Customize

Offenlegung Verschlüsselung meetus.at

Discussion in 'Deutschland' started by jophi, Apr 5, 2012.

Thread Status:
Not open for further replies.
  1. jophi Member

    Hallo Leute.
    Dies ist ein originaler Output, unseres Verschlüsselungs-Algos (wie er auch erscheint, wenn man den Datenschutzlink am Ende der Seite klickt - vorausgesetzt, man hat sich eingelogged und einen eigenen, verschlüsselten Beitrag geschrieben.

    Den Klartext dazu gilt es herauszufinden, damit wir sehen können, ob die 512bit-Verschlüsselung (AES) auch hält, was sie verspricht. Damit die Daten schön als Text gespeichert werden können, ohne das es zu Binärdatenfehlern kommt, wurde der String nach der Verschlüsselung mit base64 ¨geglättet¨.

    Hier meine Fragen:
    - wie lange dauert es, bis der Klartext wieder hergestellt werden kann?
    - kann die Verschlüsselung (sagen wir mal) innerhalb von 6 Monaten geknackt werden?

    Zusatzinfos:
    - Leerzeichen können entfallen, die sind nur wegen dem Zeilenumbruch eingefügt.
    - Mindestschlüssellänge ist 32 Stellen.
    - Es sind alle Zeichen des UTF8-Spektrums erlaubt (Tipp: Arabisch und Telefon-Zeichen sind im gesuchten Schlüssel nicht enthalten :D)
    - EDIT: Der benutzte Schlüssel ist am Server von meetus.at nicht gespeichert (und auch sonst nirgendwo), sowie auch sonst kein Schlüssel gespeichert wird (Auch dann nicht, wenn ihr selbst eine verschlüsselte Botschaft anlegt: Weder als Prüfsumme, noch verschlüsselt oder im Klartext also wenn man so will, in meinem Kopf :D)

    Der ermittelte Schlüssel, kann hier ausprobiert werden:
    http://meetus.at/prestige/sns/index.php?l=de&msg=1002

    Grüße und viel Spaß beim Tüfteln,
    JoPhi

    Ps: Falls noch Infos fehlen (mal abgesehen vom Schlüssel, den gebe ich natürlich nicht her), bitte ich um entsprechende Info...
  2. Krautfag Member

    Wer soll hier denn bitte genug Rechenpower haben, um das durchlaufen zu lassen?
    Von genug Ahnung ganz zu schweigen.
    Schreib halt an die NSA ^^
  3. jophi Member

    An Brute Force habe ich nicht gedacht. Eine Armada an Rechner dürfte hier zu wenig sein... Da muss man mit Logik ran... Naja, der NSA wird wohl das Forum hier kennen. Vielleicht sind sie ja so lieb, und erzählen mir, wie man das Ding sicherer machen kann :D
  4. jophi Member

    Nur so meine Gedanken: Eine Regenbogentabelle... hmmmm... zahlt sich nicht aus, weil der Schlüssel (als Prüfsumme beispielsweise) nicht bekannt ist... somit macht der Vergleichswert keinen Sinn... Theoretisch könnte der Schlüssel auch sowas sein:

    Inkl. aller Zeilenschaltungen... hmmm... oder auch die Hex-Codes einer Pdf-Datei...

    EDIT:
    Oder einfach auch nur sowas:
  5. Ackerland Member

    aes512?
    vergiss es

    es sei denn du bist ein kryptograph und hast gerade AES geknackt.
    Aber ich glaub du bist hier komplett falsch mit sowas
  6. jophi Member

    na dann kann ich auf diese art von verschlüsselung ja stolz sein, die setzt http://www.meetus.at/ ein (auch bei simplen chat-nachrichten) :D
  7. Krautfag Member

    Acker, jophi bastelt da gerade an was wirklich gutem rum...verschlüsselbarer anon-tw@tter sozusagen. Riskier mal nen blick bei Gelegenheit. Wenn das in 2-3 Wochen richtig aufpoliert ist, schmeißen wir es dem pöbel da oben im internationalen mal zum Fraß vor.
  8. Ackerland Member

    mag ja sein, aber ich glaube kaum, dass hier crypto-experten rumeiern. Ich bin auch keiner.
  9. Krautfag Member

