Wohnung.

 

[Wilhelm14]

@miac: Wenn ich nun aber die *.key auf dem Client speichere, ist sie doch nutzlos oder so sicher, wie ein Schlüssel, der in der Tür steckt, oder? Kann ich sie dann nicht gleich bleiben lassen und mir die Handhabung erleichtern?

http://keepass.info/help/base/keys.html da steht

The key file content (i.e. the key data contained within the key file) needs to be kept secret. The point is not to keep the location of the key file secret.

Je nach Verständnis widerspricht sich das. Wenn nicht die Geheimhaltung des Ortes wichtig ist, was dann? Der Inhalt kann einem Zugreifer doch egal sein, hauptsache, er hat die *.key.

@master.rv: Ja, die *.key auf einem Stick wäre sicher. Selbst wenn ein Angreifer weiß, die Datei liegt auf einem Stick, bräuchte er immer noch den Stick selbst. Allerdings wird es damit schwierig, wenn man eine App auf dem Smartphone nutzt, da man den Stick, wenn überhaupt nur schwierig, an das Telefon bekommt.

 

[miac]

@miac: Wenn ich nun aber die *.key auf dem Client speichere, ist sie doch nutzlos oder so sicher, wie ein Schlüssel, der in der Tür steckt, oder? Kann ich sie dann nicht gleich bleiben lassen und mir die Handhabung erleichtern?

Deswegen habe ich ja auch geschrieben:

Optimalerweise sind diese selbst verschlüsselt und melden sich ans NAS an.

Das Ziel kann ja auch sein, nur Keylogger auszusperren.

Wenn du optimale Sicherheit haben willst, brauchst du ein steckbares Medium.

 

[Wilhelm14]

Irgendwie beantwortet das für mein Verständins immer noch nicht die Frage, ob eine *.key auf dem Smartphone hinterlegt ein Plus an Sicherheit ist oder nicht. Unabhängig davon, ob das Smartphone nun selbst gesichert ist. Es geht mir rein um Sinn oder Unsinn der *.key.

 

[tiash]

Wenn dein NAS auf irgend eine Art und Weise kompromittiert und die Datenbank von dort entwendet wird, dann bietet dir eine Schlüsseldatei zusätzliche Sicherheit (Annahme: es wird nur das NAS angegriffen, z.B. durch eine Lücke im Webinterface).

Wenn der Angreifer über einen Client aufs NAS gelangt, dann hat er natürlich gleichzeitig Schlüsseldatei und Datenbank.

Es hängt also schlicht und ergreifend vom Angriffsszenario ab, ob die Schlüsseldatei auf dem Client einen Sicherheitsgewinn bringt.

 

[miac]

So sehe ich das auch.

 

[Wilhelm14]

Genau, die Szenarien versuche ich halt gedanklich durchzuspielen.

Wenn dein NAS auf irgend eine Art und Weise kompromittiert und die Schlusseldatei von dort entwendet wird, dann bietet dir eine Schlüsseldatei zusätzliche Sicherheit (Annahme: es wird nur das NAS angegriffen, z.B. durch eine Lücke im Webinterface).

Müsste beim fett markiertem nicht Datenbank statt Schlüsseldatei stehen? KeePass mit zusätzlicher Schlüsseldatei sollte doch nur sicher sein, wenn ein Angreifer auf dem NAS nur die Datenbank entwendet, aber nicht die Schlüsseldatei. Wird vom NAS die Schlüsseldatei samt Datenbank entwendet, ist die Schlüsseldatei doch nichts wert.

Also bringt die Verwendung der Schlüsseldatei nur etwas, wenn diese wirklich weder auf dem NAS, noch auf dem Client hinterlegt ist, sondern z.B. nur von einem drittem Ort wie einem Stick kommt. Die Schlüsseldatei sichert also nur, wenn sie nicht da ist. Weder auf dem NAS, noch auf dem Client.

Und anders, selbst wenn die Schlüsseldatei da ist, ist es für einen Angreifer nicht einfacher als wenn die Datenbank rein mit Passwort belegt ist. Das Passwort selbst braucht man (je nach Einrichtung) in jedem Fall.

 

[tiash]

Müsste beim fett markiertem nicht Datenbank statt Schlüsseldatei stehen?

Natürlich, du hast vollkommen recht. Da habe ich mich verschrieben. Wird sofort korrigiert.

Also bringt die Verwendung der Schlüsseldatei nur etwas, wenn diese wirklich weder auf dem NAS, noch auf dem Client hinterlegt ist, sondern z.B. nur von einem drittem Ort wie einem Stick kommt. Die Schlüsseldatei sichert also nur, wenn sie nicht da ist. Weder auf dem NAS, noch auf dem Client.

Genau das habe ich doch versucht, zu erklären. Wenn es einen Angriffsfall gibt, in dem man auf dein NAS allein zugreifen kann, dann hilft die Schlüsseldatei sehr wohl, weil es typischerweise nicht möglich ist, vom NAS auf die Clients zu gelangen, sondern nur umgekehrt.

 

[Wilhelm14]

...dann hilft die Schlüsseldatei sehr wohl...

Wirklich? Gedankenspiel!

