Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hashfunktionen: Datenbank über New…

Salt + Mehrfach Hashing

  1. Thema

Neues Thema Ansicht wechseln


  1. Salt + Mehrfach Hashing

    Autor: /mecki78 26.06.14 - 04:50

    Salt alleine hilft nicht, sagt ja auch der Artikel. Stattdessen nimmt man einen Salt und wendet dann die Hashfunktion mehrfach an (n-Iterations), so ein paar zig tausend mal wäre gut. Da dauert dann zwar einige Zeit zu berechnen (sagen wir mal 20 Sekunden), aber das ist nicht weiter schlimm, wenn man mal einen Datensatz berechnet. Wenn man das hingegen 2 oder 22 Millionen mal machen muss, dann dauert das (bei 20 Sek pro Berechnung) bis zu 46 bzw. 509 Tage und das pro Datensatz (wegen des Salts muss man für jeden Datensatz wieder alle Möglichkeiten probieren). Auch das macht es nicht unmöglich die Daten zu bekommen, aber es würde Jahre dauern und wäre sollte warum so viel Zeit in diese Berechnung stecken? Alleine die Stromkosten dafür dürften einiges kosten und das ganze für welchen Gegenwert?

    /Mecki

  2. Re: Salt + Mehrfach Hashing

    Autor: robinx999 26.06.14 - 09:23

    Wenn man immer den Selben Salt verwendet würde es nicht viel ändern (und man kann kaum was anderes machen, da man sonst statistische Auswertungen unbrauchbar macht, man könnte nicht mehr ermitteln wieviele fahrten ein Taxi im Durchschnitt pro Tag / Woche macht) und mehrfasch hashen würde den angrif auch nur verlängern.

  3. Re: Salt + Mehrfach Hashing

    Autor: zoggole 26.06.14 - 12:12

    Ich denke ein salt wäre dann nur pro Nummernschild gleich, sodass ein einheitlicher Wert rauskommt. Für die meisten Einträge müsste man so dennoch eine eigene rainbowtable erstellen.

  4. Re: Salt + Mehrfach Hashing

    Autor: robinx999 26.06.14 - 12:22

    zoggole schrieb:
    --------------------------------------------------------------------------------
    > Ich denke ein salt wäre dann nur pro Nummernschild gleich, sodass ein
    > einheitlicher Wert rauskommt. Für die meisten Einträge müsste man so
    > dennoch eine eigene rainbowtable erstellen.
    Wenn es immer Unterschiedliche Salt werte sind und diese auch eine gewisse länge haben, dann würde man vermutlich jeden einzelnen Eintrag Bruteforcen und so lange man mehrere Millionen Hashes pro Sekunde berechnen kann wäre man auch bei rekursiven Hashes wohl nach einigen Tagen fertig. Eine Anonymisierung mittels Hash Funktion bei einer derartig kleinen Menge von Ursprungswerten kann meiner Meinung nach überhaupt nicht Funktionieren. Wenn überhaupt könnte man jedem Taxi eine zusätzliche Anonyme Nummer zu weisen und dann nur diese Nummer rausgeben und nichts was direkt mit dem Nummernschild zu tun hat.

  5. Re: Salt + Mehrfach Hashing

    Autor: /mecki78 26.06.14 - 13:52

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man immer den Selben Salt verwendet würde es nicht viel ändern

    Nein, nein. Du verwendest einen anderen Salt pro Tabelleneintrag. Also:

    Zeile1: DatenA, DatenB, DatenC, ..., Salt, Hash1, Hash2, ...
    Zeile2: DatenA, DatenB, DatenC, ..., Salt, Hash1, Hash2, ...
    :

    D.h. du fängst bei jeder neuen Tabellenzeile wieder bei Null an, weil nichts was du zuvor berechnest hast, ist irgendwie von Nutzen. Der Salt muss nicht geheim sein, der kann einfach da stehen und er muss auch nicht besonders sein, eine 64 Bit pseudorandom Nummer erfüllt den Zweck.

    Idealerweise ist der Salt nie gleich eines vorherigen Salts (das könnte man bei der Berechnung prüfen, bevor man ihn verwendet), aber bei 2^64 Möglichkeiten ist die Wahrscheinlichkeit einer Kollision verschwindend gering und daher lohnt der Aufwand nicht.

    /Mecki

  6. Re: Salt + Mehrfach Hashing

    Autor: robinx999 26.06.14 - 15:06

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn man immer den Selben Salt verwendet würde es nicht viel ändern
    >
    > Nein, nein. Du verwendest einen anderen Salt pro Tabelleneintrag. Also:
    >
    > Zeile1: DatenA, DatenB, DatenC, ..., Salt, Hash1, Hash2, ...
    > Zeile2: DatenA, DatenB, DatenC, ..., Salt, Hash1, Hash2, ...
    > :
    >
    Das mag bei Passwörtern Funktionieren, aber hier geht es um Anonymisierte Daten die soweit ich es Verstanden habe für Statistische Auswertungen nutzbar sein sollen. Und wenn jetzt jedes mal ein anderer Salt und somit auch ein anderer Hash für die Taxi ID benutzt wird hat man die Möglichkeiten der Statistischen auswertungen extrem minimiert.
    Wenn ich wissen will wieviele Fahren ein Taxi im Durchschnitt pro Tag / Woche (wie lange die Durchschnittliche Standzeit ist, etc) hat, brauche ich nunmal einheitliche IDs für die Taxis da kann sich der Hash nicht ständig ändern. Da dürfte es genug anfragen geben für die man die ID einheitlich braucht.

