Il plugin OTP di KeePass elude le protezioni incorporate?

Naviga le tue risposte
2

Ho letto la domanda sull'implementazione HOTP in KeePass HERE . Questa domanda è comunque sull'altro plug-in più nuovo KeeChallenge .

Secondo la documentazione, il segreto è crittografato e può essere decifrato solo utilizzando il TOTP . Tuttavia, se è fatto così, non è il collegamento debole ora il file xml crittografato (in più c'è una backdoor della chiave di ripristino) piuttosto che l'algoritmo di crittografia di KeePass? Per quanto posso dire, le cose che KeePass fa per proteggersi dagli attacchi brutali (ad esempio, crittografare più volte) sono compromesse dall'uso di questo plugin. Ho ragione o mi sono perso qualcosa?

    
posta RJ- 06.05.2014 - 08:03
fonte

1 risposta

5

KeeChallenge si basa sul risultato prevedibile di HMAC-SHA1 con una chiave conosciuta. La chiave nel file XML viene crittografata utilizzando il risultato dell'esecuzione di HMAC-SHA1 sulla sfida memorizzata anche nel file XML. Per decodificare la chiave, la sfida viene passata a Yubikey che esegue HMAC-SHA1 per generare lo stesso valore utilizzato per crittografare i dati della chiave l'ultima volta. Una volta decodificata la chiave, viene generata una nuova sfida e la risposta prevista (generata utilizzando la chiave decrittografata) viene utilizzata per ricodificare la chiave.

La fonte è abbastanza facile da seguire.

    
risposta data 27.11.2014 - 04:35
fonte

Leggi altre domande sui tag

Il protocollo Station-to-Station è sicuro? L'interfaccia di loopback è protetta dallo sniffing?