SALT-Code

anon30104326 · 11. November 2019 um 15:32

Hi WWW-lers,

gestern war ich im Kino und sah mir den Film „Salt“ (1). Da mir das Wort „Salt“ irgendwie bekannt vorkam, suchte ich vorher im Web was sein könnte (neben dem Film, versteht sich) und kam zu der Erkenntnis, dass es mit Kryptologie zu tun hat.

Wie es aussieht hat das mit „verschleiung“ von Wörtern zu tun und wird oft für die Kodierung von Passwörter verwendet. Alles basiert auf Mathematik und Wahrscheinlichkeitsberechnung.

Meine Bitte an Euch ist:

Könnt Ihr mir NUR ANHAND BEISPIELE sagen, warum fast unmöglich ist, einen Text zu entziffern, wenn dafür diese „Technik“ verwendet wird?

Vielen Dank!

Schönen Gruß,
Helena

(1) Wer im o.g. Film etwas von dieser Sprache sucht, wird dabei enttäuscht. Es hat nichts mit „Salt“-Code zu tun.

Thomas_Fischbach_ac0842 · 11. November 2019 um 15:32

Hallo Helena,

„nur an Hand (von) Beispiel(n)“ erklären kann ich Dir dieses nicht, falls Du einen mathematischen Beweis am Beispiel einse Passwortet erwartest. Dazu habe ich im Mathematikunterricht zu wenig aufgepaßt …

Sehr vereinfacht gesagt, ist eine übliche Verschlüsselung sehr angreifbar, wenn man sogenannte „Dictionary-Attacken“ durchführt. Klassisches Beispiel ist die MD5-„Verschlüsselung“ bei Windows NT4. Alle Worte in einem Wörterbuch werden ebenfalls verschlüsselt. Nun vergleicht man den MD5(Hash-Wert) des herauszufindenden Passwortes mit allen gespeicherten MD5-Werten des Wörterbuches. Und das jeder Hash einzigartig ist, finden wir früher oder später eine Übereinstimmung mit einem Eintrag in unserem „Wörterbuch“. Und jetzt haben wir das Passwort im Klartext.

Bei einem „gesalten“ Hash hängen wir an jedes Passwort einen zufälligen Wert, den Salt eben, an.

Jetzt muß der Angreifer zusätzlich jeden Eintrag seine Wörterbuches mit dem ihm unbekannten Salt codieren. Und das dauert und dauert, je nach Qualität des Salts.

Nehmen wir an, Dein Passwort wäre „Helena“. Der MD5-Hash wäre dann „8f5696351d40139b803a68a8cef76cea“. Sieht doch sicher aus, oder!?

Jetzt rufe ich z.B. die Seite:

http://md5crack.com/crackmd5.php

auf, gebe dort den MD5-Wert (8f5696351d40139b803a68a8cef76cea) ein und erhalte folgende Antwort:

„Found: md5(„Helena“) = 8f5696351d40139b803a68a8cef76cea“

Dumm gelaufen …

Bei Einsatz eines Salt würde das verschlüsselte Passwort z.B. aus 2 Teilen bestehen,

dem Salt, z.B.

LPgB0sdgx

und dem Passwort im Klartext, „Helena“, also

LPgB0sdgxHelena

Der MD5-Wert dafür ist

6024de2f64c01c0bd356f1c306b13139

Nun versuches noch einmal auf

http://md5crack.com/crackmd5.php

und das Ergebnis lautet:

„Sorry guess we couldn’t find it“.

Mehr findest Du z.B. hier:

http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29

und hier:

http://www.aspheute.com/artikel/20040105.htm

http://www.webmasterpro.de/coding/article/php-sicher…

Schönen Tag noch

tf

anon30104326 · 11. November 2019 um 15:33

Hallo Thomas,
vielen herzlichen Dank für Deinen Beitrag und die tolle Erklärung!
(Übrigens: Zwei den von Dir genannten Seiten kannte ich schon) ;o))

„nur an Hand (von) Beispiel(n)“ erklären kann ich Dir dieses
nicht, falls Du einen mathematischen Beweis am Beispiel einse
Passwortet erwartest. Dazu habe ich im Mathematikunterricht zu
wenig aufgepaßt …

Ups! Und ich dachte dass diese „Salt“ nur mathematisch war!!!..
(Ja, ich war nie eine Leuchte in Mathe…)

Nun vergleicht man den MD5(Hash-Wert)

Was ist überhaupt einen „Hash-Wert“? In meinen Ohren hört sich wie etwas aus dem Betäubungsmittelgesetz an! ;o)))

Bei einem „gesalten“ Hash hängen wir an jedes Passwort einen
zufälligen Wert, den Salt eben, an.

Und wie ist dieses Wert gebaut? Es ist nur eine Ziffer? Oder zwei?..

