Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

kwallet kann durch 2 versch. Passwörter geöffnet werden!!

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Benutzeravatar
Linuxler
Member
Member
Beiträge: 135
Registriert: 13. Aug 2005, 20:37

kwallet kann durch 2 versch. Passwörter geöffnet werden!!

Beitrag von Linuxler » 4. Feb 2011, 22:44

Ich bin ziemlich ratlos und auch leicht geschockt ob des folgenden:
Zum Öffnen einer kwallet-Brieftasche braucht es in der Regel das Passwort. Aber bei mir, nun, da funktionieren 2 Passwörter! und zwar reproduzierbar. Ich verwende normalerweise komplexe Passwörter (je nach Bedarf) und um sie noch zu verstärken, verdopple ich sie oft.

Der Witz ist nun, dass ich bei der Erstellung der Brieftasche das verdoppelte Passwort verwendet habe, jetzt aber auch das einfache funktioniert, also beispielsweise:
wwwzwwwz ;vergeben bei der Erstellung der Brieftasche

funktionieren tut:
wwwzwwwz

aber auch das:
wwwz

Da stimmt doch was nicht!?

Werbung:
Benutzeravatar
longman
Advanced Hacker
Advanced Hacker
Beiträge: 866
Registriert: 22. Apr 2004, 19:01
Wohnort: zuhause

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von longman » 5. Feb 2011, 01:49

Das kann ich mir nur entweder wirklich mit einem Bug erklären, oder
Du hast sehr lange Kennwörter und es werden nur die ersten x-Zeichen überprüft,
die ja dann identisch wären, vorrausgesetzt das "halbe" Kennwort ist bereits >= der überprüften Zeichenanzahl.

Ich benutze seit der letzten Neuinstallation bislang noch kein wallet, werde aber jetzt spasseshalber mal testen.
Vielleicht bis später....
Tschüss bis neulich,
Gruss Burkhard aka longman
- This System is MS free and works fine -


Linupedia - Wiki des Linux Club | NICHT LESEN! AUF GAR KEINEN FALL! NIEMALS NICHT!

Benutzeravatar
longman
Advanced Hacker
Advanced Hacker
Beiträge: 866
Registriert: 22. Apr 2004, 19:01
Wohnort: zuhause

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von longman » 5. Feb 2011, 01:57

Nö, ich habe ein 4,12 und 28 stelliges "Doppelpasswort" probiert
und habe bei Eingabe der Hälfte immer einen Kennwortfehler erhalten.

Hier läuft es also.

Kernel: Linux 2.6.34.7-0.7-desktop i686
Distribution: openSUSE 11.3 (i586)
KDE: 4.4.4 (KDE 4.4.4) "release 3"

Sorry, kann Dir nicht helfen...
Tschüss bis neulich,
Gruss Burkhard aka longman
- This System is MS free and works fine -


Linupedia - Wiki des Linux Club | NICHT LESEN! AUF GAR KEINEN FALL! NIEMALS NICHT!

Benutzeravatar
Linuxler
Member
Member
Beiträge: 135
Registriert: 13. Aug 2005, 20:37

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von Linuxler » 5. Feb 2011, 07:14

dann erstell mal eine Brieftasche mit etwa folgendem Passwort:

12345678901234561234567890123456

bei mir kann diese Brieftasche dann mit folgendem Passwort geöffnet werden:

1234567890123456

also mit der Hälfte kann die Brieftasche geöffnet werden. Reproduzierbar. Das funktioniert, wenn das einfache Passwort 16 Stellen hat (und das doppelte dann 32), bei 15 oder 17 Stellen passiert das nicht mehr.

