Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Dan Kaminsky: Sichere…

Hashes

  1. Thema

Neues Thema Ansicht wechseln


  1. Hashes

    Autor: __destruct() 11.08.14 - 02:27

    Wie wäre es mit Hashes zur Generierung von Zufallszahlen? Man hasht ein paar Byte Zufallszahlen, dann alle vorherigen Bytes bis auf das erste Byte + das letzte Ergebnis + ein neues zufälliges Byte und hat viel mehr Byte an Zufallszahlen. Ich verstehe immer noch nicht, was dagegen spricht.

  2. Re: Hashes

    Autor: Zwangsangemeldet 11.08.14 - 05:34

    Hashes allein sind halt keine Quelle von Zufall, da sie deterministisch sind (zumindest in die eine Richtung). Das heißt, in Deinem Beispiel gibt es als Zufall "ein paar Bytes Zufallszahlen" + "ein neues zufälliges Byte" - zwei mal den Zufallsgenerator angeworfen, aber wenn der eben vorhersagbare Zufallszahlen auswirft, bringt die ganze Hasherei nicht viel...

  3. Re: Hashes

    Autor: __destruct() 11.08.14 - 06:46

    Ähm, ich spreche hier von dem Zufallsgenerator an sich. Dieser wird mit Entropie gefüttert und soll etwas ausgeben, das nicht berechenbar ist. Der Algorithmus ist natürlich deterministisch. Das ist schlicht und einfach eines Eigenschaft eines Algorithmus. Allerdings spielt das hier überhaupt keine Rolle, denn alles, was zählt, ist, dass die Zufallszahlen nicht von außen bestimmbar sind, was hier der Fall ist. Man kann dabei, einen Verschlüsselungs-Algorithmus zu knacken, nicht einfach mal jeden möglichen Hash berücksichtigen, wenn es mit heutiger Rechenleistung generell unmöglich ist, überhaupt einen einzigen solchen Hash zu bruteforcen.

    Mein Vorschlag ist übrigens nur vereinfacht dargestellt. Um einen Möglichst große Menge an möglichen Ausgabewerten zu erreichen, sollte der Input des Hash-Algorithmus deutlich größer als sein Output sein. Es empfiehlt sich also, beispielsweise die letzten 10 Ergebnisse zu verwenden. Sollte nicht ausreichend Entropie zur Verfügung stehen, kann man natürlich auch bitweise statt byteweise vorrücken. Dann erhält man 8 Mal so viele Zufallszahlen aus der gleichen Menge Entropie wie beim Vorrücken in Byte-Schritten. Gibt der Hash-Algorithmus 512 Bit aus, so kommt man pro Byte Entropie auf 512 Byte Pseudo-Zufallszahlen. Die Ausgabe wird sich im Gegensatz zu so manchem anderem Zufallszahlengenerator niemals zyklisch wiederholen und man hat keine Möglichkeit, Abhängigkeiten in der Ausgabe auszumachen.

  4. Re: Hashes

    Autor: karlheinz 11.08.14 - 09:39

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Dieser wird mit Entropie gefüttert und soll etwas ausgeben, das nicht berechenbar ist.
    http://de.wikipedia.org/wiki/Entropie_(Informationstheorie)

    > Der Algorithmus ist natürlich deterministisch. Das ist schlicht und einfach
    > eines Eigenschaft eines Algorithmus.
    Quatsch?

    Dein Vorschlag bringt keine echten Vorteil. Du schattierst zwar deine schwachen Zufallszahlen, aber durch die Eigenheit eines Hashing-Algorithmus, dass gleicher Input immer gleichen Output liefern soll (und bei nicht kryptographischen Algorithmen auch gerne mit erheblichen Redundanzen), verbesserst du damit deinen Output an echten Zufallszahlen überhaupt nicht.

  5. Re: Hashes

    Autor: Anonymer Nutzer 11.08.14 - 12:15

    was du machen willst:

    generie eine unsichere Zufallszahl -> Bilde einen Hash
    du denkst nur weil man nicht vom Hash auf die Zahl schließen kann ist die Zahl zufällig und sicher. das ist aber Quatsch, da die Ausgangszahl für deinen Hash ja nachgebildet werden kann. Dann kannst du auch den Hash automatisch wieder daraus erzeugen. Was soll das Ganze also bringen? Habe ich die Zufallszahl, habe ich automatisch den Hash. Das ist die Schwachstelle. Andersrum ist völlig uninteressant.

  6. Re: Hashes

    Autor: bstea 11.08.14 - 13:20

    Bei krypt. Zufallszahlen möchte man stets, dass diese nicht reproduziert werden können, weshalb Quellen eingestreut werden auf den selbst Root wenig Einfluss hat. Bei Zufallszahlen kann es durch gewünscht sein, mit bekannten Seed auch auf die gleichen Zahlen zu kommen. Bspw. gabs früher Spiele die zufallsgeneriert Welten generiert haben. Um diese weiterzugeben, genügte einfach die Zahl/Seed mitzuteilen.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  7. Re: Hashes

    Autor: EvilSheep 11.08.14 - 14:06

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Bspw. gabs früher Spiele die
    > zufallsgeneriert Welten generiert haben. Um diese weiterzugeben, genügte
    > einfach die Zahl/Seed mitzuteilen.

    Früher?
    Minecraft z.B. macht das heute noch so

  8. Re: Hashes

    Autor: __destruct() 11.08.14 - 14:44

    Dieser Algorithmus nimmt ständig einen neues Seed. Und auch Seed pro Seed lässt sich das Ergebnis nicht reproduzieren, sonst gäbe es nämlich nur 2 Möglichkeiten, wenn man immer nur 1 Bit als Seed verwendet. Es gibt aber 2^512 Möglichkeiten. Wie das zu Stande kommt, habe ich doch erklärt.

  9. Re: Hashes

    Autor: __destruct() 11.08.14 - 14:46

    HerrMannelig schrieb:
    --------------------------------------------------------------------------------
    > was du machen willst:
    >
    > generie eine unsichere Zufallszahl -> Bilde einen Hash



    Keine unsichere Zufallzahl. Keine, die schon aus einem Zufallszahlengenerator kommt. Das habe ich doch extra dazugeschrieben.

  10. Re: Hashes

    Autor: karlheinz 11.08.14 - 15:32

    Wenn die Zufallszahl schon vorher gut war, was soll das ganze dann? Ich glaube du verrennst dich da in dieser Idee...

  11. Re: Hashes

    Autor: __destruct() 11.08.14 - 19:29

    Es gibt nicht genug davon.

  12. Patentiert

    Autor: __destruct() 18.08.14 - 18:25

    Ich habe gerade danach gegoolet, wo diese Methode verwendet wird. Dabei habe ich herausgefunden, dass sie bereits Ende 2001 patentiert wurde. Man wird sich also noch etwas gedulden müssen, bis man auf diese Weise Pseudozufallszahlen herstellen darf.



    1 mal bearbeitet, zuletzt am 18.08.14 18:25 durch __destruct().

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hochschule Heilbronn, Heilbronn
  2. ista International GmbH, Essen
  3. awinia gmbh, Freiburg
  4. Hays AG, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Grafikkarten, Monitore, Mainboards)
  2. 399€ (Wert der Spiele rund 212€)
  3. 259€ + Versand oder kostenlose Marktabholung (aktuell günstigste GTX 1070 Mini)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

  1. Europawahlen: Schwere Verluste für Union und SPD, hohe Gewinne für Grüne
    Europawahlen
    Schwere Verluste für Union und SPD, hohe Gewinne für Grüne

    Bei der Europawahl 2019 haben die Regierungsparteien Union und SPD historisch schlecht abgeschnitten. Besonders profitieren konnten die Grünen. Während die Piraten viele Stimmen verloren, legte eine andere Kleinstpartei besonders stark zu.

  2. Briefe und Pakete: Bundesregierung will Rechte von Postkunden stärken
    Briefe und Pakete
    Bundesregierung will Rechte von Postkunden stärken

    Aufgrund gestiegener Beschwerden über Mängel bei der Post- und Paketzustellung will das Bundeswirtschaftsministerium die Rechte von Postkunden stärken. Dabei geht es auch um die Frage von Sanktionsmöglichkeiten.

  3. Vodafone: Red-Tarife erhalten mehr Datenvolumen und werden teurer
    Vodafone
    Red-Tarife erhalten mehr Datenvolumen und werden teurer

    Vodafone bietet veränderte Red-Tarife. Bei vier der fünf verfügbaren Tarife erhöht sich das ungedrosselte Datenvolumen. Dafür steigen auch die Preise.


  1. 20:12

  2. 11:31

  3. 11:17

  4. 10:57

  5. 13:20

  6. 12:11

  7. 11:40

  8. 11:11