1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hash-Funktion: SHA-3 ist jetzt…

Ein Crypto Hash standardisiert von einer US-Behörde?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Nihilist 05.08.15 - 19:24

    Na, wenn da mal keine Backdoor drin ist...

    scnr :)

  2. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: ikhaya 05.08.15 - 19:53

    Nach einem öffentlichen Wettbewerb wo jeder Experte seine Meinung abgeben konnte.

  3. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Anonymer Nutzer 05.08.15 - 20:33

    Nihilist schrieb:
    --------------------------------------------------------------------------------
    > Na, wenn da mal keine Backdoor drin ist...
    >
    > scnr :)

    Wozu braucht eine Hash Funktion eine Backdoor?

  4. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Iomega 05.08.15 - 20:43

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > Nihilist schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Na, wenn da mal keine Backdoor drin ist...
    > >
    > > scnr :)
    >
    > Wozu braucht eine Hash Funktion eine Backdoor?

    Vielleicht die erste Hashfunktion, die sich Rückgängig machen lässt :D

  5. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Cobinja 05.08.15 - 21:21

    Wie soll das gehen bei einer Funktion, die eine unbegrenzte Anzahl verschiedener Eingaben verarbeiten kann, aber nur eine begrenzte Zielgröße hat?

  6. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Anonymer Nutzer 05.08.15 - 21:47

    Cobinja schrieb:
    --------------------------------------------------------------------------------
    > Wie soll das gehen bei einer Funktion, die eine unbegrenzte Anzahl
    > verschiedener Eingaben verarbeiten kann, aber nur eine begrenzte Zielgröße
    > hat?

    Na ja, wenn man Zugangsdaten knacken will wäre dies kein Problem - ich brauche nur denn Fall hash(x) = hash(y) wobei nicht zwingend x=y.
    Aber auch bei einem reverse engineering der Eingabe könnte man vermutlich Limits setzen - es gibt nämlich nur eine begrenzte Anzahl an eingeben pro Eingabenlänge - sprich, die Anzahl an möglichen Eingaben mit zum Beispiel 10 Zeichen ist endlich.

    Und da es unwahrscheinlich ist dass ein Passwort länger als, sagen wir 20 Zeichen, ist, ist die Anzahl der Lösungen schon begrenzt. Bei 50 Zeichen sollte man auch die paar Sonderfälle erwischen.
    Andererseits, als US Behörde ist ein Gerichtsbeschluss wesentlich einfacher - auch international.

    Interessanter wäre vermutlich etwas anderes:
    Hash(software-X) = Y
    Find Hash(Software-X-modified) = Y

    Hier wäre das "Modified" ein entsprechendes Padding.
    Das könnte dann aber auch andere Probleme verursachen - mich ein relativ großes Padding oder ist eventuell für manche Kombinationen unmöglich.

  7. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: sachenMachen 05.08.15 - 23:11

    um auf den titel einzugehen: ja, eine hash-funktion standardisiert von einer US behörde. sobald du dich mal ein bisschen mit security beschäftigst wist du recht schnell mal über FIPS stolpern.

  8. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Popkornium18 05.08.15 - 23:11

    Also, was IT-Sicherheit angeht, ist mein Aluhut auch eher fest gewickelt, aber die Tatsache, das ein Crypto Hash von einer US-Behörde standardisiert wurde, lässt ihn noch nicht glühen.

    Das sehe ich doch eher gelassen, nur weil "Irgendwas mit IT-Sicherheit" irgendwas mit den USA zu tun hat, muss man nicht gleich wahnwichteln.

  9. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Atalanttore 06.08.15 - 01:47

    Vieles was mit IT-Sicherheit zu tun hat wurde schon einmal von einer US-Behörde standardisiert.

  10. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: rabatz 06.08.15 - 09:10

    Was du hier beschreibst ist eine Hash-Kollision.

  11. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: andi_lala 06.08.15 - 09:17

    Das wäre arg gefährlich für die U.S. Regierung. Man stelle sich vor jemand anders findet das Backdoor (und russische / chinesische Regierungs-Hacker würden das wohl) und könnten nun problemlos einen Großteil der eigentlich verschlüsselten Daten der U.S. Regierung knacken, da diese ja zukünftig diesen Standard verwenden wird.

