KeePass OTP plugin elude las protecciones incorporadas?

2

He leído la pregunta sobre la implementación de HOTP en KeePass aa href="http://en.wikipedia.org/wiki/basado_One-time_Password_Algorithm"> HOTP security.stackexchange.com/questions/42446/does-adding-two-factor-authentication-by-otp-really-make-keepass-more-secure"> AQUÍ . Sin embargo, esta pregunta está en el otro complemento más reciente KeeChallenge .

De acuerdo con la documentación, el secreto está encriptado y solo se puede descifrar mediante el TOTP . Sin embargo, si se hace así, ¿no es el vínculo débil ahora el archivo xml cifrado (además de que hay una puerta trasera de recuperación) en lugar del algoritmo de cifrado de KeePass? Por lo que puedo decir, las cosas que KeePass hace para mantenerse a salvo de ataques brutos (por ejemplo, cifrar varias veces) se ven comprometidas por el uso de este complemento. ¿Tengo razón o me perdí algo?

    
pregunta RJ- 06.05.2014 - 08:03
fuente

1 respuesta

5

KeeChallenge se basa en el resultado predecible de HMAC-SHA1 con una clave conocida. La clave en el archivo XML se encripta utilizando el resultado de realizar HMAC-SHA1 en el desafío también almacenado en el archivo XML. Para descifrar la clave, el desafío se pasa al Yubikey, que realiza HMAC-SHA1 para generar el mismo valor que se utilizó para cifrar los datos de la clave la última vez. Una vez que se descifra la clave, se genera un nuevo desafío y se utiliza la respuesta esperada (generada utilizando la clave descifrada) para volver a cifrar la clave.

La fuente es bastante fácil de seguir.

    
respondido por el mdonoughe 27.11.2014 - 04:35
fuente

Lea otras preguntas en las etiquetas