  7. Re: Salt + Mehrfach Hashing

    Autor: /mecki78 27.06.14 - 03:37

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Das mag bei Passwörtern Funktionieren, aber hier geht es um Anonymisierte
    > Daten die soweit ich es Verstanden habe für Statistische Auswertungen
    > nutzbar sein sollen.

    Wo bitte steht das genau? Da steht, dass eine interne Datenbank (die intern gar nicht anonym ist) aufgrund einer Anfrage extern herausgegeben wurde und wegen Datenschutz vorher anonymisiert wurde.

    Für Statistiken hätte man auch ganz auf Hashing verzichten können und stattdessen jedem Taxi und jedem Fahrer einfach nur eine Nummer zuordnen können über eine "Mapping Tabelle", die auf gar keiner Berechnung basiert und sich somit gar nicht rückrechnen oder brute forcen lässt.

    /Mecki

  8. Re: Salt + Mehrfach Hashing

    Autor: robinx999 27.06.14 - 07:34

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das mag bei Passwörtern Funktionieren, aber hier geht es um
    > Anonymisierte
    > > Daten die soweit ich es Verstanden habe für Statistische Auswertungen
    > > nutzbar sein sollen.
    >
    > Wo bitte steht das genau? Da steht, dass eine interne Datenbank (die intern
    > gar nicht anonym ist) aufgrund einer Anfrage extern herausgegeben wurde und
    > wegen Datenschutz vorher anonymisiert wurde.
    >
    Im Prinzip im Text
    "Der Blogger Chris Whong wollte Daten über Taxifahrten in New York auswerten "
    Und in der Quelle sieht man seinen antrag http://chriswhong.com/open-data/foil_nyc_taxi/
    Da steht als grund nur "Data Analysis" und man sieht dort auch eine Grafische Darstellung wieviele Taxis gleichzeitig in New York unterwegs sind (jeweils nach Wochentagen sortiert, das heißt er muss für seine Analysen die Taxis auseinander halten können da kann man nicht jedesmal einen anderen Salt nutzen)

    > Für Statistiken hätte man auch ganz auf Hashing verzichten können und
    > stattdessen jedem Taxi und jedem Fahrer einfach nur eine Nummer zuordnen
    > können über eine "Mapping Tabelle", die auf gar keiner Berechnung basiert
    > und sich somit gar nicht rückrechnen oder brute forcen lässt.

    Ja das wäre wohl die Sinvolle lösung gewesen denn einfach auf eine ID verzichten hätte die Auswertungne ja für viele arten von Anfragen unbrauchbar gemacht, aber jedem Taxi / Fahrer eine ID zuweisen die unabhängig von Nummernschildern und co ist wäre wohl sinvoll gewesen

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schaltbau GmbH, Velden (Landkreis Landshut)
  2. SOLCOM GmbH, Reutlingen
  3. Computacenter AG & Co. oHG, Stuttgart, Berlin, Ratingen
  4. IAV GmbH, Berlin, München, Gifhorn, Chemnitz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 144,90€ + Versand
  2. 259€ + Versand oder kostenlose Marktabholung


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Orico Enclosure im Test: Die NVMe-SSD wird zum USB-Stick
Orico Enclosure im Test
Die NVMe-SSD wird zum USB-Stick

Wer eine ältere NVMe-SSD über hat, kann diese immer noch als sehr schnellen USB-Stick verwenden: Preiswerte Gehäuse wie das Orico Enclosure nehmen M.2-Kärtchen auf, der Bridge-Chip könnte aber flotter sein.
Ein Test von Marc Sauter

  1. Server Supermicro mit Chassis für 40 E1.S-SSDs auf 2 HE
  2. Solid State Drive Longsys entwickelt erste SSD nur mit chinesischen Chips
  3. SSDs Samsung 970 Pro mit 2TB und WD Blue 3D mit 4TB

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

  1. PC Engine Core Grafx: Konami kündigt drei Versionen der gleichen Minikonsole an
    PC Engine Core Grafx
    Konami kündigt drei Versionen der gleichen Minikonsole an

    In Europa heißt sie PC Engine Core Grafx Mini, für Japan und die USA hat Konami andere Namen und ein anderes Design. Die Retrokiste soll im März 2020 mit rund 50 vorinstallierten Spielen erscheinen. Der Kauf in Deutschland läuft minimal komplizierter ab als üblich.

  2. Hacker-Attacke: Datenleck bei Freenet-Tochter Vitrado
    Hacker-Attacke
    Datenleck bei Freenet-Tochter Vitrado

    Angreifer haben auf die Daten von rund 67.000 Vitrado-Nutzern zugreifen können. Diese sollten besser ihr Bankkonto im Auge behalten, rät die Freenet-Tochter.

  3. Android: Apps kommen auch ohne Berechtigung an Trackingdaten
    Android
    Apps kommen auch ohne Berechtigung an Trackingdaten

    Das Android-Berechtigungsmodell lässt sich mit Tricks umgehen. Eine Studie fand 1.325 Apps, die auch ohne eine Berechtigung an die entsprechenden Daten gelangen.


  1. 17:23

  2. 16:37

  3. 15:10

  4. 14:45

  5. 14:25

  6. 14:04

  7. 13:09

  8. 12:02