notes id

[jo0oj]

hallo,
hier ein paar fragen zu der sicherheit des notes id files?

das passwort des notes id file wird gehased.
mit welchem algorythmus wird dies gehashed?
steht der hash lesbar im id file?

wie ist das id file selbst geschützt?

wie ist die sequenz von der eingabe des passworts,
bis zum erhalt des schlüsselpaares?

konnte leider keine detailierte informationen finden
danke für infos
jochen

[matze79]

Infos zur Notes/Domino PKI findest im Redbook "Lotus Security Handbook".

http://publib-b.boulder.ibm.com/Redbooks.nsf/RedpieceAbstracts/sg247017.html?Open

Das Kapitel 6 befasst sich speziell mit der PKI. Auf den ersten Blick lese ich heraus, dass die Notes-PKI auf RSA-Standards basiert. Somit könnte es möglich sein, das das Passwort nicht in der ID steht. Man bräuchte es (analog zu X.509) um einen Private-Key (Secret-Encryption-Keys), der auch in der ID enthalten ist, zu entschlüsseln. Ist der Private-Key entschlüsselt, kommt man damit an alle weiteren Daten, die sich in der ID befinden. Ich habe aber auch schon in Artikeln den Satz "Das Passwort steht in der ID" gelesen.

[matze79]

Der nachfolgend verlinkte Thread bestätigt meine Vermutung. Lediglich im Personendokument des NAB steht ein Hash.

"When you enter a password (either for loging on or changing an existing one) the text you enter is processed through a "one-way" mathematical formula, and a Key is derived, which is stored in the ID file."

"From Admin help ==> "When you password-protect an ID, a key that is derived from the password encrypts the data on the ID." "

http://www-10.lotus.com/ldd/46dom.nsf/55c38d716d632d9b8525689b005ba1c0/1b7adc3449db011e85256f3900534c65?OpenDocument

[jo0oj]

hallo,

danke für die links schonmal.
wie wird denn das password gegenüber dem notes id file validiert?
wie ist das notes id file geschützt?
ist es möglich fehlgeschlagene Logins zentral/lokal zu protokolieren?

danke für infos
jochen

[matze79]

> wie wird denn das password gegenüber dem notes id file validiert?
> wie ist das notes id file geschützt?

Es gibt ein Zertifikat in der ID, mit dessen Hilfe alle weiteren Daten in der ID verschlüsselt sind. Dieses Zertifikat ist nur zusammen mit dem Passwort zu gebrauchen. Für weitere Infos einfach mal RSA oder X.509 googlen und einlesen.

> ist es möglich fehlgeschlagene Logins zentral/lokal zu protokolieren?

Warscheinlich nicht Serverseitig, weil du dich beim öffnen der ID nicht am Server authentifizierst.

[jo0oj]

>Es gibt ein Zertifikat in der ID, mit dessen Hilfe alle weiteren Daten in der ID verschlüsselt sind.
wie sind denn die weiteren daten verschlüsselt? (mit RSA 512?)


>> ist es möglich fehlgeschlagene Logins zentral/lokal zu protokolieren?
>Warscheinlich nicht Serverseitig, weil du dich beim öffnen der ID nicht am Server authentifizierst.
und lokal?

[matze79]

> wie sind denn die weiteren daten verschlüsselt? (mit RSA 512?)

Dazu habe ich keine Infos gefunden. Du könntest aber einen Call bei Lotus aufmachen und die Antwort hier posten.

[koehlerbv]

Die Prüfung des Passworts gegen die Daten aus dem ID-File erfolgt immer auf Seite des Clients. Der Server bekommt von einer Fehleingabe nie etwas mit. Erst mit verifiziertem Passwort hat der Client die Möglichkeit, sich bei einem Server zu melden.

Bernhard

[jo0oj]

wenn ich das nun richtig verstanden habe,
wird das notes id nicht mit dem zertifikat sondern dem private key entschlüsselt.

bleiben immernoch 2 fragen offen:
-wie ist der private key geschützt?
-wie sind die anderen felder mittels des private keys geschützt?