Welches Verschlüsselungsverfahren nutzt Firefox?

    Hallo Leute,

    mich würde mal interessieren, welches Verfahren Firefox konkret zur lokalen Verschlüsselung von gespeicherten Passwörtern verwendet. Auf der Hilfeseite von Mozilla steht dazu leider nichts erhellendes (https://support.mozilla.org/de/kb/passwort…irter-schaktzen).

    Ich habe bereits im Chat nachgefragt, aber da wusste es auch niemand genau. Allerdings hat die freundliche Kollegin dort diese beiden Foreneinträge ausgegraben (https://www.camp-firefox.de/forum/viewtopi…t=83470#p673247 und http://www.thunderbird-mail.de/forum/viewtopi…t=62447#p339143). Weiß jemand, ob die Angaben dort immer noch aktuell sind? Nutzen Firefox und Thunderbird 3DES zur verschlüsselung?

    Danke für Eure Hilfe,
    beste Grüße
    Jusar

    Hallo,

    ja, das ist noch aktuell. Allerdings sind die Passwörter ja sowieso nur auf deinem Computer, das heißt, der Schutz dadurch ist trotzdem gering bis nicht vorhanden, sofern jemand anderes Zugriff auf den Computer hat. Es benötigt nur die key3.db und signons.sqlite und schon kommt man an die Passwörter (einfach in ein Firefox-Profil kopieren und Passwörter anzeigen lassen). Erst durch das Setzen eines Master-Passwortes gibt es so etwas wie einen tatsächlichen Schutz.

    Danke für die Bestätigung bezüglich 3DES. Ich verstehe nicht, warum Mozilla immer noch darauf setzt. Es sollte doch gar kein Problem sein andere Verfahren, die mehr Sicherheit bieten, wie bspw. Twofish, Serpent oder AES zu verwenden. Bei Sync kommt schließlich auch AES zum Einsatz.

    Die Tatsache, dass die Passwörter in Firefox erst dann zugriffsgeschützt sind, wenn der Nutzer aktiv ein Masterpasswort vergibt (zugleich die Speicherung der Passwörter aber per default aktiviert ist) ist aus meiner Sicht schon fast fahrlässig zu nennen.

    Ich bin ein großer Fan von Firefox, nutze den Browser seit Version 1, aber das geht eigentlich gar nicht. Ich weiß von unzähligen, nicht computeraffinen Personen in meinem Umfeld, dass die alle kein Masterpasswort gesetzt haben. Sind halt alles DAU's, die noch nie auch nur das Einstellungsmenü von Firefox geöffnet haben. Aber gute Software muss doch gerade solche Leute schützen und nicht nur die, die sich ohnehin schon kümmern. Ärgerlich, ärgerlich.

    Zitat

    Bis zum heutigen Tage wird DES für die Sprachverschlüsselung von sicherheitskritischen Sprechfunkaussendungen verwendet. In Deutschland gehören zu den Anwendern diverse polizeiliche Sondereinheiten sowie die Verfassungsschutzbehörden des Bundes und der Länder.

    Und das ist für Firefox nicht gut genug? :-??
    Dass ohne Master-Passwort kein besserer Schutz besteht, das ist ja nur logisch. Die einzige Alternative wäre es, die Möglichkeit, Passwörter anzeigen zu lassen, aus dem Produkt zu entfernen. Aber wenn das nicht durch ein Passwort gesichert wird, ist ja klar, dass man rankommt.

    Hallo. Jusar,

    du hast ja völlig Recht, und was deine letzten Satze betrifft, da gehen wir auch völlig konform.
    Das Problem mit den Passwörtern ist IMHO aber ein anderes. Für die Masse derjenigen, die kein Passwort setzen, ist es nämlich "absolut unzumutbar" dieses zu tun. Das bedeutet im Klartext, dass, wenn wir sie dazu zwingen würden, uns diese Leute in Scharen davonlaufen würden zu Browsern, die dieses nicht verlangen. Es würden also "Marktanteile" verloren gehen. Und das will ja keiner.

