Du bist nicht angemeldet.

#1 14.10.2009 09:20:00

gandro
Mitglied

wpa_supplicant: Profil verschüsselt abspeichern?

Hallo,

ich habe hier eine Konfigurationsdatei für ein WPA2-EAP-Netzwerk. Das doofe an der Sache: Mein Passwort liegt im Klartext in der Datei, was mir nicht sonderlich gefällt.

Die ganze Konfiguration sieht so aus:

ctrl_interface=DIR=/var/run/wpa_supplicant

network={
    ssid="eth"
    key_mgmt=WPA-EAP
    proto=WPA2
    eap=TTLS
    pairwise=CCMP TKIP
    group=CCMP TKIP
    phase2="auth=MSCHAPV2"
    identity="MeinBenutzername"
    password="MeinPasswortImKlartext"
    priority=10
}

Meine Frage daher ist, wie ich das Passwort irgendwie verschlüsselt (oder wenigstens verschleiert) kriege. In den Manpages von wpa_supplicant habe ich nichts gefunden, denn wpa_passphrase scheint nur für PSK-Passwörter und nicht für EAP zu funktionieren (habs getestet).

Da ich mit netcfg arbeite, kann ggf. auch mit Drittprogrammen arbeiten; kennt jemand ein simples "KISS" Verschlüsselungsprogramm für einzelne Dateien (am liebsten direkt in den Repos), womit ich die Datei kurz über netcfg entschlüsseln und danach wieder verschlüsseln kann?

Danke.

Beitrag geändert von gandro (14.10.2009 09:27:55)

Offline

#2 14.10.2009 09:24:12

kani
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

Umwandlung in Hexadezimalform:

wpa_passphrase $ssid $schluessel

Edit: Ok das hat sich wohl erledigt. smile

Beitrag geändert von kani (14.10.2009 09:30:10)

Offline

#3 14.10.2009 09:27:23

gandro
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

kani schrieb:

Umwandlung in Hexadezimalform:

wpa_passphrase $ssid $schluessel

Bitte lies dich meinen Beitrag nochmals genau durch wink

gandro schrieb:

denn wpa_passphrase scheint nur für PSK-Passwörter und nicht für EAP zu funktionieren (habs getestet).

Beitrag geändert von gandro (14.10.2009 09:28:15)

Offline

#4 14.10.2009 09:59:54

Dirk
Moderator

Re: wpa_supplicant: Profil verschüsselt abspeichern?

gandro schrieb:

Meine Frage daher ist, wie ich das Passwort irgendwie verschlüsselt (oder wenigstens verschleiert) kriege.

Reicht es auch, wenn die Datei niemand lesen kann? wpa_supplicant wird doch als Root ausgeführt, was hindert dich an einem …

chown root:root /pfad/zur/datei
chmod 600 /pfad/zur/datei

… ?

Offline

#5 14.10.2009 10:07:48

gandro
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

Modus 600 habe ich ebenfalls schon gesetzt, reicht mir aber nicht.

Das Passwort ist eben nicht nur für WLAN-Zugang, sondern für alles an der Uni: E-Mail, Prüfungseinschreibung, Rechnungen, Home-Verzeichnis und alle anderen digitalen Dienste. Ein zentrales Konto mit einem Passwort für alles.

Offline

#6 14.10.2009 19:08:48

runiq
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

gandro schrieb:

Modus 600 habe ich ebenfalls schon gesetzt, reicht mir aber nicht.

Das Passwort ist eben nicht nur für WLAN-Zugang, sondern für alles an der Uni: E-Mail, Prüfungseinschreibung, Rechnungen, Home-Verzeichnis und alle anderen digitalen Dienste. Ein zentrales Konto mit einem Passwort für alles.

