php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Sonstiges > Off-Topic Diskussionen
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Off-Topic Diskussionen Kein Platz für Deine Frage gefunden? Dann bist Du hier genau richtig!

Umfrageergebnis anzeigen: md5() vs. sha1()
md5() 16 80,00%
sha1() 4 20,00%
Teilnehmer: 20. Sie dürfen bei dieser Umfrage nicht abstimmen

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 5 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 30-01-2007, 17:58
Lennie
 PHP Senior
Links : Onlinestatus : Lennie ist offline
Registriert seit: May 2006
Beiträge: 1.013
Lennie ist zur Zeit noch ein unbeschriebenes Blatt
Standard sha1() vs. md5()

Hallo,

Würde mich mal interessieren was ihr so verwendet, und welche gründe dafür sprechen.

Habe beides genutzt bleibe aber meist doch bei der bekannteren md5() variante.
Mit Zitat antworten
  #2 (permalink)  
Alt 30-01-2007, 20:00
Shurakai
 Master
Links : Onlinestatus : Shurakai ist offline
Registriert seit: May 2004
Ort: Bergisch Gladbach
Beiträge: 3.084
Shurakai ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Im Grunde ist es egal. SHA1 generiert dir nen 40bit Hash, MD5 32.

Beide sind nicht umkehrbar.

Du kannst natürlich sha1 verwenden, allerdings spare ich mir z.B. bei Passwörtern die 8 Zeichen und verwende lieber einen Salt...
Mit Zitat antworten
  #3 (permalink)  
Alt 30-01-2007, 23:17
Lennie
 PHP Senior
Links : Onlinestatus : Lennie ist offline
Registriert seit: May 2006
Beiträge: 1.013
Lennie ist zur Zeit noch ein unbeschriebenes Blatt
Standard

nun ja es soll mittlerweile möglichkeiten md5() umzukehren, allerdings weis ich diese nicht, und weis auch nicht ob es bei sha1 geht.
Mit Zitat antworten
  #4 (permalink)  
Alt 30-01-2007, 23:41
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von Lennie
nun ja es soll mittlerweile möglichkeiten md5() umzukehren
Nein, kann es gar nicht geben - weil bei MD5 (und SHA1 auch, eigentlich bei jedem Hash-Algorithmus) verschiedene Eingabedaten das gleiche Ergebnis geben können. Das nennt man Kollisionen.

Die "Sicherheit" eines solchen Algorithmus hängt also massgeblich davon ab, wie "leicht" es ist, solche Kollisionen zu finden - also zu einem bestimmten Hash-Ergebnis "passende" Eingabedaten.

Und das ist bei MD5 mit entsprechendem Aufwand inzwischen möglich, irgendwelche Chinesen haben ein Verfahren entwickelt.

Informier dich zum Thema mal, bspw. bei der Wikipedia.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #5 (permalink)  
Alt 31-01-2007, 04:52
Slava
 PHP Senior
Links : Onlinestatus : Slava ist offline
Registriert seit: Nov 2002
Ort: Köln->Karlsruhe
Beiträge: 1.589
Slava befindet sich auf einem aufstrebenden Ast
Standard

es kann wohl sein, dass es ein algorithmus erfunden wurde, um md5 zu knacken.
Vermutlich wurde bei autauchen von den gleichen md5-werten ein logische muster gefunden.
aber es gibt ein riesige Datenbank mit allen buchstabenkombinationen bis einer bestimmter Größe und dazugehörige md5 wert von dieser Buchstabenkombination.
die Tabellen stehen eigentlich teilweise im Internet zur Verfügung.
http://www.freerainbowtables.com/ind...ables-md5.html
sha1 ist bei solchen Tabellen genau 20% von gesamter Datenmenge sicherer als md5.
Damit meine ich natürlich nicht ein verschlüsselter Text in 20 zeilen, sondern bis zu 8 zeichen grosse passwörter.
__________________
Slava
bituniverse.com
Mit Zitat antworten
  #6 (permalink)  
Alt 31-01-2007, 06:32
Andy2006
 Junior Member
Links : Onlinestatus : Andy2006 ist offline
Registriert seit: Jan 2007
Beiträge: 60
Andy2006 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Shurakai
Beide sind nicht umkehrbar.
Das ist nicht richtig.
Ich hatte mal ein Programm mit dem man MD5 Passwörter wieder entcoden kann.
Braucht alllerdings lange wenn das Passwort lange ist, und noch länger wenn Groß- Kleinbuchstaben oder Sonderzeichen verwendet werden.