    Zur symmetrischen Verschlüsselung:
    3DES ist zwar ein sehr alter Algorithmus, aber er ist bis heute nicht kryptologisch (!) gebrochen worden. Und ein brute-force-Angriff darauf ist auch heute noch nicht so ohne weiteres "nebenbei" durchführbar. Diejenigen, die diese Ressourcen haben, brauchen Sie nicht mal zu nutzen, denn sie bekommen bei "Bedarf" unsere PW ja frei Haus von den Providern geliefert. Und der neugierige Sohn/Nachbar/Kollege, der sich deine signons.sqlite gezogen hat, soll das erst mal machen.

    Ich sehe also, was die Passwortspeicherung in Fx und TB betrifft gegenwärtig noch keine Probleme.

    Völlig anders sehe ich das bei der s/mime-Verschlüsselung im Thunderbird.
    Es ist unumstritten, dass man sich mit der Einführung von s/mime auf einen Algorithmus einigen musste, den alle MUA beherrschen. Und damals gab es eben nur 3DES. Und das war auch noch der damals beste und sicherste Algorithmus.
    Nur heute kann fast jeder MUA auch AES. Selbstverständlich auch der TB! Zumindest kann er damit verschlüsselte Mails lesen. Warum er diesen Algorithmus nicht selbst zum Senden nutzt, ist mir unverständlich. Manchmal frage ich mich schon, ob es daran liegen könnte, dass Mozilla.org gewisse US-Gesetze beachten muss.

    MfG WK
    Getippselt per Tapatalk 2 auf meinem SGS III

    Einmal editiert, zuletzt von WismutKumpel (22. September 2013 um 13:34)

    Zitat von Sören Hentzschel

    Du kommst an die Dateien ran, klar. Aber kommst du auch an die Passwörter, wenn du die beiden Dateien aus einem mit Master-Passwort gesichertem Profil nimmst (ohne das Master-Passwort zu kennen)?

    Müsste ich mal probieren.

    Aber du könntest uns verraten, wie die Chancen sind, PW auf diesem Wege zu sichtbar zu machen.

    Hai Jusar
    Als Interimslösung bietet sich vielleicht eine Alternative an. Ich hatte erst letzte Woche hier KeePass 2 empfohlen.
    Ich bin (mehr oder weniger) gerade dabei die beiden dort empfohlenen Addons zu testen bzw. mit meinem eher laienhaft zu bezeichnendem Wissen zu checken ob sich da durch das schließen einer vermeintlichen "Tür" nicht neue "Einfallstore" auftun.
    Da KeePass sowieso meine PW verwaltet ist es nur naheliegend auch die PW von Firefox damit zu verwalten.
    Sollte also tatsächlich jemand meinen Rechner, Fux or whatever übernehmen können, fehlt ihm dann (hoffentlich) der, gut gesicherte, Zugang zu den Passwörtern. Und möglicher anzustellender Unsinn bleibt im überschaubaren Rahmen. Wobei ich die PW des Fuchses da wohl er noch als das kleinere Problem betrachten würde :roll:

    Zitat von Fox2Fox

    Müsste ich mal probieren.
    Aber du könntest uns verraten, wie die Chancen sind, PW auf diesem Wege zu sichtbar zu machen.

    Es ist folgendermaßen:

    1. Du hast gespeicherte Passwörter und verwendest kein Master-Passwort. Kopiere bei geschlossenem Firefox die beiden Dateien key3.db und signons.sqlite in ein neues Profil. Starte Firefox mit diesem neuen Profil. Die Passwörter sind über den Einstellungsdialog alle sichtbar.

    2. Du hast gespeicherte Passwörter und verwendest ein Master-Passwort. Kopiere bei geschlossenem Firefox die beiden Dateien key3.db und signons.sqlite in ein neues Profil. Starte Firefox mit diesem neuen Profil. Wenn du dir die Passwörter über den Einstellungsdialog anzeigen lassen möchtest, wirst du aufgefordert, dein Master-Passwort einzugeben.

    Darum ist die Verschlüsselungsmethode der einzelnen Passwörter unwesentlich. Die Sicherheit steht und fällt mit dem Master-Passwort. Wenn das so gewählt wird, dass es leicht zu erraten ist, oder gar nicht verwendet wird, dann nützt auch die Verschlüsselung der Passwörter nichts.