Oh, Vorsicht. Dagegen gibt's Abhilfe, zumindest, was das eigene System angeht. Leg dir einen Passwortmanager zu und ein ordentlich lang-kompliziertes Master-Passwort. Sofern du dann ordentlich Backups mit dem Ding machst, kannst du die anderen Passwörter dann nach Lust und Laune wählen. Da gibt's z.B. keepassx oder pwmanager (hab beide selbst noch nicht ausprobiert; wenn ich mir eine Sache merken kann, dann sind's Passwörter).

Offline

#7 14.10.2009 20:09:26

Dirk
Moderator

Re: wpa_supplicant: Profil verschüsselt abspeichern?

gandro schrieb:

Das Passwort ist eben nicht nur für WLAN-Zugang, sondern für alles an der Uni: […]

FAIL. Sag’ das den Verantwortlichen wink

Offline

#8 14.10.2009 20:49:56

gandro
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

@runiq: Ich glaube du hast mich falsch verstanden. Ich habe keinen Einfluss darauf: Ich kann das Passwort ändern, aber dann ist es für alle Dienste der Uni geändert (es geht ja hier um ein Uni-Netzwerk).

Ist halt ein einziges zentrales Konto mit einem einzigen Passwort für die verschiedensten Dienste meiner Uni. Privat hab ich selbstverständlich verschiedene Passwörter für verschiedene Dienste.

@Dirk: Ja, ich befürchte, selbst wenn das umgesetzt würde, vergehen Jahre. So lange möchte ich nicht auf WLAN verzichten tongue

@Topic:
Naja, ich hab mir jetzt mal ccrypt aus den Repos gesaugt, mal schauen ob ich damit was intelligentes hinbekomme.

Beitrag geändert von gandro (14.10.2009 20:50:45)

Offline

#9 15.10.2009 12:53:53

gandro
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

Sorry für den Doppelpost, aber ich halte es so für übersichtlicher:

Ich habe doch noch eine Lösung für das ursprüngliche Problem gefunden, und zwar in den Kommentaren der wpa_supplicant.conf, welche ich bisher zuwenig genau gelesen habe. Ich zitiere:

# password: Password string for EAP. This field can include either the
#       plaintext password (using ASCII or hex string) or a NtPasswordHash
#       (16-byte MD4 hash of password) in hash:<32 hex digits> format.
#       NtPasswordHash can only be used when the password is for MSCHAPv2 or
#       MSCHAP (EAP-MSCHAPv2, EAP-TTLS/MSCHAPv2, EAP-TTLS/MSCHAP, LEAP).
#       EAP-PSK (128-bit PSK), EAP-PAX (128-bit PSK), and EAP-SAKE (256-bit
#       PSK) is also configured using this field. For EAP-GPSK, this is a
#       variable length PSK.

Kurz: Weil die Uni, wie man in meiner Config sieht, irgend son Microsoft-Gedöns einsetzt, kann ich das Passwort als NT-Password-Hash abspeichern.

Den Hash kriegt man über das kleine Tool 'nt_password_hash' aus den hostapd-Sourcen (make nt_password_hash), und kann man dann in die Config-Datei kopieren.

Scheint zwar nicht ganz bombensicher zu sein der Algorithmus, aber immer noch um Welten besser als Klartext.

Offline

#10 16.10.2009 01:28:06

Aeon Tux
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

Nur dass ichs richtig verstehe: Es gibt an deiner Hochschule ein Passwort für fast alles, u.a. auch fürs WLan. Dazu gibt es auf deinem Rechner die Datei wpa_supplicant.conf, in der das Passwort im Klartext gespeichert ist.

Nun willst du verständlicherweise nicht, dass jemand, der irgendwie die Datei zu lesen bekommt, mit dem Passwort Unfug treibt.

Also verschlüsselst du das Passwort.

Dir sollte allerdings klar sein, dass das für den Wlan-Zugang keine zusätzliche Sicherheit bringt. Schließlich muss irgendein Programm die Konfigurationsdatei lesen und das verwenden, was da drin steht. Aus einem Hash den ursprünglichen Wert errechnen geht nicht - nur umgekehrt.

