Unveränderbar und sicher: Die Magie der Hashfunktionen
Was sind Hashes und wie funktionieren sie?
Ein Hashwert oder kurz Hash ist das Ergebnis einer Hashfunktion. Eine Hashfunktion macht einfach ausgedrückt nichts Anderes, als einen beliebigen Input in einen in der Länge festgelegten Output zu verwandeln. Man kann sich eine Art Quersumme / Prüfsumme einer Datei dabei vorstellen, um ein Gefühl dafür zu bekommen.
Die Hashfunktion nimmt beispielsweise eine Datei und berechnet in verschiedenen Schritt einen Hashwert, meist in Form eines Hexadezimalen Ergebnisses.
Die Datei kann nun nicht mehr ohne Wissen verändert werden, denn man kann zu jeder Zeit selbst den Hashwert berechnen und bekommt ausschließlich dann dasselbe Ergebnis, wenn die Datei exakt die selbe ist. Es gibt verschiedene Arten von Hashfunktionen, einige der bekannteren sind SHA oder MD5.
Anforderungen an Hashfunktionen
- Hashfunktionen müssen Einweg-Funktionen sein. (Aus dem Hashwert darf man nicht die Datei / Klartext Nachricht reproduzieren können)
- Hashfunktionen müssen kollisionssicher sein (Für zwei unterschiedliche Dateien, darf nicht dieselbe Prüfsumme / Hashwert entstehen)
Anwendungsbereiche von Hashfunktionen
Digitale Signaturen
Hashes werden unter anderem für Digitale Signaturen verwendet. Diese findet man oft auf Download Seiten von Softwareanbietern, die Ihre Software vor Manipulation schützen wollen. Auch kommen diese Prüfsummen bei Systemdownloads zum Einsatz, um die Vollständigkeit beispielsweise einer ISO-Datei zu überprüfen. Der Vorteil von Hashfunktionen ist die Geschwindigkeit. Hashwerte können, abhängig vom entsprechenden Algorithmus, sehr schnell berechnet werden.
Speicherung von Passwörtern
Hashing kommt auch bei der Speicherung von Passwörtern in Datenbanken zum Einsatz. Dabei werden die Passwörter der Benutzer nicht im Klartext abgespeichert, sondern vor dem Speichern durch eine Hashfunktion „anonymisiert“. Abhängig von der verwendeten Hashfunktion kann diese Maßnahme durchaus ein weiteres Level an Sicherheit gewährleisten. Bei der Verwendung von Verfahren wie MD5 oder SHA1 sollte zusätzlich noch ein Verfahren namens Salting angewendet werden, um die Datensätze vor Angriffen mit Rainbow Tables zu schützen.
Salting
Salting bezeichnet ein Verfahren, bei dem den Klartext Passwörtern zusätzlich noch willkürliche Zusatzinformationen beigemischt werden. Dieses „salzen“ der Daten mit unnützem „Müll“ sorgt dafür, dass Angriffe mit Rainbow Tables scheitern. Durch die zusätzlichen Daten im Hashwert kann der Angreifer das eigentliche Passwort nicht mehr auslesen bzw. in der Rainbow Table anzeigen lassen.
DIY Hashing - MD5 Hashes hacken
Für alle diejenigen unter Ihnen, die selbst mal ausprobieren wollen wie Hashes funktionieren und wie schnell einfache MD5 Hashes Ihren Klartext preisgeben, für die haben wir hier eine Anlaufstelle:
Hashes zum selber-ausprobieren
Klartext Passwort: Hallo Welt
MD5 Hashwert: 5c372a32c9ae748a4c040ebadc51a829
Klartext Passwort: 123456789
MD5 Hashwert: 25f9e794323b453885f5181f1b624d0b
Klartext Passwort: qwerty
MD5 Hashwert: d8578edf8458ce06fbc5bb76a58c5ca4
Klartext Passwort: 111112
MD5 Hashwert: 9a952cd91000872a8d7d1f5ee0c87317
Klartext Passwort: 111111
MD5 Hashwert: 96e79218965eb72c92a549dd5a330112
Klartext Passwort: 1234567890
MD5 Hashwert: e807f1fcf82d132f9bb018ca6738a19f
Klartext Passwort: password
MD5 Hashwert: 5f4dcc3b5aa765d61d8327deb882cf99