Hatte es mit einem nur Kleingeschriebenen 4-Zeichen Passwort probiert, da hat es gar nicht lange gedaert bis er das richtige ausgespuckt hatte.
Mit Zitat antworten
  #7 (permalink)  
Alt 31-01-2007, 08:57
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Andy2006
Das ist nicht richtig.
Ich hatte mal ein Programm mit dem man MD5 Passwörter wieder entcoden kann.
doch, das ist richtig.
was du meinst, ist eine simple brute force attacke, bei der einfach nacheinander alle möglichen kombinationen ausprobiert werden, bis der md5 passt. und bei 4 zeichen bestehend nur aus kleinbuchstaben ist das wirklich nicht sehr aufwändig:
PHP-Code:
$pass='test';
$md5_pass=md5($pass);
$symbols=range('a''z');

foreach(
$symbols as $s1)
 foreach(
$symbols as $s2)
  foreach(
$symbols as $s3)
   foreach(
$symbols as $s4)
    if(
md5($s1.$s2.$s3.$s4)==$md5_pass)
     die(
'password found: '.$s1.$s2.$s3.$s4);

echo 
'password NOT found!'
aus diesem grund sollten passwörter auch hinreichend lang gewählt werden.
Mit Zitat antworten
  #8 (permalink)  
Alt 31-01-2007, 09:46
closure
 Master
Links : Onlinestatus : closure ist offline
Registriert seit: Mar 2006
Beiträge: 796
closure ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Andy2006
Das ist nicht richtig.
Zitat:
Original geschrieben von 3DMax
doch, das ist richtig.
Genau genommen ist beides irgendwie nicht so ganz richtig.
Man weiss nicht ob es eine umkehrfunktion gibt die leicht zu berechnen ist.
Man weiss nicht mal ob es die einwegeigenschaft überhaupt gibt.
Für den konkreten fall wäre es schön wenn man das beweisen könnte denn
dann hätte man auch P ≠ NP gezeigt. Das hiesse erstens dass MD5 eine
einwegfunktion ist und zweitens nicht in polynomzeit umgekehrt werden kann.

Warten wir ab was die mathematiker besonders im bereich der komplexitätstheorie
noch zu tage fördern.

greets
__________________
(((call/cc call/cc) (lambda (x) x)) "Scheme just rocks! and Ruby is magic!")
Mit Zitat antworten
  #9 (permalink)  
Alt 31-01-2007, 09:50
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Wenn eine Eindeutigkeit vorhanden wäre und eine Umkehrfunktion existieren würde - dann bräuchten Tauschbörsennutzer endlich nicht mehr mehrere hundert MB für einen Film über die Leitung jagen. Man würde einfach den Hash austauschen, und jeder berechnet sich daraus wieder den kompletten Film - Hurra!
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #10 (permalink)  
Alt 31-01-2007, 11:00
Benny-one
 Master
Links : Onlinestatus : Benny-one ist offline
Registriert seit: Jan 2002
Ort: Fulda
Beiträge: 5.700
Benny-one ist zur Zeit noch ein unbeschriebenes Blatt
Benny-one eine Nachricht über ICQ schicken
Standard

Zitat:
Original geschrieben von wahsaga
Man würde einfach den Hash austauschen, und jeder berechnet sich daraus wieder den kompletten Film - Hurra!
Dann würden auch ISDN Nutzer zum Zuge kommen und könnten der Industrie schaden
Mit Zitat antworten
  #11 (permalink)  
Alt 31-01-2007, 11:56
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

OffTopic:
- Gibt es
- Gar nicht
- Wohle


Ach ja: Gibts nicht. Zur Erklärung: Ob die tatsächlich in md5 umgerechnete Zeichenkette gefunden wurde, kann dir keiner sagen. Macht in dem Moment auch keinen Unterschied, wenn man es benutzt um ein Passwort auszuspähen: intern wird halt der gespeicherte md5-Schlüssel mit dem errechneten md5-Schlüssel verglichen.