Wenn du also hier mehr Sicherheit willst, hast du nur zwei Möglichkeiten: Auf die Speicherung des Passwortes verzichten oder aber das Dateisystem verschlüsseln; wofür die auch wieder ein Passwort bräuchtest.

Offline

#11 16.10.2009 06:29:38

gandro
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

Aeon Tux schrieb:

Schließlich muss irgendein Programm die Konfigurationsdatei lesen und das verwenden, was da drin steht. Aus einem Hash den ursprünglichen Wert errechnen geht nicht - nur umgekehrt..

Nicht zwingenderweise! So wie sich der Kommentar liest, kann ich nicht jeden Hash für jede Authentifizierung verwenden. Woraus ich folgere, dass wpa_suppliciant den Hash nicht entschlüsselt, sondern direkt verschlüsselt weiterreicht.

Schlimmstenfalls kann also jemand mit der Konfigurationsdatei bestenfalls in WLAN, nicht aber an mein Passwort und damit an all die anderen Dienste.

Was ich gesehen habe, ist der verwendete Hashing-Algorithmus nicht viel mehr als MD4, also ein Einweg-Hash. Der hat zwar wie sen Nachfolger MD5 ein paar Kollisionsprobleme, man sollte damit also keine Daten mehr signieren, aber an das ursprüngliche Passwort kommt man trotz alle dem nicht ran (man kann ggf. eine Zeichenkette generieren, die den gleichen Hash erzeugt, aber mein Passwort hat man damit noch nicht).

Beitrag geändert von gandro (16.10.2009 06:30:07)

Offline

#12 16.10.2009 11:43:29

Dirk
Moderator

Re: wpa_supplicant: Profil verschüsselt abspeichern?

gandro schrieb:

Was ich gesehen habe, ist der verwendete Hashing-Algorithmus nicht viel mehr als MD4, also ein Einweg-Hash. Der hat zwar wie sen Nachfolger MD5 ein paar Kollisionsprobleme, […]

MD5 ist mittlerweile recht einfach knackbar, MD4 schon lange.

Wikipedia zu MD5 schrieb:

Inzwischen sind die Kollisionsangriffe so weit fortgeschritten, dass eine weitere Nutzung von MD5, insbesondere in solchen Szenarien, in denen der Nutzer nicht die zu signierenden Dateien komplett kontrolliert, abzulehnen ist.

Nicht vergessen, MD5 ist der NACHFOLGER von MD4, das ebenfalls nicht verwendet werden sollte

Wikipedia zu MD4 schrieb:

Im Cryptobytes Journal der Firma RSA wurde eine Methode veröffentlicht, welche innerhalb einer Stunde zwei bis auf ein Zeichen identische Nachrichten erzeugen konnte, die denselben Hashwert ergaben. Rivest selbst bestätigte die Unsicherheit im RFC 1321[…] selbst RSA [rät] vom Einsatz dieses Message-Digest [ab].

Offline

#13 16.10.2009 12:09:43

gandro
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

Aufpassen! Hab ich mich durchaus mit der Sache beschäftigt.

Dirk, dein Gesamter Beitrag bezieht sich darauf, MD4 bzw. MD5 als Signatur zu verwenden. Heisst: Ich habe eine Nachricht/Zertifikat, erstelle davon die MD5-Summe, damit später überprüft werden kann, ob die Nachricht/Zertifikat geändert wurde.

In dieser Hinsicht sind MD4 und MD5 in der Tat "geknackt". Es ist mit entsprechendem Rechenaufwand daher möglich, die Original-Nachricht (bzw. das Original-Zertifikat) so zu verändern, dass die Prüfsumme gleich bleibt und die Manipulation nicht auffällt.

