Verschlüsselung der Datenbank - Seite 2

spoi · 18.05.2005, 03:48

es ist möglich das zwei verschiedene Strings wenn sie gehasht worden den gleichen hash ergeben.
Dies muss auch so sein weil egal wie lang die zu hashende Zeichenkombination ist der Hash bleibt immer gleich lang (ich mein bei md5 sinds 16 Zeichen).
Es wurden nur besher noch keine zwei Zeichenkombinationen gefunden, die den gleichen hash ergeben (obwohl einige Rechner daran arbeiten)!

18.05.2005, 04:18

Zitat:

Zitat von spoi

Es wurden nur besher noch keine zwei Zeichenkombinationen gefunden, die den gleichen hash ergeben (obwohl einige Rechner daran arbeiten)!

Ein Chinese hat den Code letztes Jahr mal geknackt und auch Formeln dazu geliefert, mit welchen es knapp ne Stunde dauert einen Hash mit einem anderen "input" zu rekonstruieren.

18.05.2005, 04:28

Zitat:

Ein Chinese hat den Code letztes Jahr mal geknackt und auch Formeln dazu geliefert, mit welchen es knapp ne Stunde dauert einen Hash mit einem anderen "input" zu rekonstruieren.

18.05.2005, 06:57

Quelle?

Ein Chinese ist nämlich letztes Jahr auch in einer umgebauten Waschmaschine zum Mars geflogen - in einer Stunde. Vielleicht war's ja der selbe

axo · 18.05.2005, 08:00

Zitat:

Zitat von spoi

es ist möglich das zwei verschiedene Strings wenn sie gehasht worden den gleichen hash ergeben.

richtig.

Zitat:

Dies muss auch so sein weil egal wie lang die zu hashende Zeichenkombination ist

völliger quatsch. nimm die funktion 'function(x) { return x; }' mal als hashfunktion - diese gibt bei verschieden langen strings garantiert verschiedene ergebnisse zurück. es muss also nicht so sein.

Zitat:

der Hash bleibt immer gleich lang (ich mein bei md5 sinds 16 Zeichen).

guck lieber nochmal nach.

Zitat:

Es wurden nur besher noch keine zwei Zeichenkombinationen gefunden, die den gleichen hash ergeben (obwohl einige Rechner daran arbeiten)!

guck lieber hier auch nochmal nach.

ja, und drachen gibt's wirklich ...

18.05.2005, 08:18

Ah, ich habe die Veröffentlichung dazu gefunden.
Aber da wird (jedenfalls soweit ich das verstanden habe) der hier vorliegende Fall explizit ausgenommen.

Die Behauptung ist, dass zu einem gegeben Klartext (und damit auch bekanntem md5-hash) ein weiterer Klartext (mit stark begrenzter Wahlfreiheit) mit dem selben md5-hash erzeugt werden kann, mit deutlich geringerem Aufwand als brute-force.
Aber eben nicht nur aus einem md5 hash allein.

robo47 · 18.05.2005, 08:34

Zitat:

Zitat von VolkerK

Ah, ich habe die Veröffentlichung dazu gefunden.
Aber da wird (jedenfalls soweit ich das verstanden habe) der hier vorliegende Fall explizit ausgenommen.

Die Behauptung ist, dass zu einem gegeben Klartext (und damit auch bekanntem md5-hash) ein weiterer Klartext (mit stark begrenzter Wahlfreiheit) mit dem selben md5-hash erzeugt werden kann, mit deutlich geringerem Aufwand als brute-force.
Aber eben nicht nur aus einem md5 hash allein.

der link zu dem artikel würde mich mal brennend interessieren

18.05.2005, 09:09

vergessen, mit anzugeben.

Ich hab nur noch http://jis.mit.edu/pipermail/saag/2004q3/000914.html im Verlauf. Und von da aus dann nach den Namen samt md5 collision gesucht.
Sehr viele Details habe ich dazu auch nicht gefunden. Aber mehrmals, dass

Zitat:

Note that he cannot (currently) generate a message M such that Hash(M) is a given hash value

auch für die bekanntgewordene md5-Attacke gilt.

tapferesschneiderlein · 18.05.2005, 09:45

Also ...

Daß zwei unterschiedliche Strings identische Prüfsummen haben können, ist ja schon deshalb klar, weil ein MD5-String immer 32 Hexzeichen lang ist, es also nur 16^32 (340.282.366.920.938.500.000.000.000.000.000.000.0 00) verschiedene Prüfsummen gibt, aber eben wesentlich mehr (nämlich unendlich viele) verschiedene Strings.

