Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Inception: System-Login auf…

Langsam wird das zu einem ernsten Problem

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Langsam wird das zu einem ernsten Problem

    Autor: lisgoem8 10.01.13 - 17:50

    Immer wieder lese ich es und finde das es langsam doch ein ernstes Problem wird.

    Wird es nicht Zeit das man mal die Klartexterei im Speicher lässt?

    read password. hash the password. overwrite readed plain text string. und darüber noch eine Signatur legen um den Betrug auszuschliessen (durch überschreiben des hashes).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Langsam wird das zu einem ernsten Problem

    Autor: pythoneer 10.01.13 - 18:14

    lisgoem8 schrieb:
    --------------------------------------------------------------------------------
    > Immer wieder lese ich es und finde das es langsam doch ein ernstes Problem
    > wird.
    >
    > Wird es nicht Zeit das man mal die Klartexterei im Speicher lässt?
    >
    > read password. hash the password. overwrite readed plain text string. und
    > darüber noch eine Signatur legen um den Betrug auszuschliessen (durch
    > überschreiben des hashes).

    Wie stellst du dir das vor? Ich kann es mir gerade nicht vorstellen. Das müsste doch Hardwareseitig irgendwie gelöst werden, oder der Kernel erlaubt lesen aus einem bestimmten Bereich des RAMs nicht, der nur für solche Passwörter bereit gehalten wird – vielleicht auch durchs BS verschlüsselt, wo sich die Frage stellt, wo man diesen Schlüsseln dann wieder speichern soll ??

    Weil mit einem Hash kann man nicht allzu viel anfangen. Mit einem Hash kann ich nur Prüfen ob ein Schlüssel/Passwort gleich also richtig ist. Das hilft mir aber nichts, wenn das Passwort mein Schlüssel ist, mit dem ich entschlüssle, dafür brauche ich den Schlüssel im Klartext im RAM (irgendwann zumindest, vielleicht nur temporär)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Langsam wird das zu einem ernsten Problem

    Autor: Shadow27374 10.01.13 - 19:06

    Stichworte: Tresor und TreVisor.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Langsam wird das zu einem ernsten Problem

    Autor: pythoneer 10.01.13 - 19:15

    Shadow27374 schrieb:
    --------------------------------------------------------------------------------
    > Stichworte: Tresor und TreVisor.

    Oh cool, sagt mir erstmal nix, bin auch in Crypto nicht so bewandert. Ist das sone art Hypervisor? (der Name lässt es vermute) ... ich bin dann mal bei google :)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Langsam wird das zu einem ernsten Problem

    Autor: pythoneer 10.01.13 - 19:42

    Shadow27374 schrieb:
    --------------------------------------------------------------------------------
    > Stichworte: Tresor und TreVisor.

    Vielen dank noch mal! War echt spannend. Wen es interessiert [*]
    Sehr cool das einfach in die Register zu packen, da bin ich erst gar nicht drauf gekommen. Schade dass es so seinen Weg wohl nie in den Linux Kernel (oder OSX/Win)
    finden wird, da es ja einige Register dadurch unbrauchbar macht gerade so Sachen wie VT-x scheint diese wohl zu brauchen (bin es nur überflogen) und das wäre schon ärgerliche für normale Benutzer mit VirtualBox etc.

    [*] http://www1.cs.fau.de/filepool/projects/trevisor/trevisor.pdf

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Langsam wird das zu einem ernsten Problem

    Autor: Vanger 10.01.13 - 22:56

    Man sollte anmerken, dass konzeptbedingt eine Verschlüsselung *niemals* absolut sicher sein kann wenn physischer Zugang zur Hardware besteht. Die Bits müssen nunmal irgendwo liegen - und an diese Bits kommt man immer auch ran, sonst könnte sie das System ja nicht lesen. Das wurde im Vortrag beim 28C3 zu Tresor auch klar gesagt: Selbstverständlich kann man auch gegen die Register der CPU einen Angriff fahren und dadurch den Schlüssel extrahieren. Physikalisch spricht da rein gar nichts gegen. Es ist nur schwieriger als beim RAM. Verschlüsselung ist immer ein Wettrüsten - das sollte jedem klar sein.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige
  1. Support Engineer (m/w)
    inatec Solutions GmbH, Frankfurt am Main
  2. Configuration Manager / Build Engineer (m/w)
    GOM - Gesellschaft für Optische Messtechnik mbH, Braunschweig
  3. Softwareentwickler SPS / Experte (m/w) für elektrische Antriebe
    Schiller Automation GmbH & Co. KG, Sonnenbühl-Genkingen
  4. Technischer Redakteur (m/w)
    Jetter AG, Ludwigsburg

Detailsuche



Spiele-Angebote
  1. Steam Premium Überraschungsspiel
    2,95€
  2. VORBESTELLBAR: Tom Clancy's: The Division [PC Code - Uplay]
    54,45€ - Release 8. März
  3. VORBESTELLBAR: The Heavy Rain and Beyond:Two Souls Collection - [PlayStation 4]
    54,99€ - Release 2. März

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspberry Pi Zero angetestet: Der Bastelrechner für stille, dunkle Ecken
Raspberry Pi Zero angetestet
Der Bastelrechner für stille, dunkle Ecken
  1. Jaguarboard Noch ein Bastelcomputer mit Intel-Chip
  2. Cricetidometer mit Raspberry Pi Ein Schrittzähler für den Hamster
  3. Orange Pi Lite Preis- und Größenkampf der Bastelcomputer

Lumberyard: Amazon krempelt den Spielemarkt um
Lumberyard
Amazon krempelt den Spielemarkt um
  1. Lumberyard Amazon veröffentlicht Engine auf Basis der Cryengine

VBB-Fahrcard: Der Fehler steckt im System
VBB-Fahrcard
Der Fehler steckt im System
  1. VBB-Fahrcard Busse speichern seit mindestens April 2015 Bewegungspunkte
  2. VBB-Fahrcard Berlins elektronische Fahrkarte speichert Bewegungsprofile

  1. NSA-Software: Wozu braucht der Verfassungsschutz XKeyscore?
    NSA-Software
    Wozu braucht der Verfassungsschutz XKeyscore?

    Seit fast drei Jahren testet der Verfassungsschutz die NSA-Spionagesoftware XKeyscore. Ohne Ergebnis. Dabei wollte er das mächtige Überwachungsinstrument einst unbedingt.

  2. Apple: Neues iPhone und neues iPad erscheinen Mitte März
    Apple
    Neues iPhone und neues iPad erscheinen Mitte März

    Mitte März 2016 kommen ein neues iPhone und ein neues iPad auf den Markt. Beide Produkte sollten laut einem Bericht nur wenige Tage nach der Präsentation verfügbar sein. Das wäre eine grundlegende Änderung von Apples bisheriger Strategie.

  3. Austauschprogramm: Apples USB-Typ-C-Kabel macht Probleme
    Austauschprogramm
    Apples USB-Typ-C-Kabel macht Probleme

    Apple tauscht bestimmte USB-Typ-C-Ladekabel aus, weil diese Probleme machen können. Ein Konstruktionsfehler im Kabel sorgt dafür, dass der Akku in einem Macbook nicht oder nur gelegentlich geladen wird.


  1. 14:00

  2. 12:03

  3. 11:03

  4. 10:13

  5. 14:35

  6. 13:25

  7. 12:46

  8. 11:03