V
visitor
Gast
Hallo,
ich möchte ein (kleines) Projekt starten und bin mir nicht sicher, ob Java für mich bzw. das Projekt geeignet ist. Vielleicht könnt Ihr mir weiterhelfen...
Für alle folgenden Fragen gilt, dass physischer Zugriff mit root-Rechten auf den Rechner gegeben ist.
1.) Die Anwendung soll über SSL mit einem Server kommunizieren. Die Daten sollen ausserhalb der Anwendung nicht zugänglich sein. Kann man ausserhalb der Anwenung auf irgendeinen Umweg an die Daten herankommen (z.B. Debugger, etc.)?
2. Selbiges gilt für Inhalte von Variablen: Kann man verhindern, dass Inhalte von extern Ausgelesen werden?
Sinn und Zweck der Übung ist folgender: Der Anwender authentifiziert sich über die Anwendung an einem Server. Da die Authentifizierungsdaten keinem Dritten zugänglich sein sollen - SSL. Bei erfolgreicher Authentifizierung generiert die Anwendung einen PGP-Schlüssel (der nur für diese Sitzung gültig ist) und sendet den öffentlichen Schlüssel an den Server. Der Server sendet ein mit dem öffentlichen Schlüssel der Anwendung verschlüsseltes Datenpaket an die Anwendung. Der Inhalt des Datenpakets darf weder Dritten noch dem authentifizierten Anwender bekannt werden.
Wie schütze ich also den PGP-Schlüssel vor dem Anwender? Damit die Anwendung diesen Schlüssel nutzen kann muss dieser logischerweise irgendwo im Speicher liegen...
Ist dieser Schlüssel vor unbefugtem Auslesen geschützt, bzw. kann er davor geschützt werden?
Der Quelltext der Anwendung soll übrigens offen liegen - "Secuity by Obscurity" ist also keine Lösung.
Danke für Antworten...
Gruss
Gerd Schroer
ich möchte ein (kleines) Projekt starten und bin mir nicht sicher, ob Java für mich bzw. das Projekt geeignet ist. Vielleicht könnt Ihr mir weiterhelfen...
Für alle folgenden Fragen gilt, dass physischer Zugriff mit root-Rechten auf den Rechner gegeben ist.
1.) Die Anwendung soll über SSL mit einem Server kommunizieren. Die Daten sollen ausserhalb der Anwendung nicht zugänglich sein. Kann man ausserhalb der Anwenung auf irgendeinen Umweg an die Daten herankommen (z.B. Debugger, etc.)?
2. Selbiges gilt für Inhalte von Variablen: Kann man verhindern, dass Inhalte von extern Ausgelesen werden?
Sinn und Zweck der Übung ist folgender: Der Anwender authentifiziert sich über die Anwendung an einem Server. Da die Authentifizierungsdaten keinem Dritten zugänglich sein sollen - SSL. Bei erfolgreicher Authentifizierung generiert die Anwendung einen PGP-Schlüssel (der nur für diese Sitzung gültig ist) und sendet den öffentlichen Schlüssel an den Server. Der Server sendet ein mit dem öffentlichen Schlüssel der Anwendung verschlüsseltes Datenpaket an die Anwendung. Der Inhalt des Datenpakets darf weder Dritten noch dem authentifizierten Anwender bekannt werden.
Wie schütze ich also den PGP-Schlüssel vor dem Anwender? Damit die Anwendung diesen Schlüssel nutzen kann muss dieser logischerweise irgendwo im Speicher liegen...
Ist dieser Schlüssel vor unbefugtem Auslesen geschützt, bzw. kann er davor geschützt werden?
Der Quelltext der Anwendung soll übrigens offen liegen - "Secuity by Obscurity" ist also keine Lösung.
Danke für Antworten...
Gruss
Gerd Schroer
