[Sicherheit] Speicherung von Keys für Verschlüsselung

[@x.l]

Hallo,

Um Nutzernamen, Passwörten, IPs, DB-Namen, etc. zu verschlüsseln, benötigt man ja auch immer einen Schlüssel (is klar). Doch ich weiß nicht so recht wo ich diesen definieren soll.

Bisher ist dieser Schlüssel bei meinen Programmen immer als Konstante in irgendeiner Klasse festgelegt - jedoch hab ich dabei kein gutes Gefühl. Denn beim decompilieren kann jeder x-beliebige Nutzer dieses ja auslesen.

Man könnte den Nutzer ja auch beim ersten Start des Progs dazu auffordern einen Key einzugeben und den dann irgendwo im System ablegen. Doch auch das stellt mich nicht zufrieden.

Deshalb meine Frage: Wo legt man diese Schlüssel am besten ab um eine größtmögliche Sicherheit zu gewährleisten?

Es muss doch eine befriedigend Lösung dafür geben.

 

[maki]

Welche Art von verschlüsselung wird den eingesetzt?

 

[@x.l]

Der Klasse Cipher übergebe ich: "PBEWithMD5AndDES/CBC/PKCS5Padding"

Doch welche Bedeutung hat das denn?

 

[The_S]

Ich glaube maki wollte viel mehr wissen, ob du synchron/asynchron verschlüsselst, ob du mit Hash-Werten arbeitest, welches Verschlüsselungsverfahren du verwendest, etc.

[edit]Achso, hab noch nie mit Cipher gearbeitet und sehe gerade, dass das ja gar kein Schlüssel ist, den du da gepostet hast, sondern so ne Art Anweisung . Hatte das jetzt im 1. Moment für einen Schlüssel gehalten, sry

 

[Backwardsman]

überlicherweise fordert man den benutzer dazu auf ein passwort einzugeben, aus diesem passwort (String) wird dann mit einer schlüsselableitungsfuktion ein "sicherer" kryptographischer schlüssel (byte[]) der länge n bit erstellt, mit welchem dann ver- entschlüsselt werden kann. als referenzwert kann man dann z.b. den hashwert des passworts speichern.