Benutzeravatar
Jägerschlürfer
Moderator
Moderator
Beiträge: 4494
Registriert: 1. Jul 2005, 12:22
Wohnort: nahe Würzburg

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von Jägerschlürfer » 5. Feb 2011, 09:04

welche Version von kwallet läuft denn bei dir, Linuxler?
>Linux-Club Foren FAQ< >LC-Wiki<

Know your enemy and know yourself Sun Tzu

Benutzeravatar
/dev/null
Moderator
Moderator
Beiträge: 1315
Registriert: 4. Sep 2005, 20:02
Wohnort: in Hengasch

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von /dev/null » 5. Feb 2011, 09:38

Also, ich kann das Verhalten voll bestätigen!
Habe genau mit dem von Linuxler beschriebenen Passwörtern getestet.
Version 1.6

Jetzt liegt es an uns,
- die Dokumentation von kwallet zu durchforsten, wie dort das PW gespeichert wird (Hash?), wie groß ein PW sein darf, usw.
- eine Betrachtung anzustellen, wie hoch das "Risiko" ist, wenn ein PW zum Bsp. "nur" 16 Stellen (!) hat. (=> kalkulierbares Restrisiko!)

NB: Es bewahrheitet sich wieder einmal die alte Regel, dass einem kryptologischen Verfahren nur vertraut werden darf, wenn man sich selbst (*) von der Funktion und vor allem der sauberen Implementierung der Algorithmen überzeugt hat.
(*) Oder natürlich eine vertrauneswürdeige Stelle, denn wer kann das schon selbst ... .

Ich hätte zum Beispiel überhaupt kein Problem, wenn das PW nach 16 Stellen gekappt wird.

MfG Peter
openSuSE Tumbleweed, Kernel 5.2.x.-desktop x86_64, KDE, Thunderbird 60.8.x
PC: Intel ® Core ™ i5- 2500, NB: TUXEDO Intel ® Core ™ i5- 4340M
S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
Schau hier: http://www.thunderbird-mail.de

Benutzeravatar
longman
Advanced Hacker
Advanced Hacker
Beiträge: 866
Registriert: 22. Apr 2004, 19:01
Wohnort: zuhause

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von longman » 5. Feb 2011, 15:51

Linuxler hat geschrieben:dann erstell mal eine Brieftasche mit etwa folgendem Passwort:

12345678901234561234567890123456

bei mir kann diese Brieftasche dann mit folgendem Passwort geöffnet werden:

1234567890123456

also mit der Hälfte kann die Brieftasche geöffnet werden. Reproduzierbar. Das funktioniert, wenn das einfache Passwort 16 Stellen hat (und das doppelte dann 32), bei 15 oder 17 Stellen passiert das nicht mehr.
Das würde ja genau meine Vermutung von oben bestätigen
(ich war beim Test mit 14Zeichen ja dicht dran :-).
Bei einer nutzbaren PW-Länge von 16 Zeichen ist das heute auch ausreichend sicher,
falls ein genügend großer Zeichenbereich genutzt wird. Das testkennwort ist allerdings so schwach,
dass die doppelte Anzahl dann auch nicht hilft. Dann lieber sowas: "D@s1stku"rzer"

Siehe hier:
https://passwortcheck.datenschutz.ch/check.php?lang=de
Tschüss bis neulich,
Gruss Burkhard aka longman
- This System is MS free and works fine -


Linupedia - Wiki des Linux Club | NICHT LESEN! AUF GAR KEINEN FALL! NIEMALS NICHT!

Benutzeravatar
/dev/null
Moderator
Moderator
Beiträge: 1315
Registriert: 4. Sep 2005, 20:02
Wohnort: in Hengasch

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von /dev/null » 5. Feb 2011, 18:17

Ich habe zwar noch keine Lust gehabt, nach den Beschreibungen zu suchen (*), aber trotzdem ein wenig probiert.

gespeichertes PW: 1234567890123456aaaaaaaaaa
eingegebenes PW: 1234567890123456

==> klappt nicht.
Also ist es auch nicht einfach ein Kappen nach 16 Stellen bei der PW-Vergabe.

Und selbst wenn, ein PW mit 16 Stellen und entsprechendem Zeichenvorrat reicht (mir) allemal. Zumal es DAS Passwort ist, welches sich MENSCH merken und immer wieder eingeben muss. (Und dann handelt es sich ja auch um den Geheimhaltungsgrad "pillepalle" ... )

(*) Habe doch noch gesucht: hier ist einer.
Wie ich vorher schon wusste, wird BF als symm. Algorithmus und SH1 für den Hash verwendet.
Jetzt wird "nur noch" jemand gesucht, der Englisch wie seine Muttersprache liest. Mir macht das, gerade am Wochenende, zu viel Mühe, und auch der WAF wäre nicht optimal ... .


