0xc0d3 ermöglicht die kostenlose Verschlüsselung von E-Mails

Kommentare zu folgendem Beitrag: 0xc0d3 ermöglicht die kostenlose Verschlüsselung von E-Mails

Jemand hat einen schwerwiegenden Fehler gefunden:

Die Implementierung scheint fehlerhaft zu sein. Wenn ich den Key zu Entschlüsselung etwas verändere kann die Nachricht dennoch fehlerfrei entschlüsselt werden.
Auch ohne den Fehler ohne Quellcode eh nicht vertrauenswürdig.

Ich habe das per E-Mail weitergegeben.

Wollte grad einmal den Fehler reproduzieren…bei mir funktioniert die Entschlüsselung mit dem orig. Key schon nicht…!?
Andererseits kann ich der „Zuckerbude“ nur recht geben, dass ein solcher Dienst ohne jegliche Angaben über den Code oder den Verschlüsselungs-Algo nicht wirklich vertrauenserweckend ist…

Doch, mit dem Key ging es sofort bei mir. Vielleicht hatte ich einfach Glück. Schauen wir mal, was passieren wird. :wink:

Okay…hat mit dem Key nun auch bei mir funktioniert :wink:
Allerdings habe ich danach alle Browser-Daten gelöscht, habe die Seite neu aufgerufen und den gleichen Text reinkopiert. Habe den alten Key genommen und die letzten drei Stellen am Ende gelöscht. Diesen verkürzten Key habe ich dort reinkopiert und siehe da, der Text wurde entschlüsselt ?? Das dürfte ja nicht der Fall sein !

Mhpff… echt jetzt? Die hätten lieber bei ihren Kernthemen bleiben sollen, wie es scheint.

Erklärbar wäre solch ein Fehler aber eigentlich nur, wenn der Server sich die letzte Entschlüsselung merken würde und diese dann über Fingerprint-Speicherung oder die IP-Adresse, dem Benutzer mit dem veränderten Key wieder anzeigt ! Das geht bei solch einem Dienst aber überhaupt nicht…! :wink:

Der Typ schrieb mir jetzt als Update

Added even longer key - 256.

Habe jetzt nochmal getestet - hatte nun keine Probleme mehr, nachdem ich den Key manipuliert habe!! Die Schlüsselfälschung wurde jedes Mal erkannt als „Invalid Key“!! Der Test wurde in drei verschiedenen Browsern (FF, Chromium, TOR-Browser) durchgeführt, der Key wurde am Anfang und am Ende abwechselnd um diverse Stellen verkürzt / manipuliert. So, wie es sein soll - nur der originale Key konnte zum decrypten genutzt werden! :wink:

Email-Text:
hamburg-humbug! alles zusammen nur quatsch 2021…

Email-Text verschlüsselt:
-----BEGIN 0xc0d3 MESSAGE-----
iPvDGSG5M7wyE8TqjK2D0f2+ahjy57jXGvQC7CaS
VlurAcpDPfHGzGTFvQ9sK2Z/pEE/eglr2ttDDTVA
Z3B9WU8xh/jWfdUrndwU/RKai9af4D7hwMRmdBdt
3lD2jqr2LGOT93jOVHJIZbmb0LX8DmBmWQyLn92W
DJ6ffMUOh1Az9PPuckc+ucwC3YThCKbiVES0s1SI
RbmtABSst+gnQPVjfuVSOcdIkjRa7l5RZ2ExKFl8
AK7FdgiegKBM5w01EM2L+tMbTUY7pCvgtFC32A==
-----END 0xc0d3 MESSAGE-----

Original Key:
The mail recipient will need key to decrypt your mail message, send him/her this key via your preferred way. The key:
853b87d6a8b90ee8b13c37396754537a7cc151eb9843f7db815fff858a55e91b1af8e679b44f476fc1c24f4dee1ed803abd1b00241518e14be14ffbed3d76494bce994490a8ee084c2a5a33a6f5fc2db107959b1b33c0fda282d7727aac5250de4775dc155c641f96155d1524f9bcdb9d3ddb80bde5a62cb12d5cd2862a89a0e

:ok_hand: