Loading Profile...
Transfers des Verschluesselungs-keys auf andere Computer
Üermittlung des Crypt-Passwort auf andere Computer:
Ich habe wuala zwischenzeitlich auf drei Rechnern laufen. Etwas ist mir dabei aufgefallen: Mit der Neuinstallation von Wuala auf einem zweiten Rechner und der Anmeldung mit meinem Nick/Pw hatte ich sofort und ohne merkbare Verzöung Zugriff auf meine Daten. So soll es ja sein...
Andererseits heisst es in der FAQ, der Verschlüngs-keys bleibt nur lokal auf meinem Rechner. Das müdoch der Rechner sein, auf dem ich wuala erstmals installierte... Wie sind denn nun die beiden andern rechner an meinen privaten Key gekommen? Holen die sich den im Moment der Anmeldung vom "ersten" rechner? Wenn ja - lät das verschlü? Und was, wenn der in dem Moment gerade offline ist?
... Das ist ja auch Interessant im Hinblick auf ein zukües Web-Interface..
Falls das schon irgendwo dokumentiert ist, wie das lät, schreibt doch bitte kurz den link. :D
merzi.
Ich habe wuala zwischenzeitlich auf drei Rechnern laufen. Etwas ist mir dabei aufgefallen: Mit der Neuinstallation von Wuala auf einem zweiten Rechner und der Anmeldung mit meinem Nick/Pw hatte ich sofort und ohne merkbare Verzöung Zugriff auf meine Daten. So soll es ja sein...
Andererseits heisst es in der FAQ, der Verschlüngs-keys bleibt nur lokal auf meinem Rechner. Das müdoch der Rechner sein, auf dem ich wuala erstmals installierte... Wie sind denn nun die beiden andern rechner an meinen privaten Key gekommen? Holen die sich den im Moment der Anmeldung vom "ersten" rechner? Wenn ja - lät das verschlü? Und was, wenn der in dem Moment gerade offline ist?
... Das ist ja auch Interessant im Hinblick auf ein zukües Web-Interface..
Falls das schon irgendwo dokumentiert ist, wie das lät, schreibt doch bitte kurz den link. :D
merzi.
I’m undecided
1 person has this question
I have this question, too!
Tell me when someone answers.
The more people who ask this question, the more it gets noticed.
The more people who ask this question, the more it gets noticed.
The best answer from the company
-
Genau, der private master-key wird aus Benutzername und Passwort generiert (dh wenn zwei Benutzer dasselbe Passwort wäen, haben Sie trotzdem einen unterschiedlichen key). Um den key aus Name und Passwort zu generieren, hashen wir 100'000 mal mit SHA-256, so dass es auch auf einem langsamen Computer schnell hergeleitet werden kann, aber es doch recht teuer ist, viele Passwör durchzuprobieren. Fü Sicherheit hat das einen älichen Effekt, wie wenn man ein läeres Passwort gewät häe, dh ein Angriff wird aufwäiger.
3 people say
this answers the question
-
Inappropriate?Ich nehme mal an, du generierst mit deinem Passwort einen Key der deine Daten entschlü kann oder bekommst eben nach erfolgter Authentifizierung vom Server deinen private-Key geliefert (wobei ich eher vom Paswort ausgehe)
Ich hoffe doch, dass der echte Key dann etwas stäer als ein reiner SHA-256 Hash des Passwortes ist, aber näres wirst du wohl eher üie veröntlichen Dokumente (Stichwort Cryptree) finden - schau mal in Wuala bei Dominik oder Luzius vorbei, ich glaube einer der beiden hatte da die Dokumente freigegeben.
2 people say
this answers the question
-
Inappropriate?huh ja - danke. Bei Luzius liegt das paper rum. Aber, aehm, eine zehnseitige wissenschaftliche Abhandlung in englisch ist mir dann fast zuviel Antwort auf meine Frage. Etwas weniger wä mir eigentlich lieber.
I’m happy
-
Inappropriate?Genau, der private master-key wird aus Benutzername und Passwort generiert (dh wenn zwei Benutzer dasselbe Passwort wäen, haben Sie trotzdem einen unterschiedlichen key). Um den key aus Name und Passwort zu generieren, hashen wir 100'000 mal mit SHA-256, so dass es auch auf einem langsamen Computer schnell hergeleitet werden kann, aber es doch recht teuer ist, viele Passwör durchzuprobieren. Fü Sicherheit hat das einen älichen Effekt, wie wenn man ein läeres Passwort gewät häe, dh ein Angriff wird aufwäiger.
3 people say
this answers the question
-
Inappropriate?Ich hoffe doch ihr verwendet auch Salt, Rainbowtables dües egal sein ob der Hashwert jetzt 100000mal berechnet wurde oder nicht, man braucht den Aufwand nur ein einziges Mal!
Edit: oder dient einfach der Nutzername quasi als Salt da dann 2 Passwör nicht den gleichen Hashwert als Key ausspucken? -
Inappropriate?Ja, der Benutzername dient als salt und da jeder Benutzername einmalig ist, ist Wuala auch gefeit vor Rainbowtables.
-
EMPLOYEE