Was anderes wäre, wenn man das Passwort in md5 und sha1 (obwohl sha1 afaik deutlich schneller kollidiert) speichert, und beide Hash-Werte mit dem eingegebenen vergleicht. Da hat Lukas "superhacker95" Schmitz aus Schweinsbach direkt mal mehr zu tun
Mit Zitat antworten
  #12 (permalink)  
Alt 31-01-2007, 11:56
Hopka
 PHP Expert
Links : Onlinestatus : Hopka ist offline
Registriert seit: May 2003
Ort: Köln
Beiträge: 2.172
Hopka ist zur Zeit noch ein unbeschriebenes Blatt
Hopka eine Nachricht über ICQ schicken
Standard

Also mit der von den Chinesen entwickelten Methode kann man nicht MD5 umkehren, sondern in sehr kurzer Zeit Kollisionen finden. Das bedeutet, dass man einen Klartext braucht und daraus in sehr kurzer Zeit einen zweiten Klartext berechnen kann, der den selben MD5-Hashwert hat.

Wer Spaß dran hat, kann mal die folgenden beiden PostScript-Dateien ansehen und die MD5-Hashes vergleichen:
http://www.cits.rub.de/imperia/md/co...tter_of_rec.ps
http://www.cits.rub.de/imperia/md/co...agnus/order.ps

Und die Rainbow Tables enthalten nicht alle möglichen Kombinationen aus Klartext und Passwort, sondern nur relativ wenige, die aber so angeordnet sind, dass man darauf schnell suchen kann und auch die nicht enthaltenen Kombinationen findet.


Wer hat denn heutzutage noch kein DSL?
__________________
hopka.net!
Mit Zitat antworten
  #13 (permalink)  
Alt 31-01-2007, 13:47
Shurakai
 Master
Links : Onlinestatus : Shurakai ist offline
Registriert seit: May 2004
Ort: Bergisch Gladbach
Beiträge: 3.084
Shurakai ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Andy2006
Hatte es mit einem nur Kleingeschriebenen 4-Zeichen Passwort probiert, da hat es gar nicht lange gedaert bis er das richtige ausgespuckt hatte.
Angenommen du hast Möglichkeiten ein Wort mit 4 Buchstaben aus 100 Zeichen zusammenzubauen (egal ob sinnlos oder sinnvoll), dann hast du also 100 * 100 * 100 * 100 = 10^8 Möglichkeiten. Das ist relativ wenig und geht schnell von der Hand.


EDIT:
man hat 10^8 und nicht 10^7 Möglichkeiten... war mir garnicht aufgefallen dass ich 10^7 geschrieben hab ....

Geändert von Shurakai (20-03-2007 um 11:04 Uhr)
Mit Zitat antworten
  #14 (permalink)  
Alt 31-01-2007, 21:00
subabrain
 Registrierter Benutzer
Links : Onlinestatus : subabrain ist offline
Registriert seit: Aug 2005
Ort: Psychiatrie
Beiträge: 404
subabrain ist zur Zeit noch ein unbeschriebenes Blatt
Standard

hallo,

wo is tiger oder whirlpool?

gruß
Robert
Mit Zitat antworten
  #15 (permalink)  
Alt 31-01-2007, 21:23
Shurakai
 Master
Links : Onlinestatus : Shurakai ist offline
Registriert seit: May 2004
Ort: Bergisch Gladbach
Beiträge: 3.084
Shurakai ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Was?
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

HeidiSQL - kostenloses MySQL front-end Editor für Windows ansehen HeidiSQL - kostenloses MySQL front-end Editor für Windows

HeidiSQL - ist ein Windows-Editor für die bekannt open Source Datenbank mySQL

10.12.2018 Berni | Kategorie: MYSQL/ Management
piwik Open-Source Webanalyse-Software ansehen piwik Open-Source Webanalyse-Software

piwik ist eine gute Alternative zu Google Analytics. Viele Features und ein modernes Erscheinungsbild mit aussagefähigen Statistiken in Echtzeit

10.12.2018 phpler | Kategorie: PHP/ Besucherzaehler
jQuery Mobile ansehen jQuery Mobile

Touch-Optimized Web Framework für Smartphones & Tablets

09.12.2018 phpler | Kategorie: AJAX/ Framework
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 06:55 Uhr.