Fall 1: Hauptpasswort und Schlüsseldatei: Ort 1: NAS nur mit kbdx. Ort 2: Smartphone mit Hauptpasswort und hinterlegter Schlüsseldatei. Von einem dritten Ort wie einem Stick kann ich die Schlüsseldatei nicht einbinden.

Fall 2: Hauptpasswort keine Schlüsseldatei: Ort 1: NAS nur mit kbdx. Ort 2: Smartphone nur mit Hauptpasswort.

In beiden Fällen ist ein reiner Zugriff auf das NAS abgesichert, da die kbdx alleine nichts wert ist. In beiden Fällen müsste ein Angreifer zusätzlich Zugriff auf das Smartphone haben. Für mein Verständnis ist Fall 1 trotz Schlüsseldatei nicht sicherer, da bei einem Angriff die Schlüsseldatei hinterlegt ist und nicht von einem dritten Ort kommt.

Liege ich falsch?

 

[tiash]

In gewisser Hinsicht hast du natürlich recht. Allerdings hängt die Sicherheit der Schlüsseldatenbank von verschiedenen Faktoren ab, die unter Umständen einem Angreifer in die Hände spielen können.
Punkt 1: Menschen sind faul. Deshalb kann man allgemein nicht davon ausgehen, dass das Passwort sicher gewählt wird. Gelangt ein Angreifer an die Datenbank, kann er möglicherweise das Passwort bruteforcen.
Punkt 2: Das Passwort ist dem Angreifer bekannt. Entweder durch 'Shoulder Surfing' (Angreifer schaut bei der Eingabe heimlich über die Schulter) oder weil es auch bei einem anderen Dienst verwendet wurde.
Punkt 3: Die Schlüsselableitungsfunktion, die aus dem Passwort den Datenbankschlüssel bildet, hat eine Designschwäche, die bisher noch unbekannt ist. Dadurch könnten auch vermeintliche starke Passwörter recht effizient gebrochen werden.

Die Schlüsseldatei verlängert im Prinzip das eingegebene Passwort um eine beliebig komplexe Zeichenkette. Während ein Angreifer ohne Schlüsseldatei und ohne Auslesen des Passworts auf dem Client in allen drei Fällen Zugriff auf die entschlüsselten Passwörter erhält, schützt eine zusätzliche Schlüsseldatei in allen Fällen.

Wie realistisch diese Szenarien sind, muss jeder für sich persönlich abwägen.

 

[Wilhelm14]

Danke für die Bestätigung. Ich war mir nicht sicher, ob ich einen Gedankenfehler habe.

Ein weiteres oder anders ausgedrücktes Szenario. Schlüsseldatei und Hauptpasswort sind auch bei öffentlich zugänglicher Schlüsseldatei nicht unsicherer als die reine Nutzung eines Hauptpasswortes ohne Schlüsseldatei?

 

[tiash]

Was heißt denn hier Bestätigung?

Für mein Verständnis ist Fall 1 trotz Schlüsseldatei nicht sicherer, da bei einem Angriff die Schlüsseldatei hinterlegt ist und nicht von einem dritten Ort kommt.

Meiner Meinung nach habe ich diese Aussage klar widerlegt. Es gibt eben Fälle, in denen es doch einen Sicherheitsgewinn bringt.

Zu deinem letzten Szenario: Ja, eine kompromittierte Schlüsseldatei reduziert die Sicherheit auf das Passwort, genau so, als wäre nie eine Schlüsseldatei angelegt worden.

 

[Wilhelm14]

Also ist im schlimmsten Fall der Einsatz der Schlüsseldatei so sicher/unsicher, als hätte ich gar keine. Du sagst ja selbst im letzten Satz, dass die Sicherheit dann auf das Hauptpasswort reduziert wird, aber nicht weiter geschmälert. Für mich ist eine vorliegende Schlüsseldatei wie ein Schlüssel, der im Zusatzschloss einer Tür steckt. Steckt er, ist er kein Gewinn. Die Sicherheit ist aber auch nicht schlechter, als wenn man gar kein Zusatzschloss hätte.

Aber stimmt, es gibt andere Szenarien, jemand greift aufs NAS zu und kennt - aus irgendeinem Grund - mein Hauptpasswort. Er müsste beim Einsatz einer Schlüsseldatei zusätzlich noch das Smartphone mit dieser Datei in die Finger bekommen.

 

[crashbandicot]

In jedem Fall zeigt mir KeePass oder Keepass2Android beim Öffnen im Verlauf so oder so den Speicherort der *.key an.

Das ist aber nur ne Einstellungssache. Kann (und sollte) man deaktivieren. Ansonsten würde ich einfach eine Galerie mit ein paar hundert Fotos erstellen und davon eine Datei als Key File wählen. Können auch kleine Dateien sein (.ico), Hauptsache es fällt nicht groß aus und die Auswahl erschlägt einen.

 

[Kronos60]

Also ist im schlimmsten Fall der Einsatz der Schlüsseldatei so sicher/unsicher, als hätte ich gar keine. Du sagst ja selbst im letzten Satz, dass die Sicherheit dann auf das Hauptpasswort reduziert wird, aber nicht weiter geschmälert.

Genau, ich habe auch nur ein Hauptpasswort und keine Keydatei. Ist auch nicht unbedingt notwendigt.