MfG Peter
openSuSE Tumbleweed, Kernel 5.2.x.-desktop x86_64, KDE, Thunderbird 60.8.x
PC: Intel ® Core ™ i5- 2500, NB: TUXEDO Intel ® Core ™ i5- 4340M
S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
Schau hier: http://www.thunderbird-mail.de

Benutzeravatar
P6CNAT
Advanced Hacker
Advanced Hacker
Beiträge: 1030
Registriert: 24. Jul 2006, 14:26
Wohnort: Mainhausen

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von P6CNAT » 5. Feb 2011, 23:20

Hi,

ich bitte um Nachsicht, aber ich mag die 6 Seiten jetzt nicht komplett abschreiben.
Das steht eine Menge allgemeines Zeug über das warum und wozu von Kwallet und seine Einbindung in KDE.

Zur Verschlüsselung steht im Absatz 3 eine wortreiche Umschreibung für diese Zusammenfassung:

"16 fache Blowfish in CBC modus mit variabler Schlüssellänge und einem initialen Block Zufall Vektor"
und
"SHA-1 hashing der Passphrase und hashing der Nutzdaten zum Zweck der Datenintegrität"

Meine Kenntnisse in Kryptografie reichen aber nicht, die Bedeutung zu erklären. Von maximaler Passwortlänge steht da nix.

Gruß
Georg
openSUSE Leap 15.1 64 Bit
KDE-Plasma 5.55
CPU: AMD A8-5500 mit integrierter GPU Typ AMD Radeon HD 7560D

Benutzeravatar
Linuxler
Member
Member
Beiträge: 135
Registriert: 13. Aug 2005, 20:37

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von Linuxler » 6. Feb 2011, 10:42

Klar kann ein 16-stelliges Passwort genug sein, ich verwende aus Gewohnheit eben längere. Aber darum geht es nicht. Es geht um das Prinzip: Es sollte nicht sein, dass bei einer sicherheitsrelevanten Anwendung derartige Fehler drin sind, ich glaube, darin dürften wir uns alle einig sein.

Benutzeravatar
Geier0815
Administrator
Administrator
Beiträge: 4349
Registriert: 14. Jun 2004, 09:12

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von Geier0815 » 6. Feb 2011, 10:44

Das Ganze würde ich als bugreport bei KDE abladen, denn das ist ein Fehler egal was und wie die Jungs da verschlüsseln.
Wenn Windows die Lösung ist...
kann ich dann bitte das Problem zurück haben?

Benutzeravatar
Linuxler
Member
Member
Beiträge: 135
Registriert: 13. Aug 2005, 20:37

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von Linuxler » 7. Feb 2011, 23:19

ich werde mal das Passwort wechseln. Bezüglich Bugreport: ich habe die Liste der Bugs durchgesehen, mein Problem scheint dort noch nicht aufzuscheinen, soweit ich das mit meinen Englischkenntnissen verstanden habe. Deswegen meine Frage:

Hat jemand von euch dort schon einen Account und die entsprechenden Englischkenntnisse, um den Bug dort zu melden?

Benutzeravatar
P6CNAT
Advanced Hacker
Advanced Hacker
Beiträge: 1030
Registriert: 24. Jul 2006, 14:26
Wohnort: Mainhausen

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von P6CNAT » 9. Feb 2011, 20:33

Hi,

ich habe einen Account, der Bug ist noch nicht gemeldet und werde einen Bugreport aufmachen. Allerdings brauche ich dafür präzise Angaben zu:

Linux Version: ?
Application Version: ?
KDE Version: ?
Software Distribution Method: ? ich vermute mal OpenSuse RPM's

Dann wollen die noch folgende Fragen beantwortet haben.

Summary: kwallet can be accessed with two different passwords
Details: ?
Steps to Reproduce: ?
Actual Results: ?
Expected Results: Should accept only one password
Additional Information: ?

Gruß
Georg
openSUSE Leap 15.1 64 Bit
KDE-Plasma 5.55
CPU: AMD A8-5500 mit integrierter GPU Typ AMD Radeon HD 7560D

Benutzeravatar
Linuxler
Member
Member
Beiträge: 135
Registriert: 13. Aug 2005, 20:37

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von Linuxler » 11. Feb 2011, 23:48

P6CNAT hat geschrieben:
Linux Version: Linux 2.6.34.7-0.7-desktop i686 (Suse 11.3)
Application Version: kwallet 1.5
KDE Version: 4.4.4 (KDE 4.4.4) "release 3"
Software Distribution Method: ? ich vermute mal OpenSuse RPM's ; ja

Dann wollen die noch folgende Fragen beantwortet haben.

Summary: kwallet can be accessed with two different passwords
Details: Wird eine Brieftasche mit einem 32stelligem Passwort erstellt, welches sich aus zwei identischen 16stelligen Passwörtern zusammensetzt, kann die Brieftasche auch nur mit dem 16stelligem Passwort geöffnet werden.
Steps to Reproduce: eine Brieftasche z.B. mit dem Passwort: 12345678901234561234567890123456 (32 Stellen) erstellen. Die Brieftasche kann dann auch mit den ersten 16 Stellen geöffnet werden, also: 1234567890123456 (16 Stellen).
Actual Results: ?
Expected Results: Should accept only one password
Additional Information: ?
Bei der Übersetzung ins Englische muss ich passen. Ich hoffe, dass ich zumindest die Sache auf Deutsch einigermaßen hingekriegt habe.

Benutzeravatar
P6CNAT
Advanced Hacker
Advanced Hacker
Beiträge: 1030
Registriert: 24. Jul 2006, 14:26
Wohnort: Mainhausen

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von P6CNAT » 12. Feb 2011, 15:42

Hi Linuxler,

Danke für die Daten, ich habe den Bug gemeldet. Wer es nachverfolgen will kann das hier tun.

Bugreport

Es könnte sein, dass die noch irgendwelche zusätzlichen Fragen stellen. Dann bräuchte ich nochmal deine Unterstützung.

Gruß
Georg
openSUSE Leap 15.1 64 Bit
KDE-Plasma 5.55
CPU: AMD A8-5500 mit integrierter GPU Typ AMD Radeon HD 7560D

Benutzeravatar
Linuxler
Member
Member
Beiträge: 135
Registriert: 13. Aug 2005, 20:37

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von Linuxler » 14. Feb 2011, 14:50

Super. Für ev. Fragen: nur her damit, vielleicht kann ich sie ja beantworten :)

Benutzeravatar
P6CNAT
Advanced Hacker
Advanced Hacker
Beiträge: 1030
Registriert: 24. Jul 2006, 14:26
Wohnort: Mainhausen

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von P6CNAT » 14. Feb 2011, 20:41

Hi,

immerhin wurde der Bug bei der ersten Begutachtung als schwerwiegendes Sicherheitsproblem beurteilt!
Hatte ich so rasch und konsequent nicht erwartet. 16stellige Passworte sind schon länger als üblicherweise verwendet werden.
I can confirm this using KWallet 1.7 in KDE 4.6, changing severity to major.
Seems to be a security issue.
Hut ab, vor Linuxlers Aufmerksamkeit und den KDE Entwicklern :thumbs:. Bin mal gespannt wie das weiter geht.

Gruß
Georg
openSUSE Leap 15.1 64 Bit
KDE-Plasma 5.55
CPU: AMD A8-5500 mit integrierter GPU Typ AMD Radeon HD 7560D

Benutzeravatar
tomm.fa
Moderator
Moderator
Beiträge: 5333
Registriert: 21. Jan 2006, 17:18
Wohnort: OWL - Kreis Gütersloh
Kontaktdaten:

Re: kwallet kann durch 2 versch. Passwörter geöffnet werden!

Beitrag von tomm.fa » 14. Feb 2011, 21:28

Ich habe das Thema dann mal als wichtig markiert und festgenagelt. Bitte macht weiter so (u.a. mit eurem guten Zusammenspiel). :thumbs:
Linupedia - Wiki des Linux-Club.
Keine Unterstützung/Hilfestellung per PN!

Antworten