    Pst, wir sind hacker auf steroids, schon vergessen? :D
  10. jophi Member

    ich suche noch eine unicode-webfont, die schöner aussieht, als die generische sans-serif... gibt's da eine halbwegs vollständige (und vor allem frei erhältliche)?
  11. RoflCockter Member

    ich hab zugriff auf einen 200ghz sub-cluster :3 Aber das wusstest du

    €: der wird für andere dinge genutzt, hab keine rechenzeit mehr frei. sorry
  12. PseudoPsycho Member

    Wofür wird denn die Verschlüsselung verwendet???
    Zum Speichern in der Datenbank?
    Nachtrag: Ok, bin gerade dem Testlink gefolgt und habe einfach mal auf "Entschlüsseln" geklickt, kann mir davon nun ein Bild machen.

    Oh, und was die Facebook-Plugins angeht, fände ich die 2-Klick-Lösung [Download] doch erheblich angemessener; was Datenschutz angeht.

    Nachtrag: Wenn ich mir den Quelltext so ansehe, ist die Seite nicht wirklich gut gecodet; hoffe mal, dass der PHP-Teil(?), der dann ja sicherheitsrelevant ist, besser ist.
    Es gibt nämlich bessere Möglichkeiten, an die nötigen Infos auf deiner Seite zu gelangen, nämlich indem man die Verschlüsselung umgeht.
    SQL-Injection, XSS und so weiter...
    Ich habe gerade nichts weiter zu tun und mir ist langweilig, von daher würde ich dir anbieten, da 'mal rüberzugucken; kenne mich durchaus mit sowas aus und deine Seite dient ja de Allgemeinheit ;)
    • Like Like x 1
  13. jophi Member

    Ja gerne... probier mal alles aus, was du möchtest, und sei so gut und teile uns deine Erkenntnisse mit. Die Nachrichten sind kodiert in der Datenbank, die Schlüssel werden nicht gespeichert. Auch wenn du eine vollständige Kopie der Datenbank hast, hilft das nix...

    Solltest du root-rechte erlangen, sei so gut und zerstör es nicht, sondern informiere die allgemeinheit darüber, wie wir es sicherer machen können, damit es auch sicherer wird und besser bleibt. ob der PHP-code gut ist, oder nicht kann ich nicht beurteilen. dazu hatte ich keinen bestimmten lehrer...

    da der testserver sehr klein ist, ist mir bewusst, dass dieser momentan gegen DDOS nicht gewappnet ist :D
  14. jophi Member

    das mit der zweiklick-lösung ist sehr gut, danke für die anregung! ... adsense wird opt-out bleiben müssen, da ich ja irgendwann damit auch die server-kosten bezahlen möchte...
  15. jophi Member

    weil ich es gerade sehe:
    hier im forum wird mit twitter- und facebook-plugins auch nicht gerade gespart *gg

    Nachtrag:
    Alle Nutzer haben selbe Rechte am System. Es gibt sozusagen keine admin-user.
  16. jophi Member

    [USER=74986]PseudoPsycho[/USER] http://meetus.at/prestige/sns/index.php?l=de&msg=1097 Tests XSS-Szenario. Das Einzige was ich mir noch dazu überlegen könnte wäre, falls die Nachricht nach den Filter-Vorgängen komplett LEER ist, dass keine Nachricht gespeichert wird. Momentan wird die Nachricht gespeichert. Ist ja auch interessant zu wissen, wie oft es versucht wurde :D
  17. jophi Member

    [USER=74986]PseudoPsycho[/USER] gibt es schon irgend welche Erkenntnisse?
  18. PseudoPsycho Member

    Ja, 'ne Kleinigkeit:
    Ich hab' mich über AnonGroup eingeloggt, die action-URL eines Kommentars kopiert und wieder ausgeloggt.
    Wenn ich dann (im ausgeloggten Zustand) über 'n selbstgebasteltes Formular mit der selben action-URL und gleichnamigen Feldern versuche, einen Kommentar zu schreiben, dann rechne ich mit irgendeiner Fehlermeldung. Das war nicht der Fall und der Kommentar wurde gespeichert (unter dem Nutzernamen AnonGroup, wieso auch immer)...
    Scheint so, als hätte da irgendeine Login-Abfrage versagt, desweiteren sollte man den HTTP_REFFERER überprüfen, von wo aus die Anfrage kommt.
  19. jophi Member

