Portál AbcLinuxu, 7. května 2025 05:51

Bezpečnostní audit správce hesel KeePassXC

Nezávislý bezpečnostní konzultant Zaur Molotnikov provedl bezpečnostní audit (pdf) správce hesel KeePassXC. Zdá se býti v pořádku.

17.4.2023 12:33 | Ladislav Hagara | Komunita


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

18.4.2023 11:26 Pr
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
Odpovědět | Sbalit | Link | Blokovat | Admin
Tak schvalne pro koho pracuje.
18.4.2023 14:17 X
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
Pracuje pro Amazon AWS. Ma to na osobni strance v CV.
18.4.2023 19:50 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
Odpovědět | Sbalit | Link | Blokovat | Admin
Jak je patrné z auditní zprávy a nakonec i ze src, k šifrování KeyPassXC se využívá knihovna Botan. U té bych vzhledem k výskytu parametru "--disable-aes-ni" (nikoli --enable-aes-ni) očekával případné využití vestavěných AES-NI instrukcí v CPU. Kde všude končí klíče použité těmito instrukcemi se můžeme jen dohadovat.
18.4.2023 20:29 J
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
Hlavne tam neni spomenuta verze te knihovny, stare verze meli xx zranitelnosti.
18.4.2023 20:51 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
Předpokládám dle citace níže, že na klíčové crypto knihovny asi nedošlo.
Second, to implement the cryptographic primitives, KeePassXC relies on the existing crypto library, Botan, making a solid choice for it.
Iluze zdánlivé bezpečnosti je možná nebezpečnější, než vědomí reálné zranitelnosti.
19.4.2023 01:06 J
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
KeepassXC pouziva Botan, ten preklad zni nejak takhle: Za druhé, při implementaci kryptografických primitiv se KeePassXC spoléhá na existující krypto knihovnu Botan, která pro ni představuje solidní volbu.

A jelikoz neuvadeji o jakou verzi jde tak nevime jestli je tam nejaka zranitelnost nebo ne.
20.4.2023 15:12 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
Podle mne botan v linuxu je součástí distribučních knihoven. A KeepassXC je prostě volá. Bezpečnost knihovny je v bezpečnosti upstreamu a implementaci maintainerů distribuce. Arch má botan 2.19.3-1.
20.4.2023 15:17 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
Na druhou stranu AES-NI by ty klíče muselo nejen zaznamenat, ale nějak ze systému odeslat do místa "kde všude končí" a vzhledem k tomu, že dost lidí se věnuje detekci, co jednotlivá zařízení odesílají, za tu dobu by se něco našlo.
Jendа avatar 21.4.2023 20:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
No nevím, přijde mi, že se těch klíčů musí protočit hromada (jakmile se začne akcelerovat třeba HTTPS, tak desítky session klíčů na každou navštívenou stránku…), kam by je to poznamenávalo?
Jendа avatar 21.4.2023 20:35 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní audit správce hesel KeePassXC
Možná by fungoval nějaký pravděpodobnostní model, který by detekoval opakující se klíče a ponechával zaznamenané ty.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.