Nehmen wir an, Dein Passwort wäre „Helena“.

Griiiiiiiiiiiiins!

Der MD5-Hash wäre
dann „8f5696351d40139b803a68a8cef76cea“. Sieht doch sicher
aus, oder!?

Woher nimmst Du diese Zahlen?

Jetzt rufe ich z.B. die Seite:

http://md5crack.com/crackmd5.php

„Scho wida“ was aus dem Betäubungsmittelbranche! ;o))

Bin ich richtig in der Annahme, dass die die Grundlage alle Arbeiten eines PC-Piraten und/oder Menschen, die sich ilegal in Datenbanken udg. einnisten?

und das Ergebnis lautet:

„Sorry guess we couldn’t find it“.

Warum kommt mir so vor, als ob als nächstes mir ein weißes Kaninchen aus einem Zylinderhut erscheinen wird???

Mehr findest Du z.B. hier:
http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29

Diese Seite hate ich mir schon angeschaut.

Schönen Tag noch

Also nochmals vielen herzlichen Dank. Ein Sternchen hast Du von mir!
Allerdings klar ist es mir nach wie vor, nicht :o(((

Dir auch einen schönen Tag und viele Grüße,
Helena

Thomas_Fischbach_ac0842 · 11. November 2019 um 15:33

Hallo 8f5696351d40139b803a68a8cef76cea,

ich habe mir die Begriffe nicht ausgedacht, obwohl ich ein großer Freund des noch größeren Kaninchens bin (http://www.youtube.com/watch?v=EejZZwe1Ciw).

„Hash“ kommt von zerhacken, auf gut Deutsch: Streuwertfunktion. Bevor mich die echten Informatiker in diesem Brett verfluchen, in diesem Link

http://de.wikipedia.org/wiki/Hashfunktion

wird das Ganze halbwegs verständlich und hoffentlich erklärt.

Das Passwort „Helena“ wird zu „8f5696351d40139b803a68a8cef76cea“, wenn ich den MD5-Algorithmus darauf anwende (http://de.wikipedia.org/wiki/Message-Digest_Algorithm_5).

Deine Frage: „Woher nimmst Du diese Zahlen?“ kann ich nur so beantworten, daß aus „Helena“ über MD5 IMMER „8f5696351d40139b803a68a8cef76cea“ wird.

Und das eben ist das Unangenhme. In meinem Lexikon habe ich - als potentieller Angreifer - ja bereits die Hash(es) aller Vornamen, also auch den Wert 8f5696351d40139b803a68a8cef76cea, hinter dem in dicken Buchstaben Helena steht. Nichts anderes als ein deutsch-walisisches Lexikon, nur das hier in der linken spalte die Hash-Werte und in der rechten Seite der Klartext steht. In Verbinding mit sogenannten „Rainbowtables“ und einer schnellen Grafikkarte, die heute auch zur Entschlüsselung genutzt werden kann und wird, bin ich in Windeseile am Ziel.

Woher den Salt nehme? Unterschiedlich. Eine sehr einfache Möglichkeit wäre z.B. die UID (Benutzer-Nummer) bei einem Linux-Systems. In einem solchen Falle hätte ich z.B. helena312, wenn denn die Helena die Butzer-Nummer 312 hätte.

(ergibt: md5(„helena312“) = e7b4bcddf1839cfd6c7117e4a5888d9b).

Allerdings gibt es noch deutlich sichere Ansätze, deren Erörterung allerdings diesen Rahmen sprengen würde. Weiterhin gibt deutlich durchdachtere Ansätze, Passworte zu knacken.

Dennoch - wird sicher auch Angelina bestätigen - kann ein gesalteter MD5 als ausreichend sicher gelten.

In diesem Zusammenhang kann ich dir ein nettes und spannendes Buch empfehlen:

http://en.wikipedia.org/wiki/Cryptonomicon

Danach wirst du immer ein Kartenspiel bei Dir tragen …

Schönen Abend noch

tf

anon30104326 · 11. November 2019 um 15:35

Hallo 8f5696351d40139b803a68a8cef76cea,

Hallo 751f1fa16e1edcecab0d17c6711f73c2
;o))

Also, vielen herzlichen Dank für Deine Hilfe und Unterstützung.
Ich glaube ich werde es mir das ganze langsam zu Gemüte führen. Aber eben langsam.

81e29a3245e65ef4ca4bd6371eab910d

d221617726ca23fcc0c38cd411387a69
Viele Grüße,
Helena
PS. ein Sternchen kriegst Du von mir! :o)))

Thomas_Fischbach_ac0842 · 11. November 2019 um 15:36

Hallo Helena,

vielen Dank.

Leider hat mein Lieblingsrechner „Aua“. Aber am dienstag werde ich Dir eine entsprechende Antwort schicken.

Schönen Abend noch

Thomas