JavaScript ist deaktiviert. Für eine bessere Darstellung aktiviere bitte JavaScript in deinem Browser, bevor du fortfährst.

Auf Thema antworten

Nachricht

@Andi_CH

Wenn ich es richtig verstanden habe soll es so laufen: Client sender request und public key client an Server, dieser generiert einen zufälligen string, schickt diesen an den client. Der Client verschlüsselt diesen mit private key client und schickt das zurück. Der Server entschlüsselt und prüft, ob das ergebnis mit dem gesendeten string übereinstimmt.

Wenn jetzt aber ein feindliches Programm kommt, einen public und private key generiert, die anfrage an den server schickt, der server den string generiert und vom feindlichen programm den verschlüsselten string zurückbekommt und dann entschlüsselt, wird er auch auf das gleiche ergebnis kommen und annehmen, die anfrage kommt von einem ordentlichen clienten. Oder habe ich da was
falsch verstanden?

@Tomate_Salat

Gute Idee, also die eigentliche Authentifizierung erfolgt über die Anmelddaten(name,passwort) des Benutzers. Dieser gibt die Daten ein, diese werden mit dem public key des servers verschlüsselt. Der Server entschlüsselt sie und überprüft, ob das Tupel in der Datenbank vorhanden ist. Wenn ja, ist der Client authentifiziert und kann weitere Daten(verschlüsselt) vom Server erhalten. War das so in etwas deine Idee?

<blockquote data-quote="keidel22" data-source="post: 731602" data-attributes="member: 27338">@Andi_CHWenn ich es richtig verstanden habe soll es so laufen: Client sender request und public key client an Server, dieser generiert einen zufälligen string, schickt diesen an den client. Der Client verschlüsselt diesen mit private key client und schickt das zurück. Der Server entschlüsselt und prüft, ob das ergebnis mit dem gesendeten string übereinstimmt. Wenn jetzt aber ein feindliches Programm kommt, einen public und private key generiert, die anfrage an den server schickt, der server den string generiert und vom feindlichen programm den verschlüsselten string zurückbekommt und dann entschlüsselt, wird er auch auf das gleiche ergebnis kommen und annehmen, die anfrage kommt von einem ordentlichen clienten. Oder habe ich da wasfalsch verstanden? @Tomate_SalatGute Idee, also die eigentliche Authentifizierung erfolgt über die Anmelddaten(name,passwort) des Benutzers. Dieser gibt die Daten ein, diese werden mit dem public key des servers verschlüsselt. Der Server entschlüsselt sie und überprüft, ob das Tupel in der Datenbank vorhanden ist. Wenn ja, ist der Client authentifiziert und kann weitere Daten(verschlüsselt) vom Server erhalten. War das so in etwas deine Idee?</blockquote>

[QUOTE="keidel22, post: 731602, member: 27338"] @Andi_CH Wenn ich es richtig verstanden habe soll es so laufen: Client sender request und public key client an Server, dieser generiert einen zufälligen string, schickt diesen an den client. Der Client verschlüsselt diesen mit private key client und schickt das zurück. Der Server entschlüsselt und prüft, ob das ergebnis mit dem gesendeten string übereinstimmt. Wenn jetzt aber ein feindliches Programm kommt, einen public und private key generiert, die anfrage an den server schickt, der server den string generiert und vom feindlichen programm den verschlüsselten string zurückbekommt und dann entschlüsselt, wird er auch auf das gleiche ergebnis kommen und annehmen, die anfrage kommt von einem ordentlichen clienten. Oder habe ich da was falsch verstanden? @Tomate_Salat Gute Idee, also die eigentliche Authentifizierung erfolgt über die Anmelddaten(name,passwort) des Benutzers. Dieser gibt die Daten ein, diese werden mit dem public key des servers verschlüsselt. Der Server entschlüsselt sie und überprüft, ob das Tupel in der Datenbank vorhanden ist. Wenn ja, ist der Client authentifiziert und kann weitere Daten(verschlüsselt) vom Server erhalten. War das so in etwas deine Idee? [/QUOTE]

Verifizierung