    Bist du sicher, dass du wirklich ausgelogged warst?
    Browser-Fenster einfach schließen loggt nicht aus... im URI gibt es keine Möglichkeit für das Script rauszufinden, wer Absender ist...

    nachtrag:
    den referer will ich nicht prüfen, da dieser
    a) gefälscht sein kann
    b) es gewollt ist, dass beiträge auch über andere seiten/projekte eingestellt werden können sollen.
  20. jophi Member

    Wenn du ausgelogget bist, müsste die Antwort als "anonymous" kommen, nicht als "anongroup"... Dies liegt daran, weil ich gerade dabei bin, auch die Antwort für "nicht registrierte" zu ermöglichen. ähnlich wie bei neuen beiträgen, sollen zukünftig anonyme nutzer auch kommentieren können :D

    die captcha-frage wird noch nicht geprüft, daher müsste eine antwort kommen... nach dem das formular auch für nicht registrierte nutzer sichtbar ist, sollte auch die captchafrage abgefragt werden :D

    nachtrag:
    der captcha wird jetzt geprüft (formular fehlt noch)

    nachtrag:
    antworten sind nun auch als anonymous (nach eingabe des captchas) möglich.
  21. jophi Member

    [USER=74986]PseudoPsycho[/USER]:

    a) in wie weit warst du mit SQL Injuctions bzw. XSS, bzw. den als "usw." definierten Angriffen erfolgreich?
    b) gibt es ein gutes, auf Linux basierendes Tool, welches automatisiert solche Schwachstellen entdecken kann, das du mir empfehlen kannst?
  22. PseudoPsycho Member

    Zu wirklich vielen Tests bin ich z.Z. noch nicht gekommen, sitze gerade an diversen eigenen Projekten...
    Ausgeloggt war ich aber auf jeden Fall, da ist doch oben der Button...
  23. Ackerland Member

    Ich habe mir das zwar nicht genau angesehen, aber die Ver- und Entschlüsselung, wo passiert die? Serverseitig oder clientseitig?
  24. jophi Member

    ja, der Button oben rechts... mysteriös... bei dir hat eine technische Unmöglichkeit funktioniert... Im HTML gibt es keinen Hinweis auf den User. Eine Identifizierung findet ausschließlich serverseitig statt. Beim Logout wird die Session völlig zerstört. Ebenso beim "frischen" Login (um das Kapern einer Session durch Vorgabe einer ID zu verhindern)...

    kannst du bitte mal den HTML-Code posten, den du benutzt hast?
  25. jophi Member

    [USER=11505]Ackerland[/USER] die Verschlüsselung, sowie die Entschlüsselung passiert ausschließlich serverseitig. https wird empfohlen, sollte man die Integrität wahren wollen... Der Schlüssel wird mit Script-Ende unwiederbringlich verworfen.

    Nachtrag:
    Wie genau die Verschlüsselung funktioniert (frei nach dem Kerckhoffs'schen Prinzip) ist ganz oben offen gelegt.
  26. jophi Member

    #SNSUpdate
    - Ab sofort werden keine IP-Adressen mehr angezeigt. (Ausnahme Datenschutzlink)
    - Viele der Links werden als Vorschau angezeigt (vorher nur nach Login)
    - Hyperlinks werden auch dann angezeigt, wenn man nicht eingeloggt ist.

    Die deutsche Version ist am Besten Vergleichbar als eine Mischung aus (Tw@tter, F@cebook - letzteres ohne Gesichter und ohne persönlicher Daten :D)

    Bezüglich der englischen Texte: hat noch jemand lust beim Übersetzen und Korrekturlesen mitzuwirken? Bitte PM an mich...

    Nachtrag:
    Die Idee von [USER=74986]PseudoPsycho[/USER] (optIn für SocialPlugins) habe ich auch soeben umgesetzt.

    Nachtrag 2:
    Ich habe mich dazu entschlossen, auch die Anonymität des Nutzers "anonymous", der jedem ohne Registrierung zur Verfügung steht zu schützen. Die IP-Adressen werden NICHT mehr angezeigt. Der Datenauszug für den Benutzer anonymous wurde deaktiviert.

    Grüße und danke,
    JoPhi
  27. Ackerland Member

    Ganz ganz schlechte Idee. Ist dein Server kompromittiert, so sind auch die Nachrichten nicht mehr sicher.
    Mach doch lieber mal ne AES-Implementierung in JavaScript
  28. PseudoPsycho Member

    Jap, serverseitiges ver- und scriptseitiges ent-schlüsseln ist das einzig sichere.
    Wenn jetzt ein Nutzer nämlich den richtigen Key angibt, wird die Seite ja als Klartext übertragen und kann abgehört werden...
    Und selbst wenn ich versuche, die Seite über https:// aufzurufen, werde ich an die Seite ohne SSL weitergeleitet...
  29. jophi Member

    https://meetus.at/sns leitet nicht auf das normale http um... wer mit urls spielt muss mit bösen überraschungen rechnen... einfach das s dazufummeln spielt sich nicht.... und das ist bewusst so, dass die pfade verschieden sind :D

    der client kann nicht entschlüsseln, da viele javascript aus haben. das projekt muss auch in lynx funktionieren...

    also nochmal:
    wenn die software, der server schwachstellen hat, helft sie mir zu schließen, um die verwendung FÜR UNS ALLE SO SICHER WIE MÖGLICH zu gestalten. AnonPLUS ist deshalb GESCHEITERT... der server hat aufgaben, die nicht jeder client erfüllen kann.

    ich habe euch mehrmals gebeten den server mit allem zu attackieren (außer ddos), was ihr so drauf habt. aber sorry: bis auf ein bischen heizze luft is noch nix rausgekommen :-D
  30. PseudoPsycho Member

    Du meintest, dass die Keys überhaupt nicht gespeichert werden...
    Wenn du das unbedingt serverseitig entschlüsseln willst, was spricht dann dagegen, die Keys als SHA-Hash zu speichern??? Dann kann man auch Bruteforce-Attacken entgegenwirken.

    btw.: Wofür steht eigentlich SNS?
  31. Ackerland Member

    ich halte das konzept trotzdem für eine schlechte idee. du kannst den server nicht 100% sicher machen, und gegen physikalische zugriffe schonmal überhaupt nicht.
    clientseitige verschlüsselung/entschlüsselung ist das einzig wahre.
  32. jophi Member

    [USER=74986]PseudoPsycho[/USER]: SNS bedeutet Social Network Service... Die Schlüssel speichere ich nicht, weil ich sie gar nicht haben möchte. Und gerade gespeicherte Schlüssel fordern zum Bruteforcen (oder zur Nutzung von Regenbogentabellen) auf.

    [USER=11505]Ackerland[/USER]: sobald es eine Lösung gibt, die alle Browser beherrschen, ist die Verschlüsselung auf die Art die du gerade vorgeschlagen hast, gerne möglich. In Mobile-Apps geht das noch am Ehesten. Doch was ist, wenn die JavaScript-Erweiterungen des Browsers ausgeschalten sind, oder der Browser JavaScript gar nicht unterstützt?

    Daher nochmal:
    Hackt den Server so fest wie es geht, und helft mir die Lücken zu schließen. Nur so können wir gewährleisten, dass das ¨Minitool¨ verschlüsselte Nachrichten so sicher als möglich funktioniert. Lasst uns zum Wohle der Allgemeinheit das tun!! Und ehrlich: wer die http (and Stelle der https-Version) nutzt (trotz aller onscreen-warnungen) ist selber schuld, wenn ein Schlüssel abgefangen wird!
Thread Status:
Not open for further replies.

Share This Page

Customize Theme Colors

Close

Choose a color via Color picker or click the predefined style names!

Primary Color :

Secondary Color :
Predefined Skins