    Zitat von Sören Hentzschel

    Es ist folgendermaßen:

    Nein, ich meinte nicht, die PW mittels Firefox anzeigen zu lassen. Das ist wohl jedem bekannt!

    Sondern die beiden Dateien auszulesen. Außerhalb von Firefox. Ich möchte hier keine Anleitung dazu haben, aber interessant ist, ob die PW überhaupt auslesbar sind, wenn ich diese beiden Dateien key3.db und signons.sqlite habe.

    Zitat von Fox2Fox

    Nein, ich meinte nicht, die PW mittels Firefox anzeigen zu lassen. Das ist wohl jedem bekannt!

    Sondern die beiden Dateien auszulesen. Außerhalb von Firefox. Ich möchte hier keine Anleitung dazu haben, aber interessant ist, ob die PW überhaupt auslesbar sind, wenn ich diese beiden Dateien key3.db und signons.sqlite habe.

    Ich verstehe an der Frage nicht, wieso es unbedingt außerhalb von Firefox sein muss. Wenn ich Zugang zu deinem Profil habe, dann ist es doch egal, ob ich die Dateien mit Programm XY auslese, oder ob ich die Dateien in mein Firefox-Profil schiebe. Letztlich sind sowohl XY als auch Firefox nur Werkzeuge und das Werkzeug Firefox funktioniert prima, um alle deine Passwörter auszulesen, wenn kein Master-Passwort verwendet wird. Ich muss dafür nicht einmal ein weiteres Werkzeug XY installieren, ist also besonders wenig Aufwand.

    Wobei ich sogar bezweifele, dass ohne Verwendung eines Master-PW überhaupt eine Verschlüsselung stattfindet.
    Als vor einigen Jahren in den Mozilla-Produkten noch keine sqlite-Datenbanken genutzt wurden, sondern die PW-Datei noch "signons.txt" hieß, da konnte man mit einem schnöden Texteditor ganz einfach sehen: Ohne Master-PW => Passwort im Klartext, mit Master-PW => PW verschlüsselt.

    Welchen Sinn sollte es machen, irgendwelche Daten ohne PW zu verschlüsseln? Mit dem Hashwert von NULL? Oder mit dem vielleicht eingebauten Standard-Passwort "mozilla"? ;) Aber möglich ist das schon, um eine Verschlüsselung für ONU zu erreichen, auch wenn diese Verschlüsselung eigentlich völlig sinnfrei ist. Die Masse der hier mitlesenden Nutzer wird wohl eine Standardcodierung mit meinetwegen Base64 auch als "Verschlüsselung" akzeptieren weil es kein lesbarer Klartext ist.

    Ich habe auf diesem Rechner keinen sqlite-Browser, kann mir den Inhalt der sqlite-Datenbanken ggw. leider nicht ansehen.
    Aber warum sollte sich ein "Angreifer" unbedingt in das Thema "sqlite" einarbeiten, wenn der Thunderbird mit dem PW-Manager eine genau darauf abgestimmte GUI liefert?

    Die Datei "key3.db" ist meines Wissens die "Schlüsseldatei für Zertifikate", also die Datei, in welcher die privaten Schlüssel der eigenen X.509-Zertifikate gespeichert werden. Und die installierten (fremden root- oder Server- oder Nutzer-) Zertifikate (also ohne private Schlüssel) werden in der "cert8.db" gespeichert. Dürfte also nur für User relevant sein, die eigene X.505 Schlüsseldateien (.p12, .pfx) importiert haben, und vor allem beim Fx auf die allerwenigsten zutreffen. Beim TB betrifft das die Nutzer, die wie ich auf S/MIME setzen.

    Zitat von Sören Hentzschel


    Darum ist die Verschlüsselungsmethode der einzelnen Passwörter unwesentlich. Die Sicherheit steht und fällt mit dem Master-Passwort. Wenn das so gewählt wird, dass es leicht zu erraten ist, oder gar nicht verwendet wird, dann nützt auch die Verschlüsselung der Passwörter nichts.