Einer der letzten grosse real durchgeführten MD5-Angriffe benötigte 200 PlayStation 3 im Cluster, war persönlich am Vortrag dabei als das bekannt gemacht wurde: http://www.heise.de/security/meldung/25 … 92869.html

Das alles ist schön und gut, hat aber mit meiner Verwendung von MD4 bzw. MD5 absolut gar nichts am Hut, denn MD4 wird hier nicht verwendet, um eine Nachricht zu signieren um sie vor Manipulation zu schützen, sondern die Prüfsumme an sich wird übertragen.

Aus einer MD4/MD5-Summe lässt sich das Original-Passwort nicht rekonstruieren. Wird auch nie gehen, weil es bei Hashes per Definition eine unendliche Anzahl an möglichen (beliebig langen) Passwörtern gibt, die genau die gleiche Summe erzeugen müssen.

Ich verweise hier noch auf den letzten Satz im Sicherheits-Abschnitt von MD5 der Wikipedia:

Derzeit ist MD5 nur bezüglich der Kollisions-Angriffe geknackt. Deswegen besteht noch keine akute Gefahr für Passwörter, die als MD5-Hash gespeichert wurden, diese Kollisionen sind eher eine Gefahr für digitale Signaturen.

Die einzige reale Möglichkeit, aus einem MD4- oder MD5-Hash (oder auch jedem anderen, noch so sicheren Hashing-Algorithmus) ein passendes Passwort zu bekommen, ist über Rainbow-Tables, also vom Prinzip her eine Variante von Brute-Force.

Und da hilft, unabhängig vom Algorithmus, nur ein langes und kompliziertes Passwort (bzw. Salting, was aber am Ende im Prinzip das gleiche ist).

Beitrag geändert von gandro (16.10.2009 12:18:12)

Offline

#14 09.08.2010 14:20:32

Liadon
Gast

Re: wpa_supplicant: Profil verschüsselt abspeichern?

Auch wenn der Thread hier schon etwas älter ist, hoffe ich trotzdem, dass mir jemand weiterhelfen kann. Wie muss man das Hash-Passwort in dem Profil hinterlegen?

1) password=8846f7eaee8fb117ad06bdd830b7586c

2) password=hash:<8846f7eaee8fb117ad06bdd830b7586c>

Bisher funktioniert es nur mit Klartextpasswort, aber ich bin auch nicht 100% sicher, ob der generierte Hash stimmt, da ich zum testen nur schnell ein anderes Tool benutzt habe. Wärst du so nett, nochmal kurz (aber ausführlich big_smile ) beschreiben, wie man an "nt-password-hash" rankommt und es benutzt?

#15 09.08.2010 19:30:34

mpausch
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

so wie ich das aus dem Auszug aus wpa_supplicant.conf entnehme, müsste es heissen: password=hash:8846f7eaee8fb117ad06bdd830b7586c (ohne die Spitzen Klammern)

Offline

#16 09.08.2010 21:10:38

custom
Mitglied

Re: wpa_supplicant: Profil verschüsselt abspeichern?

Liadon schrieb:

[...] wie man an "nt-password-hash" rankommt

In der Konsole eingeben:

wpa_passphrase SSID KENNWORT
Liadon schrieb:

und es benutzt?

Ich benutze es mit netcfg2 und habe es so eingebunden:

psk=8846f7eaee8fb117ad06bdd830b7586c

Offline

#17 09.08.2010 21:13:25

Liadon
Gast

Re: wpa_supplicant: Profil verschüsselt abspeichern?

So hatte ich es auch schon probiert, leider ohne Erfolg. Hm, es könnte allerdings sein, dass ich vergessen hatte, die Anführungszeichen zu entfernen. Wenn ich das nächste mal auf dem Campus bin, muss ich es nochmal testen. Danke auf jeden Fall für die Antwort.

#18 09.08.2010 21:15:44

Liadon
Gast

Re: wpa_supplicant: Profil verschüsselt abspeichern?

@custom:

Das sind zwei verschiedene Dinge, schau dir nochmal den ersten Post an. Trotzdem Danke für die Mühe. wink

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums