• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

kwallet kann durch 2 versch. Passwörter geöffnet werden!!

L

Linuxler

Member
Ich bin ziemlich ratlos und auch leicht geschockt ob des folgenden:
Zum Öffnen einer kwallet-Brieftasche braucht es in der Regel das Passwort. Aber bei mir, nun, da funktionieren 2 Passwörter! und zwar reproduzierbar. Ich verwende normalerweise komplexe Passwörter (je nach Bedarf) und um sie noch zu verstärken, verdopple ich sie oft.

Der Witz ist nun, dass ich bei der Erstellung der Brieftasche das verdoppelte Passwort verwendet habe, jetzt aber auch das einfache funktioniert, also beispielsweise:
wwwzwwwz ;vergeben bei der Erstellung der Brieftasche

funktionieren tut:
wwwzwwwz

aber auch das:
wwwz

Da stimmt doch was nicht!?
 
longman

longman

Advanced Hacker
Das kann ich mir nur entweder wirklich mit einem Bug erklären, oder
Du hast sehr lange Kennwörter und es werden nur die ersten x-Zeichen überprüft,
die ja dann identisch wären, vorrausgesetzt das "halbe" Kennwort ist bereits >= der überprüften Zeichenanzahl.

Ich benutze seit der letzten Neuinstallation bislang noch kein wallet, werde aber jetzt spasseshalber mal testen.
Vielleicht bis später....
 
longman

longman

Advanced Hacker
Nö, ich habe ein 4,12 und 28 stelliges "Doppelpasswort" probiert
und habe bei Eingabe der Hälfte immer einen Kennwortfehler erhalten.

Hier läuft es also.

Kernel: Linux 2.6.34.7-0.7-desktop i686
Distribution: openSUSE 11.3 (i586)
KDE: 4.4.4 (KDE 4.4.4) "release 3"

Sorry, kann Dir nicht helfen...
 
OP
L

Linuxler

Member
dann erstell mal eine Brieftasche mit etwa folgendem Passwort:

12345678901234561234567890123456

bei mir kann diese Brieftasche dann mit folgendem Passwort geöffnet werden:

1234567890123456

also mit der Hälfte kann die Brieftasche geöffnet werden. Reproduzierbar. Das funktioniert, wenn das einfache Passwort 16 Stellen hat (und das doppelte dann 32), bei 15 oder 17 Stellen passiert das nicht mehr.
 
/dev/null

/dev/null

Moderator
Teammitglied
Also, ich kann das Verhalten voll bestätigen!
Habe genau mit dem von Linuxler beschriebenen Passwörtern getestet.
Version 1.6

Jetzt liegt es an uns,
- die Dokumentation von kwallet zu durchforsten, wie dort das PW gespeichert wird (Hash?), wie groß ein PW sein darf, usw.
- eine Betrachtung anzustellen, wie hoch das "Risiko" ist, wenn ein PW zum Bsp. "nur" 16 Stellen (!) hat. (=> kalkulierbares Restrisiko!)

NB: Es bewahrheitet sich wieder einmal die alte Regel, dass einem kryptologischen Verfahren nur vertraut werden darf, wenn man sich selbst (*) von der Funktion und vor allem der sauberen Implementierung der Algorithmen überzeugt hat.
(*) Oder natürlich eine vertrauneswürdeige Stelle, denn wer kann das schon selbst ... .

Ich hätte zum Beispiel überhaupt kein Problem, wenn das PW nach 16 Stellen gekappt wird.

MfG Peter
 
longman

longman

Advanced Hacker
Linuxler schrieb:
dann erstell mal eine Brieftasche mit etwa folgendem Passwort:

12345678901234561234567890123456

bei mir kann diese Brieftasche dann mit folgendem Passwort geöffnet werden:

1234567890123456

also mit der Hälfte kann die Brieftasche geöffnet werden. Reproduzierbar. Das funktioniert, wenn das einfache Passwort 16 Stellen hat (und das doppelte dann 32), bei 15 oder 17 Stellen passiert das nicht mehr.
Zum Vergrößern anklicken....

Das würde ja genau meine Vermutung von oben bestätigen
(ich war beim Test mit 14Zeichen ja dicht dran :).
Bei einer nutzbaren PW-Länge von 16 Zeichen ist das heute auch ausreichend sicher,
falls ein genügend großer Zeichenbereich genutzt wird. Das testkennwort ist allerdings so schwach,
dass die doppelte Anzahl dann auch nicht hilft. Dann lieber sowas: "D@s1stku"rzer"

Siehe hier:
https://passwortcheck.datenschutz.ch/check.php?lang=de
 
/dev/null

/dev/null

Moderator
Teammitglied
Ich habe zwar noch keine Lust gehabt, nach den Beschreibungen zu suchen (*), aber trotzdem ein wenig probiert.

gespeichertes PW: 1234567890123456aaaaaaaaaa
eingegebenes PW: 1234567890123456

==> klappt nicht.
Also ist es auch nicht einfach ein Kappen nach 16 Stellen bei der PW-Vergabe.

Und selbst wenn, ein PW mit 16 Stellen und entsprechendem Zeichenvorrat reicht (mir) allemal. Zumal es DAS Passwort ist, welches sich MENSCH merken und immer wieder eingeben muss. (Und dann handelt es sich ja auch um den Geheimhaltungsgrad "pillepalle" ... )

(*) Habe doch noch gesucht: hier ist einer.
Wie ich vorher schon wusste, wird BF als symm. Algorithmus und SH1 für den Hash verwendet.
Jetzt wird "nur noch" jemand gesucht, der Englisch wie seine Muttersprache liest. Mir macht das, gerade am Wochenende, zu viel Mühe, und auch der WAF wäre nicht optimal ... .


MfG Peter
 
P6CNAT

P6CNAT

Advanced Hacker
Hi,

ich bitte um Nachsicht, aber ich mag die 6 Seiten jetzt nicht komplett abschreiben.
Das steht eine Menge allgemeines Zeug über das warum und wozu von Kwallet und seine Einbindung in KDE.

Zur Verschlüsselung steht im Absatz 3 eine wortreiche Umschreibung für diese Zusammenfassung:

"16 fache Blowfish in CBC modus mit variabler Schlüssellänge und einem initialen Block Zufall Vektor"
und
"SHA-1 hashing der Passphrase und hashing der Nutzdaten zum Zweck der Datenintegrität"

Meine Kenntnisse in Kryptografie reichen aber nicht, die Bedeutung zu erklären. Von maximaler Passwortlänge steht da nix.

Gruß
Georg
 
OP
L

Linuxler

Member
Klar kann ein 16-stelliges Passwort genug sein, ich verwende aus Gewohnheit eben längere. Aber darum geht es nicht. Es geht um das Prinzip: Es sollte nicht sein, dass bei einer sicherheitsrelevanten Anwendung derartige Fehler drin sind, ich glaube, darin dürften wir uns alle einig sein.
 
Geier0815

Geier0815

Guru
Das Ganze würde ich als bugreport bei KDE abladen, denn das ist ein Fehler egal was und wie die Jungs da verschlüsseln.
 
OP
L

Linuxler

Member
ich werde mal das Passwort wechseln. Bezüglich Bugreport: ich habe die Liste der Bugs durchgesehen, mein Problem scheint dort noch nicht aufzuscheinen, soweit ich das mit meinen Englischkenntnissen verstanden habe. Deswegen meine Frage:

Hat jemand von euch dort schon einen Account und die entsprechenden Englischkenntnisse, um den Bug dort zu melden?
 
P6CNAT

P6CNAT

Advanced Hacker
Hi,

ich habe einen Account, der Bug ist noch nicht gemeldet und werde einen Bugreport aufmachen. Allerdings brauche ich dafür präzise Angaben zu:

Linux Version: ?
Application Version: ?
KDE Version: ?
Software Distribution Method: ? ich vermute mal OpenSuse RPM's

Dann wollen die noch folgende Fragen beantwortet haben.

Summary: kwallet can be accessed with two different passwords
Details: ?
Steps to Reproduce: ?
Actual Results: ?
Expected Results: Should accept only one password
Additional Information: ?

Gruß
Georg
 
OP
L

Linuxler

Member
P6CNAT schrieb:
Linux Version: Linux 2.6.34.7-0.7-desktop i686 (Suse 11.3)
Application Version: kwallet 1.5
KDE Version: 4.4.4 (KDE 4.4.4) "release 3"
Software Distribution Method: ? ich vermute mal OpenSuse RPM's ; ja

Dann wollen die noch folgende Fragen beantwortet haben.

Summary: kwallet can be accessed with two different passwords
Details: Wird eine Brieftasche mit einem 32stelligem Passwort erstellt, welches sich aus zwei identischen 16stelligen Passwörtern zusammensetzt, kann die Brieftasche auch nur mit dem 16stelligem Passwort geöffnet werden.
Steps to Reproduce: eine Brieftasche z.B. mit dem Passwort: 12345678901234561234567890123456 (32 Stellen) erstellen. Die Brieftasche kann dann auch mit den ersten 16 Stellen geöffnet werden, also: 1234567890123456 (16 Stellen).
Actual Results: ?
Expected Results: Should accept only one password
Additional Information: ?
Zum Vergrößern anklicken....

Bei der Übersetzung ins Englische muss ich passen. Ich hoffe, dass ich zumindest die Sache auf Deutsch einigermaßen hingekriegt habe.
 
P6CNAT

P6CNAT

Advanced Hacker
Hi Linuxler,

Danke für die Daten, ich habe den Bug gemeldet. Wer es nachverfolgen will kann das hier tun.

Bugreport

Es könnte sein, dass die noch irgendwelche zusätzlichen Fragen stellen. Dann bräuchte ich nochmal deine Unterstützung.

Gruß
Georg
 
P6CNAT

P6CNAT

Advanced Hacker
Hi,

immerhin wurde der Bug bei der ersten Begutachtung als schwerwiegendes Sicherheitsproblem beurteilt!
Hatte ich so rasch und konsequent nicht erwartet. 16stellige Passworte sind schon länger als üblicherweise verwendet werden.

I can confirm this using KWallet 1.7 in KDE 4.6, changing severity to major.
Seems to be a security issue.
Zum Vergrößern anklicken....
Hut ab, vor Linuxlers Aufmerksamkeit und den KDE Entwicklern :thumbs:. Bin mal gespannt wie das weiter geht.

Gruß
Georg
 
T

tomm.fa

Administrator
Teammitglied
Ich habe das Thema dann mal als wichtig markiert und festgenagelt. Bitte macht weiter so (u.a. mit eurem guten Zusammenspiel). :thumbs:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben