Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hashfunktionen: Datenbank über New…

Salt + Mehrfach Hashing

  1. Thema

Neues Thema Ansicht wechseln


  1. Salt + Mehrfach Hashing

    Autor: /mecki78 26.06.14 - 04:50

    Salt alleine hilft nicht, sagt ja auch der Artikel. Stattdessen nimmt man einen Salt und wendet dann die Hashfunktion mehrfach an (n-Iterations), so ein paar zig tausend mal wäre gut. Da dauert dann zwar einige Zeit zu berechnen (sagen wir mal 20 Sekunden), aber das ist nicht weiter schlimm, wenn man mal einen Datensatz berechnet. Wenn man das hingegen 2 oder 22 Millionen mal machen muss, dann dauert das (bei 20 Sek pro Berechnung) bis zu 46 bzw. 509 Tage und das pro Datensatz (wegen des Salts muss man für jeden Datensatz wieder alle Möglichkeiten probieren). Auch das macht es nicht unmöglich die Daten zu bekommen, aber es würde Jahre dauern und wäre sollte warum so viel Zeit in diese Berechnung stecken? Alleine die Stromkosten dafür dürften einiges kosten und das ganze für welchen Gegenwert?

    /Mecki

  2. Re: Salt + Mehrfach Hashing

    Autor: robinx999 26.06.14 - 09:23

    Wenn man immer den Selben Salt verwendet würde es nicht viel ändern (und man kann kaum was anderes machen, da man sonst statistische Auswertungen unbrauchbar macht, man könnte nicht mehr ermitteln wieviele fahrten ein Taxi im Durchschnitt pro Tag / Woche macht) und mehrfasch hashen würde den angrif auch nur verlängern.

  3. Re: Salt + Mehrfach Hashing

    Autor: zoggole 26.06.14 - 12:12

    Ich denke ein salt wäre dann nur pro Nummernschild gleich, sodass ein einheitlicher Wert rauskommt. Für die meisten Einträge müsste man so dennoch eine eigene rainbowtable erstellen.

  4. Re: Salt + Mehrfach Hashing

    Autor: robinx999 26.06.14 - 12:22

    zoggole schrieb:
    --------------------------------------------------------------------------------
    > Ich denke ein salt wäre dann nur pro Nummernschild gleich, sodass ein
    > einheitlicher Wert rauskommt. Für die meisten Einträge müsste man so
    > dennoch eine eigene rainbowtable erstellen.
    Wenn es immer Unterschiedliche Salt werte sind und diese auch eine gewisse länge haben, dann würde man vermutlich jeden einzelnen Eintrag Bruteforcen und so lange man mehrere Millionen Hashes pro Sekunde berechnen kann wäre man auch bei rekursiven Hashes wohl nach einigen Tagen fertig. Eine Anonymisierung mittels Hash Funktion bei einer derartig kleinen Menge von Ursprungswerten kann meiner Meinung nach überhaupt nicht Funktionieren. Wenn überhaupt könnte man jedem Taxi eine zusätzliche Anonyme Nummer zu weisen und dann nur diese Nummer rausgeben und nichts was direkt mit dem Nummernschild zu tun hat.

  5. Re: Salt + Mehrfach Hashing

    Autor: /mecki78 26.06.14 - 13:52

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man immer den Selben Salt verwendet würde es nicht viel ändern

    Nein, nein. Du verwendest einen anderen Salt pro Tabelleneintrag. Also:

    Zeile1: DatenA, DatenB, DatenC, ..., Salt, Hash1, Hash2, ...
    Zeile2: DatenA, DatenB, DatenC, ..., Salt, Hash1, Hash2, ...
    :

    D.h. du fängst bei jeder neuen Tabellenzeile wieder bei Null an, weil nichts was du zuvor berechnest hast, ist irgendwie von Nutzen. Der Salt muss nicht geheim sein, der kann einfach da stehen und er muss auch nicht besonders sein, eine 64 Bit pseudorandom Nummer erfüllt den Zweck.

    Idealerweise ist der Salt nie gleich eines vorherigen Salts (das könnte man bei der Berechnung prüfen, bevor man ihn verwendet), aber bei 2^64 Möglichkeiten ist die Wahrscheinlichkeit einer Kollision verschwindend gering und daher lohnt der Aufwand nicht.

    /Mecki

  6. Re: Salt + Mehrfach Hashing

    Autor: robinx999 26.06.14 - 15:06

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn man immer den Selben Salt verwendet würde es nicht viel ändern
    >
    > Nein, nein. Du verwendest einen anderen Salt pro Tabelleneintrag. Also:
    >
    > Zeile1: DatenA, DatenB, DatenC, ..., Salt, Hash1, Hash2, ...
    > Zeile2: DatenA, DatenB, DatenC, ..., Salt, Hash1, Hash2, ...
    > :
    >
    Das mag bei Passwörtern Funktionieren, aber hier geht es um Anonymisierte Daten die soweit ich es Verstanden habe für Statistische Auswertungen nutzbar sein sollen. Und wenn jetzt jedes mal ein anderer Salt und somit auch ein anderer Hash für die Taxi ID benutzt wird hat man die Möglichkeiten der Statistischen auswertungen extrem minimiert.
    Wenn ich wissen will wieviele Fahren ein Taxi im Durchschnitt pro Tag / Woche (wie lange die Durchschnittliche Standzeit ist, etc) hat, brauche ich nunmal einheitliche IDs für die Taxis da kann sich der Hash nicht ständig ändern. Da dürfte es genug anfragen geben für die man die ID einheitlich braucht.

  7. Re: Salt + Mehrfach Hashing

    Autor: /mecki78 27.06.14 - 03:37

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Das mag bei Passwörtern Funktionieren, aber hier geht es um Anonymisierte
    > Daten die soweit ich es Verstanden habe für Statistische Auswertungen
    > nutzbar sein sollen.

    Wo bitte steht das genau? Da steht, dass eine interne Datenbank (die intern gar nicht anonym ist) aufgrund einer Anfrage extern herausgegeben wurde und wegen Datenschutz vorher anonymisiert wurde.

    Für Statistiken hätte man auch ganz auf Hashing verzichten können und stattdessen jedem Taxi und jedem Fahrer einfach nur eine Nummer zuordnen können über eine "Mapping Tabelle", die auf gar keiner Berechnung basiert und sich somit gar nicht rückrechnen oder brute forcen lässt.

    /Mecki

  8. Re: Salt + Mehrfach Hashing

    Autor: robinx999 27.06.14 - 07:34

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das mag bei Passwörtern Funktionieren, aber hier geht es um
    > Anonymisierte
    > > Daten die soweit ich es Verstanden habe für Statistische Auswertungen
    > > nutzbar sein sollen.
    >
    > Wo bitte steht das genau? Da steht, dass eine interne Datenbank (die intern
    > gar nicht anonym ist) aufgrund einer Anfrage extern herausgegeben wurde und
    > wegen Datenschutz vorher anonymisiert wurde.
    >
    Im Prinzip im Text
    "Der Blogger Chris Whong wollte Daten über Taxifahrten in New York auswerten "
    Und in der Quelle sieht man seinen antrag http://chriswhong.com/open-data/foil_nyc_taxi/
    Da steht als grund nur "Data Analysis" und man sieht dort auch eine Grafische Darstellung wieviele Taxis gleichzeitig in New York unterwegs sind (jeweils nach Wochentagen sortiert, das heißt er muss für seine Analysen die Taxis auseinander halten können da kann man nicht jedesmal einen anderen Salt nutzen)

    > Für Statistiken hätte man auch ganz auf Hashing verzichten können und
    > stattdessen jedem Taxi und jedem Fahrer einfach nur eine Nummer zuordnen
    > können über eine "Mapping Tabelle", die auf gar keiner Berechnung basiert
    > und sich somit gar nicht rückrechnen oder brute forcen lässt.

    Ja das wäre wohl die Sinvolle lösung gewesen denn einfach auf eine ID verzichten hätte die Auswertungne ja für viele arten von Anfragen unbrauchbar gemacht, aber jedem Taxi / Fahrer eine ID zuweisen die unabhängig von Nummernschildern und co ist wäre wohl sinvoll gewesen

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. hubergroup Deutschland GmbH, Kirchheim bei München
  2. IGEL Technology GmbH, Augsburg
  3. operational services GmbH & Co. KG, Frankfurt am Main, Dresden, Berlin
  4. Hessisches Ministerium der Finanzen, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 204,90€
  3. 529,00€ (zzgl. Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    Google Maps: Karten brauchen Menschen statt Maschinen
    Google Maps
    Karten brauchen Menschen statt Maschinen

    Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
    Von Sebastian Grüner

    1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
    2. Maps Duckduckgo mit Kartendienst von Apple
    3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

    1. UMTS: 3G-Abschaltung kein Thema für die Bundesregierung
      UMTS
      3G-Abschaltung kein Thema für die Bundesregierung

      Nutzer, die kein LTE in ihren Verträgen festgeschrieben haben, sollten wechseln, da 3G zunehmend abgeschaltet werde. Das erklärte das Bundesverkehrsministerium und sieht keinen Grund zum Eingreifen.

    2. P3 Group: Wo die Mobilfunkqualität in Deutschland am niedrigsten ist
      P3 Group
      Wo die Mobilfunkqualität in Deutschland am niedrigsten ist

      Die Qualität des Mobilfunks in Deutschland ist in den einzelnen Bundesländern sehr unterschiedlich. Dort, wo Funklöcher gerade ein wichtiges Thema sind, ist die Versorgung gar nicht so schlecht.

    3. Mecklenburg-Vorpommern: Funkmastenprogramm verzögert sich
      Mecklenburg-Vorpommern
      Funkmastenprogramm verzögert sich

      Wegen fehlender Zustimmung der EU ist das Geld für ein Mobilfunkprogramm in Mecklenburg-Vorpommern noch nicht verfügbar. Dabei hat das Bundesland laut einer P3-Messung große Probleme.


    1. 18:00

    2. 18:00

    3. 17:41

    4. 16:34

    5. 15:44

    6. 14:42

    7. 14:10

    8. 12:59