  12. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Anonymer Nutzer 06.08.15 - 10:01

    andi_lala schrieb:
    --------------------------------------------------------------------------------
    > Das wäre arg gefährlich für die U.S. Regierung. Man stelle sich vor jemand
    > anders findet das Backdoor (und russische / chinesische Regierungs-Hacker
    > würden das wohl) und könnten nun problemlos einen Großteil der eigentlich
    > verschlüsselten Daten der U.S. Regierung knacken, da diese ja zukünftig
    > diesen Standard verwenden wird.

    Es ist ein Hash keine Verschlüsselung.

  13. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: andi_lala 06.08.15 - 10:32

    Eh klar, aber fürs Kennwort-Hashing und manchmal auch fürs Schlüssel erzeugen. So oder so, könnte sich die U.S. Regierung das wohl nicht leisten.

  14. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Popkornium18 06.08.15 - 11:57

    andi_lala schrieb:
    --------------------------------------------------------------------------------
    > Eh klar, aber fürs Kennwort-Hashing und manchmal auch fürs Schlüssel
    > erzeugen. So oder so, könnte sich die U.S. Regierung das wohl nicht
    > leisten.


    Bei Kennwort Hashes stimme ich zu aber Schlüssel erzeugen? Auf gar keinen Fall. Damit haben Hashes nichts zu tun. Schlüssel überprüfen schon eher.

  15. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: andi_lala 06.08.15 - 12:03

    Popkornium18 schrieb:
    --------------------------------------------------------------------------------
    > Bei Kennwort Hashes stimme ich zu aber Schlüssel erzeugen? Auf gar keinen
    > Fall. Damit haben Hashes nichts zu tun. Schlüssel überprüfen schon eher.
    Nicht, dass ich es selber (absichtlich) so verwenden würde, aber Hashes werden anscheinend durchaus zum Generieren von Schlüssel mittels Pseudo-Zufallszahlgeneratoren verwendet.

  16. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Popkornium18 06.08.15 - 12:23

    andi_lala schrieb:
    --------------------------------------------------------------------------------
    > Popkornium18 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bei Kennwort Hashes stimme ich zu aber Schlüssel erzeugen? Auf gar
    > keinen
    > > Fall. Damit haben Hashes nichts zu tun. Schlüssel überprüfen schon eher.
    > Nicht, dass ich es selber (absichtlich) so verwenden würde, aber Hashes
    > werden anscheinend durchaus zum Generieren von Schlüssel mittels
    > Pseudo-Zufallszahlgeneratoren verwendet.

    Dann habe ich wohl meinen Private Key für den Webserver mit SHA-4096 generiert. Nein mal im Ernst, dazu nimmt man Zufalls- uns Pseudo-Zufallsgeneratoren. Du kannst dich ja mal ein bisschen zu /dev/random und /dev/urandom belesen sowie zum Thema Entropiepools. Weiterführend ist auch HAVEGE ein interessantes Thema wenn es darum geht den Entropiepool zu vergrößern und den Pseudozufall weniger Pseudo und mehr zufällig zu machen.

    Edit: Fürs Schlüssel erzeugen braucht man Zufallswerte und Hashes sind das genaue Gegenteil, sie sind immer gleich.



    1 mal bearbeitet, zuletzt am 06.08.15 12:25 durch Popkornium18.

  17. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Atalanttore 06.08.15 - 13:25

    andi_lala schrieb:
    --------------------------------------------------------------------------------
    > Das wäre arg gefährlich für die U.S. Regierung. Man stelle sich vor jemand
    > anders findet das Backdoor (und russische / chinesische Regierungs-Hacker
    > würden das wohl) und könnten nun problemlos einen Großteil der eigentlich
    > verschlüsselten Daten der U.S. Regierung knacken, da diese ja zukünftig
    > diesen Standard verwenden wird.

    Diese Intention könnte bewusst gewollt sein.

