C# Client authentizität

[Thomas95]

Hey Leute

Ich schreibe gerade einen Krypto-Messenger (verwende unter anderem, RSA, AES und HMAC) und habe folgende frage:

Weiß jemand eine gute Idee, wie der Server überprüfen kann, ob der Client mein originaler und nicht ein manipulierter Client ist?
Jede Idee, die ich hatte ist mit mehr weniger Mühe knackbar :/

Gibt es hierfür überhaupt eine korrekte Lösung oder gibt es nur die "Lösung" das Manipulieren zu erschweren aber nicht unmöglich zu machen?

MfG Thomas.

 

[asdfman]

Das geht prinzipiell nicht. Wenn deine Sicherheit darauf basiert, dass der Client nicht modifiziert werden kann, solltest du dein Konzept überdenken. Auch: Selber Kryptographie basteln ist ein Rezept für eine Katastrophe.

€: Überlege dir am besten, welche Sicherheitsgarantien du dem Benutzer geben kannst und welche nicht. Und wie du die Garantien sicherstellst. Unter Umständen kannst du die Gefahr, die von einem manipulierten Client ausgeht, minimieren.

 

[Bagbag]

Da der Server ja nur das sehen kann, was ein Client an ihn sendet und der manipulierte Client einfach das gleiche senden kann wie der originale, ist es nicht wirklich möglich.

Wozu brauchst du das denn?

 

[Thomas95]

Die Sicherheit hängt nicht davon ab

Ich will nur dass niemals (außer bestimmte Keys) etwas auf dem Gerät gespeichert wird.
Dient zur Sicherheit der anderen Gesprächspartner.

 

[Bagbag]

Das kannst du vergessen. Wenn man will kann man z.B. auch einfach ein Screenshot machen.

 

[asdfman]

Ich will nur dass niemals (außer bestimmte Keys) etwas auf dem Gerät gespeichert wird.
Dient zur Sicherheit der anderen Gesprächspartner.

Dann informiere dich über Deniability. Erwähnte ich, dass Krypto selberfummeln keine gute Idee ist?