Avatar von MetaCircularEvaluator
  • MetaCircularEvaluator

mehr als 1000 Beiträge seit 20.03.2015

Re: Schöner Artikel

Andre Truth schrieb am 12.01.2021 08:54:

Ebenfalls schön ausgedrückt, das sehe ich ähnlich.

Wie hier in einem anderen Kommentar auch bereits erwähnt wurde, gerade in diesem Bereich ist es aus reiner (Anwendungs-) Entwicklungssicht auch gar nicht verkehrt bzw. eher sicherer, etablierte Bibliotheken oder Frameworks zu verwenden (bspw. GnuPG, OpenSSL, JCE, Bouncy Castle usw. usf...), anstatt hier jedes Mal das Rad neu zu erfinden, finde ich auch.

Natürlich werden auch bei diesen immer mal wieder Sicherheitslücken gefunden bzw. aufgedeckt, aber die deshalb zu verteufeln, fände ich schon ein wenig anmaßend.

Wie bitte? Wer auch nur daran denkt Crypto selbst zu implementieren gehört fristlos gefeuert.

Etablierte Libs herzunehmen ist nicht "nice to have", das ist Regel Nummer 1!

Es ist doch durchaus sinnvoll, anhand derartiger Artikel wie diesem hier einen möglichst kompakten Einstieg zu erhalten, eben bspw. für ganz banale Themen à la:

Nein. Halbwissen ist hier noch viel gefährlicher als Nichtwissen!

Vor allem wenn dann noch solche Brüller kommen:

>Tatsächlich braucht man für ein anschauliches Verständnis von Kryptografie nicht mehr als in diesem Artikel beschrieben: Alle weiteren Ansätze basieren letztlich auf den hier vorgestellten Bausteinen und deren Kombination. Das ist beruhigend, denn wer verstanden hat, wie die Algorithmen konzeptionell funktionieren und weiß, welches Verfahren wofür geeignet ist, hat eine gute Ausgangsbasis, um Kryptografie zielgerichtet und passend einzusetzen.

Weiß man, dass hier jemand aktiv Schaden anrichtet. Das ist wie einem Kind ein Feuerzeug in die Hand zu drücken, und ihm zu sagen, es solle nichts anzünden...

- Passwörter (ggf. inklusive Benutzer) für "System-Accounts" z.B. per AES symmetrisch verschlüsselt in Konfigurations-Dateien abzulegen (und hier vorzugsweise mindestens mit 256-Bit-Schlüssel anstatt 128, vom unsicheren DES ganz zu schweigen) anstatt im Klartext

Nein. Man würde für so was zu asymmetrischer Crypto greifen.

So wird es jedenfalls von den spezialisierten Tools die es für so etwas gibt implemenetiert.

- Benutzer-Passwörter zu Anwendungs-Accounts bspw. besser per gesalzenem SHA-512-Hash (da SHA-1 oder erst recht MD5 "gebrochen" sind) in einer DB halten

Nein, ja nicht!

Passwörter müssen mit speziell dafür gemachten Verfahren gehashed werden! Argon2 oder Bcrypt z. B.

- Kommunikation über asymmetrische Public-Private-Key-Verfahren absichern (TLS/SSL etc.)

So auch nicht...

Erstens ist SSL seit vielen Jahren tot. Wer den Begriff nutzt weiß nicht von was er redet.

TLS, der Nachfolger, ist aber nicht einfach nur asymmetrische Crypto. Das ist ein ganzer und höchst komplexer Protokollstapel.

Die eigentliche Kommunikation wird dabei natürlich über symetische Crypto gemacht...

Jetzt mal ohne Anspruch auf Vollständigkeit bzw. der Weisheit letzter Schluss als ganz naive Übersicht, um sich so ein wenig zurechtzulegen, was man an welcher Stelle womöglich verwenden bzw. beachten könnte oder sollte - bitte zerfleischt mich nicht, wenn das jetzt eine extrem oberflächliche Sichtweise war.

Sorry, aber das jetzt hat sich angeboten um zu zeigen, dass Halbwissen extrem gefährlich ist. :-D

Die Regel ist: Entweder man versteht Crypto wirklich, oder man lässt tunlichst die Finger davon.

- "Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren" (http://heise.de/-3221002)

Das hier sieht gut aus. Wobei eine moderne Crypto Lib einem genau diese Entscheidungen abnehmen wird, und einfach alles so macht wie da beschrieben, ohne das man darüber nachdenken muss.

Oder auch schon mehr "produktspezifisch" als ein Beispiel:
- "CogniCrypt: Kryptografie richtig nutzen" (https://heise.de/-4211551)

Sieht wie Symptombekämpfung aus. Auch exklusiv für Eclipse, wird also nicht besonders verbreitet sein.

So ein Tool sollte aber komplett überflüssig sein, weil wie gesagt moderne Libs einem jede Entscheidungsfreiheit abnehmen, damit man wirklich nichts falsch machen kann.

Das Posting wurde vom Benutzer editiert (13.01.2021 19:46).

Bewerten
- +