    Zumindest bei Verschlüsselungen gibt es eine Sammlung an geheimen Verfahren.[1]

    [1] https://en.wikipedia.org/wiki/NSA_Suite_A_Cryptography

  18. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: andi_lala 07.08.15 - 09:50

    Schon klar, dass es für deinen RSA Schlüssel wenig Sinn macht, aber es gibt ja auch noch symmetrische Verfahren wie AES, bei denen Schlüssel kürzer sein müssen. Abgesehen davon würde ich Hashs wenn möglich auch nicht dafür verwenden, aber ich schätze, dass es auf gewissen Geräten Sinn macht, bei denen man keine guten Entropiequellen besitzt. Es ist jedenfalls nicht auf meinem Mist gewachsen, wenn du bissi recherchierst wirst du sehen, dass Hashes auch dafür (leider) verwendet werden.

  19. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: Popkornium18 07.08.15 - 10:40

    andi_lala schrieb:
    --------------------------------------------------------------------------------
    > Schon klar, dass es für deinen RSA Schlüssel wenig Sinn macht, aber es gibt
    > ja auch noch symmetrische Verfahren wie AES, bei denen Schlüssel kürzer
    > sein müssen. Abgesehen davon würde ich Hashs wenn möglich auch nicht dafür
    > verwenden, aber ich schätze, dass es auf gewissen Geräten Sinn macht, bei
    > denen man keine guten Entropiequellen besitzt. Es ist jedenfalls nicht auf
    > meinem Mist gewachsen, wenn du bissi recherchierst wirst du sehen, dass
    > Hashes auch dafür (leider) verwendet werden.

    Habe nach einigen min googlen nichts gefunden, was deine These belegt. Vielleicht kannst du ja einen Link posten, wo du das gefunden hast.

  20. Re: Ein Crypto Hash standardisiert von einer US-Behörde?

    Autor: andi_lala 07.08.15 - 12:18

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, München, Regensburg
  2. CHECK24 Kontomanager GmbH, München
  3. Haufe Group, Bielefeld
  4. BIM Berliner Immobilienmanagement GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 11,69€ (Bestpreis!)
  2. (aktuell u. a. Amazon Basics günstiger (u. a. AXE Superb 128 GB USB 3.1 SuperSpeed USB-Stick für...
  3. (u. a. Digitus S7CD Aktenvernichter für 24,99€, Krups Espresso-Kaffee-Vollautomat EA 8150 für...
  4. (u. a. Sandisk Extreme PRO NVMe 3D SSD 1TB M.2 PCIe 3.0 für 145,90€ (mit Rabattcode...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Galaxy Note 20 im Hands-on: Samsung entwickelt sein Stift-Smartphone kaum weiter
Galaxy Note 20 im Hands-on
Samsung entwickelt sein Stift-Smartphone kaum weiter

Samsungs Galaxy Note 20 kommt in zwei Versionen auf den Markt, die beide fast gleich groß, aber unterschiedlich ausgestattet sind.
Ein Hands-on von Tobias Költzsch

  1. Samsung Galaxy Watch 3 kostet ab 418 Euro
  2. Galaxy Tab S7 Samsung bringt Top-Tablets ab 681 Euro
  3. Galaxy Buds Live Samsung stellt bohnenförmige drahtlose Kopfhörer vor

Pixel 4a im Test: Google macht das Pixel kleiner und noch günstiger
Pixel 4a im Test
Google macht das Pixel kleiner und noch günstiger

Google macht mit dem Pixel 4a einiges anders als beim 3a - und eine Menge richtig, unter anderem beim Preis. Im Herbst sollen eine 5G-Version und das Pixel 5 folgen.
Ein Test von Tobias Költzsch

  1. Smartphone Google stellt das Pixel 4 ein
  2. Android Googles Dateimanager erlaubt PIN-geschützten Ordner
  3. Google Internes Dokument weist auf faltbares Pixel hin

8Sense im Test: Vibration am Kragen gegen Schmerzen im Rücken
8Sense im Test
Vibration am Kragen gegen Schmerzen im Rücken

Das Startup 8Sense will mit einem Ansteckclip einer Bürokrankheit entgegenwirken: Rückenschmerzen. Das funktioniert - aber nicht immer.
Ein Test von Oliver Nickel

  1. Rufus Cuff Handgelenk-Smartphone soll doch noch erscheinen
  2. Fitnesstracker im Test Aldi sportlich abgeschlagen hinter Honor und Mi Band 4