Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Inception: System-Login auf…

Langsam wird das zu einem ernsten Problem

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Langsam wird das zu einem ernsten Problem

    Autor: lisgoem8 10.01.13 - 17:50

    Immer wieder lese ich es und finde das es langsam doch ein ernstes Problem wird.

    Wird es nicht Zeit das man mal die Klartexterei im Speicher lässt?

    read password. hash the password. overwrite readed plain text string. und darüber noch eine Signatur legen um den Betrug auszuschliessen (durch überschreiben des hashes).

  2. Re: Langsam wird das zu einem ernsten Problem

    Autor: pythoneer 10.01.13 - 18:14

    lisgoem8 schrieb:
    --------------------------------------------------------------------------------
    > Immer wieder lese ich es und finde das es langsam doch ein ernstes Problem
    > wird.
    >
    > Wird es nicht Zeit das man mal die Klartexterei im Speicher lässt?
    >
    > read password. hash the password. overwrite readed plain text string. und
    > darüber noch eine Signatur legen um den Betrug auszuschliessen (durch
    > überschreiben des hashes).

    Wie stellst du dir das vor? Ich kann es mir gerade nicht vorstellen. Das müsste doch Hardwareseitig irgendwie gelöst werden, oder der Kernel erlaubt lesen aus einem bestimmten Bereich des RAMs nicht, der nur für solche Passwörter bereit gehalten wird – vielleicht auch durchs BS verschlüsselt, wo sich die Frage stellt, wo man diesen Schlüsseln dann wieder speichern soll ??

    Weil mit einem Hash kann man nicht allzu viel anfangen. Mit einem Hash kann ich nur Prüfen ob ein Schlüssel/Passwort gleich also richtig ist. Das hilft mir aber nichts, wenn das Passwort mein Schlüssel ist, mit dem ich entschlüssle, dafür brauche ich den Schlüssel im Klartext im RAM (irgendwann zumindest, vielleicht nur temporär)

  3. Re: Langsam wird das zu einem ernsten Problem

    Autor: Shadow27374 10.01.13 - 19:06

    Stichworte: Tresor und TreVisor.

  4. Re: Langsam wird das zu einem ernsten Problem

    Autor: pythoneer 10.01.13 - 19:15

    Shadow27374 schrieb:
    --------------------------------------------------------------------------------
    > Stichworte: Tresor und TreVisor.

    Oh cool, sagt mir erstmal nix, bin auch in Crypto nicht so bewandert. Ist das sone art Hypervisor? (der Name lässt es vermute) ... ich bin dann mal bei google :)

  5. Re: Langsam wird das zu einem ernsten Problem

    Autor: pythoneer 10.01.13 - 19:42

    Shadow27374 schrieb:
    --------------------------------------------------------------------------------
    > Stichworte: Tresor und TreVisor.

    Vielen dank noch mal! War echt spannend. Wen es interessiert [*]
    Sehr cool das einfach in die Register zu packen, da bin ich erst gar nicht drauf gekommen. Schade dass es so seinen Weg wohl nie in den Linux Kernel (oder OSX/Win)
    finden wird, da es ja einige Register dadurch unbrauchbar macht gerade so Sachen wie VT-x scheint diese wohl zu brauchen (bin es nur überflogen) und das wäre schon ärgerliche für normale Benutzer mit VirtualBox etc.

    [*] http://www1.cs.fau.de/filepool/projects/trevisor/trevisor.pdf

  6. Re: Langsam wird das zu einem ernsten Problem

    Autor: Vanger 10.01.13 - 22:56

    Man sollte anmerken, dass konzeptbedingt eine Verschlüsselung *niemals* absolut sicher sein kann wenn physischer Zugang zur Hardware besteht. Die Bits müssen nunmal irgendwo liegen - und an diese Bits kommt man immer auch ran, sonst könnte sie das System ja nicht lesen. Das wurde im Vortrag beim 28C3 zu Tresor auch klar gesagt: Selbstverständlich kann man auch gegen die Register der CPU einen Angriff fahren und dadurch den Schlüssel extrahieren. Physikalisch spricht da rein gar nichts gegen. Es ist nur schwieriger als beim RAM. Verschlüsselung ist immer ein Wettrüsten - das sollte jedem klar sein.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Bosch Service Solutions Magdeburg GmbH, Berlin, Magdeburg
  2. Flottweg SE, Vilsbiburg Raum Landshut
  3. Zurich Gruppe Deutschland, Bonn
  4. ENERCON GmbH, Aurich, Bremen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 21,99€
  2. 9,99€
  3. 8,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  2. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  3. Kreditrating Equifax' Krisenreaktion ist ein Desaster

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

  1. Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
    Bundestagswahl 2017
    Viagra, Datenbankpasswörter und uralte Sicherheitslücken

    Die CDU nutzt ein uraltes Content-Management-System für eine simple Weiterleitung, die SPD gibt Datenbankpasswörter preis, im Grünen CMS sind IPs von Webseitenbesuchern offen einsehbar, Ortsvereine von SPD und FDP werben für Viagra. Um die Sicherheit der Parteien-Webseiten steht es schlecht.

  2. Auto: Tesla will eigene Hardware für seine autonom fahrenden Autos
    Auto
    Tesla will eigene Hardware für seine autonom fahrenden Autos

    Keine Prozessoren mehr von Nvidia: Tesla will die Hardware für seine autonom fahrenden Autos selbst entwickeln. Intel hat bekanntgegeben, dass es seit Jahren mit Waymo zusammenarbeitet.

  3. Pipewire: Fedora bekommt neues Multimedia-Framework
    Pipewire
    Fedora bekommt neues Multimedia-Framework

    Das neue Framework Pipewire kümmert sich unter Linux um Multimedia-Inhalte, bringt Wayland- und Flatpak-Support mit und steckt bereits in der Vorabversion von Fedora 27. Künftig könnte es sogar Pulseaudio ablösen - zumindest in Teilen.


  1. 12:05

  2. 12:02

  3. 11:58

  4. 11:36

  5. 11:21

  6. 11:06

  7. 10:03

  8. 10:00