DistriPass

Shamir的秘密共享方案NFC

Mit DistriPass ist es möglich, ein Passwort sicher und verlässlich auf mehreren NFC-Tags zu speichern. Zur Rekonstruktion ist eine vorher festgelegte Mindestanzahl dieser Tags erforderlich - hat man weniger, so erfährt man gar nichts über das Passwort. Zur Erzeugung dieser Teilschlüssel wird Shamir's Secret Sharing Scheme verwendent; vgl. https://en.wikipedia.org/wiki/Shamir's_Secret_Sharing

Teilschlüssel kann man auch im Android-Gerät hinterlegen. Des weiteren lässt sich das Passwort zusätzlich noch mit einer PIN verschlüsseln, um zum Haben der Teilschlüssel auch noch das Wissen um die PIN als weiteres Sicherheitsmerkmal hinzuzufügen.

Wenn so geschützte Passwörter zum Beispiel für den Login in einer anderen App benötigt werden, dann definiert man dafür Profile. Diese enthalten Informationen über die zu startende App, ob das Passwort direkt in die Zwischenablage kopiert werden soll und noch mehr. Für die Nutzung von KeePass gibt es eine Sonderfunktion, die das Passwort und die KeePass-Datenbank direkt beim Start an die App übermittelt, ohne die Zwischenablage zu nutzen.

Wer ein Passwort mit einer PIN verschlüsselt und mit verschiedenen anderen PINs wieder "entschlüsselt", erhält auf diese Weise einen einfachen und sicheren Passwort-Generator, der aber noch zusätzlich über die NFC-Tags abgesichert ist.

Anwendungsbeispiele:

Login-Passwort für einen Online-Dienst:

• Aufteilen des Passworts in zwei Teile mit PIN

• Eines bleibt im Gerät gespeichert

• Rekonstruktion mit NFC-Tag und PIN

• Automatischer Start der App

• Einfügen des Passworts aus der Zwischenablage

Mehrere Logins für denselben Dienst (z. B. zwei Google-Accounts):

Vorbereitung:

• Passwort wählen und aufteilen in zwei Teile mit PIN

• Entschlüsseln mit PIN_1 bis PIN_n

• Die erhaltenen Passwörter als neue Passwörter beim Online-Dienst einsetzen

Verwendung:

• Mit passender PIN_x entschlüsseln, um das gewünschte Passwort zu rekonstruieren

• Automatischer Start der App

• Einfügen des Passworts aus der Zwischenablage

Sichere Hinterlegung eines immens wichtigen Passworts:

• Aufteilen in fünf Teile, von denen drei benötigt werden

• Verteilen der Schlüssel auf alle Kontinente 😉

Technisches:

Zur Speicherung reichen NFC-Tags mit 144 Byte aus. Die Passwortlänge ist deshalb auf 74 Zeichen beschränkt. Bei Verwendung reduzierter Zeichensätze sind auch längere Passwörter möglich.

Alle Rechenoperationen erfolgen modulo p = 2^607 - 1. Die PIN-Verschlüsselung ist eine einfache Multiplikation / Division modulo p.

Auf den Nexus-Geräten 4, 5, 6, 5X und 10 liegt das NFC-Symbol genau an der Stelle des sweet spot.

Berechtigungen:

Speicher (extern): Da die Übergabe der KeePass-Datenbank als Dateiname für neuere Androidversionen (ab API 24, Nougat) nicht mehr erlaubt ist, muss stattdessen über einen FileProvider ein eigenes Recht an der Datei weitergereicht werden. Deshalb benötigt diese App selbst Zugriff auf den externen Speicher, wo sich die Datenbank für KeePass befindet.