Zitat:

Zitat von NewBert

Zitat:

Zitat von phpfan

der Hoster kommt nicht nur an deine Datenbank, er kommt auch an dein Script, mit dem du die Daten codierst und decodierst.

gutes Argument... wie ist es wenn die Skripte nun kompiliert sind (z.b. Zend)?

Zitat:

zur Sache mit der Suche:
PHP:

<?php
$insert_query =
'INSERT INTO tabelle ( feld )
VALUES ( ENCODE( "' . $text . '", "' . $password . '") )';

$query =
'SELECT
feld
FROM
tabelle
WHERE
DECODE( feld, "' . $password . '") LIKE "%' . $suchstring . '%"';

?>

macht das sinn? Wer Zugriff auf die DB bekommt, wendet auf die verschlüsselten Daten dann einfach das mysql-interne decode an

1. Wenn Dein Hoster die Kommunikation zwischen PHP und MySQL überwacht (loggt), kommt er auch an ein ZEND-kompiliertes Paßwort.

2. Das MySQL-interne DECODE() braucht ein Paßwort ...

Weitere Quellen zum Fall von MD5 und SHA:
http://www.heise.de/security/news/meldung/50148
http://www.heise.de/security/artikel/54554

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Array Inhalte in eine Datenbank über tragen	Munsi1	PHP Tipps 2008	5	11.04.2008 13:28
Mit php dynamisch Namen von Bildnamen sowie Pfad in mysql Datenbank speichern	mallmis	PHP Tipps 2008	1	19.11.2007 23:04
Verbindung zu einer Datenbank im LAN		Datenbanken	11	25.09.2005 12:18
Mehrere Anwendungen eine Datenbank...		Datenbanken	5	15.08.2005 11:22
mysql datenbank anlegen...aber WIE???		Datenbanken	0	05.08.2005 19:33
[Erledigt] mysql datenbank anlegen...aber WIE???		PHP Tipps 2005-2	0	05.08.2005 19:33
mysql datenbank anlegen...aber WIE???		Datenbanken	0	05.08.2005 19:32
[Erledigt] mysql datenbank anlegen...aber WIE???		Datenbanken	0	05.08.2005 19:31
[Erledigt] mysql datenbank anlegen...aber WIE???		Datenbanken	0	05.08.2005 19:31
[Erledigt] mysql datenbank anlegen...aber WIE???		Datenbanken	0	05.08.2005 19:29
[Erledigt] mysql datenbank anlegen...aber WIE???		Datenbanken	0	05.08.2005 19:29
[Erledigt] Seiten in PHP mit Datenbank		PHP Tipps 2005-2	3	24.07.2005 09:07
Zugriff auf Sybase 8 Datenbank über ADOdb		PHP-Fortgeschrittene	15	06.04.2005 15:55
Eintrag in Datenbank mittels Formular?		Datenbanken	5	16.12.2004 17:36
[Erledigt] MySQL findet Datenbank nicht		Datenbanken	10	21.10.2004 09:14

18.05.2005, 03:48
spoi Erfahrener Benutzer Registriert seit: 02.07.2004 Beiträge: 338	es ist möglich das zwei verschiedene Strings wenn sie gehasht worden den gleichen hash ergeben. Dies muss auch so sein weil egal wie lang die zu hashende Zeichenkombination ist der Hash bleibt immer gleich lang (ich mein bei md5 sinds 16 Zeichen). Es wurden nur besher noch keine zwei Zeichenkombinationen gefunden, die den gleichen hash ergeben (obwohl einige Rechner daran arbeiten)! __________________ MfG spoi


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

18.05.2005, 06:57
Gast Beiträge: n/a	Quelle? Ein Chinese ist nämlich letztes Jahr auch in einer umgebauten Waschmaschine zum Mars geflogen - in einer Stunde. Vielleicht war's ja der selbe

18.05.2005, 08:18
Gast Beiträge: n/a	Ah, ich habe die Veröffentlichung dazu gefunden. Aber da wird (jedenfalls soweit ich das verstanden habe) der hier vorliegende Fall explizit ausgenommen. Die Behauptung ist, dass zu einem gegeben Klartext (und damit auch bekanntem md5-hash) ein weiterer Klartext (mit stark begrenzter Wahlfreiheit) mit dem selben md5-hash erzeugt werden kann, mit deutlich geringerem Aufwand als brute-force. Aber eben nicht nur aus einem md5 hash allein.