Hallo,
Mich würde interessieren wie der Thunderbird die Passwörter verschlüsselt.
Die Passwörter mit denen ich auf meine Konten zugreife sind in signons.sqlite gespeichert.
Wenn ich diese Öffne stehen sie jedoch nicht im Klartext dort.
Wie sind die da verschlüsselt? Um sie dem Server zu senden, muss er sie ja wieder entschlüsseln.
Und was passiert wenn ich ein Masterpasswort verwende?
Auch da müssen sie ja noch entschlüsselbar bleiben ...
Hallo LAndrov,
als ich mich das letzte mal durch die umfangreiche englische Dokumentation gequält habe, fand ich dort, dass die Verschlüsselung der (damals noch) in der signons.txt gespeicherten Passwörter mit dem symmetrischen Verfahren 3DES erfolgt. Ich gehe davon aus, dass die Entwickler dieses Verfahren weiterhin verwenden oder evtl. auch auf ein moderneres Verfahren umgestiegen sind, wofür es aber eigentlich keinen Grund gibt.
3DES ist zwar ein sehr altes, aber in all den Jahrzehnten nie kryptologisch gebrochenes Verfahren. Du kannst also davon ausgehen, dass diese in dem mit einem guten Masterpasswort geschützten PW-Manager ausreichend sicher gespeichert werden.
Aus dem Masterpasswort wird dann, wie bei solchen Anwendungen üblich, der Schlüssel für das symmetrische Verfahren abgeleitet, welcher dann natürlich auch lokal gespeichert sein muss. Aus dieser Ableitung (Hashwert) kann nur mit einem enorm großen Aufwand das verwendete und einzugebende Passwort zurückgerechnet werden.
Nach dem Öffnen des PW-Managers bleiben die Konten-PW bis zum Beenden des Programms unverschlüsselt verfügbar. Ich vermute (!), dass sie dazu im RAM gecached werden, wie in solchen Fällen üblich. Auch das steht in der Security-Dokumentation der Mozilla-Produkte, aber das habe ich mich mit meinen beschränkten Englischkenntissen nicht mehr durchgearbeitet.
HTH
MfG Peter
Hallo Peter,
eine ergänzende Frage dazu:
Die meisten Mailserver unterstützen ja keine verschlüsselten Passwörter.
Wenn aber die Mail mit SSL verschlüsselt wird, ist das Passwort auch dann vor dem Ausspähen Dritter geschützt?
Danke und Gruß
Hallo LAndrov,
gespeicherten Passwörter mit dem symmetrischen Verfahren 3DES erfolgt.
...
mit einem guten Masterpasswort geschützten PW-Manager ausreichend sicher gespeichert werden.
Aus dem Masterpasswort wird dann, wie bei solchen Anwendungen üblich, der Schlüssel für das symmetrische Verfahren abgeleitet,
So vom Prinzip hab ich mir das ich vorgestellt/ gedacht.
Mein "Problem" ist aber, es sind die Passwörter ja auch ohne Masterpasswort schon verschlüsselt ...
Nur mit welchem Key? Ist da ein Fix eingebauter Schlüssel?
...
als ich mich das letzte mal durch die umfangreiche englische Dokumentation gequält habe, fand ich dort,
Wie/ Wo setzt man bei sowas generell an?
Ich meine jetzt das Dok lesen/ durchstöbern im allgemeinen,
habe dazu überhaupt keine Erfahrung bei solchen Opensource Projekten ....
Hallo Peter,
eine ergänzende Frage dazu:
Die meisten Mailserver unterstützen ja keine verschlüsselten Passwörter.
Wenn aber die Mail mit SSL verschlüsselt wird, ist das Passwort auch dann vor dem Ausspähen Dritter geschützt?Danke und Gruß
Das musst du nochmal erläutern.
SSL sicher die gesamte Verbindung zum Server, da werden die Passwörter erst nach dem gesicherten Verbindungsaufbau übertragen.
Guten Morgen!
@LAndrov:
Womit hast du in welcher Datei gesucht?
Mit einem sqlite-Browser in der signons.sqlite?
Ich habe meine Suche damals gemacht, als die PW noch in der signons.txt gespeichert wurden. Da konnte man den Unterschied schön sehen. Eine Verschlüsselung lag im "geöffneten" Zustand nicht vor. Eine Codierung von nicht-ASCII-Zeichen nach einem standardisierten Verfahren kann ich mir schon vorstellen, auch in der .sqlite. Aber das ist ja keine Verschlüsselung.
Wie ich das gefunden habe?
Nun, in kryptologischen Dingen will ich nicht glauben, sondern wissen. Also habe ich lange danach gegooglet. Ich habe dann in den Tiefen der Mozillaserver gesucht und gefunden. Einen einzigen Link habe ich zufällig gespeichert, auch wenn er das eigentliche Thema nur streift:
http://kb.mozillazine.org/Secure_connections_-_Thunderbird
mrb:
Sorry für meine späte Antwort. Ich hatte deine Frage auf Arbeit kurz vor Feierabend gesehen, und wollte zu Hause antworten ... .
Ja, es ist so, wie LAndrov schon geschrieben hat: Nach dem Aushandeln der gesicherten Verbindung werden die Anmeldedaten übertragen.
Ich sags mal so, wie ich es sehe: Der Schutz der Anmeldedaten ist der IMHO einzige Sinn der gesicherten Verbindung zum Server. Die Mail liegt bei deinem eigenen Provider wieder unverschlüsselt vor, und wie es von dort weiter geht kannst du weder wissen noch beeinflussen. ("Wolfgangs Beamte die ihm das Internet ausdrucken", müssen doch zugreifen können ... .)
MfG Peter