    Absolute Zustimmung!
    Ich schrieb ja schon andeutungsweise, dass die "Dienste" seit dem 01.07.2013 unsere PW ohne größere juristischen Hürden bei den Providern anfordern können, und die Provider diese auf dem Silbertablett liefern müssen. Aus "gutem Grund" wurden als juristisches Hemmnis lediglich Ordnungswirdrigkeiten (!!) angegeben. Damit dürfte also bei jedem von uns die Genehmigung für das Liefern lassen der PW vorliegen. Also haben diejenigen, welche (eventuell!) über die nötige Hardware für das "Brechen" der Verschlüsselung verfügen, gar keinen Anlass, diese dazu zu nutzen.
    Und was den "Rest" der Neugierigen betrifft, dann sollen die mir erst einmal beweisen, "wie schnell" sie eine mit 3DES und einem wörterbuchresistenten langen Zufallspasswort mit großem Zeichenumfang als PW verschlüsselte Datei entschlüsselt haben. Freiwillige vor!

    Also noch einmal: Ich sehe es nicht als problematisch an, ob nun die Passwortdatei mit 3DES oder mit AES verschlüsselt ist! Beides ist für den "normalen Neugierigen" mit eingeschränkten materiellen und finanziellen Ressorcen jenseits von "gut und Böse".


    MfG WK

    Zitat von Sören Hentzschel

    Ich verstehe an der Frage nicht, wieso es unbedingt außerhalb von Firefox sein muss.

    Stelle dir doch einfach mal folgendes Szenario vor: Jemand kommt für kurze Zeit an meinen Rechner. Und klaut die beiden Dateien. Meinetwegen auch das ganze Profil. Und kann sich dann in Ruhe daran versuchen, die PW auszulesen. Und bitte keine Gegenargumente mehr. Wieso, weshalb, warum. So ist meine Frage und es wäre nett, wenn ich darüber aufgeklärt werden könnte.

    Primär geht es also nicht darum, wie der Umstand sein mag. Sondern darum, ob die PW nun anhand der beiden Dateien key3.db und signons.sqlite ausgelesen werden können oder nicht.

    Zitat von WismutKumpel

    Wobei ich sogar bezweifele, dass ohne Verwendung eines Master-PW überhaupt eine Verschlüsselung stattfindet.
    Als vor einigen Jahren in den Mozilla-Produkten noch keine sqlite-Datenbanken genutzt wurden, sondern die PW-Datei noch "signons.txt" hieß, da konnte man mit einem schnöden Texteditor ganz einfach sehen: Ohne Master-PW => Passwort im Klartext, mit Master-PW => PW verschlüsselt.

    Die Passwörter stehen in der signons.sqlite in jedem Fall verschlüsselt drin. ;)

    Zitat von Fox2Fox

    Stelle dir doch einfach mal folgendes Szenario vor: Jemand kommt für kurze Zeit an meinen Rechner. Und klaut die beiden Dateien. Meinetwegen auch das ganze Profil. Und kann sich dann in Ruhe daran versuchen, die PW auszulesen. Und bitte keine Gegenargumente mehr. Wieso, weshalb, warum. So ist meine Frage und es wäre nett, wenn ich darüber aufgeklärt werden könnte.

    Primär geht es also nicht darum, wie der Umstand sein mag. Sondern darum, ob die PW nun anhand der beiden Dateien key3.db und signons.sqlite ausgelesen werden können oder nicht.

    Genau das habe ich versucht zu beantworten. Du kannst ohne Master-Passwort die Passwörter vollkommen ohne Extra-Programm auslesen. Ob es ein Tool XY zum Auslesen gibt, ist in diesem Fall total unerheblich, weil Firefox das selbst kann. Bei Verwendung eines Master-Passworts brauchst du das Master-Passwort. Denn die Passwörter sind als Triple DES verschlüsselt. Das gilt als sehr sichere Verschlüsselung, das entschlüsselt man nicht mal einfach so. Im Zweifel geht alles per Brute-Force, also Durchprobieren. Der Aufwand ist halt nur extrem hoch, das sind 2^168 Möglichkeiten. Da sind wir wieder bei dem Punkt des gut gewählten Passworts. Gut, es gibt auch noch andere Angriffsmöglichkeiten, die etwas effizienter sind, aber immer noch ein extrem hoher Aufwand.