Cryptography Reference
In-Depth Information
tion ist in diesem Fall eine Funktion, die einen Hashwert (z.B. 160 Bit) auf eine
kürzere Buchstabenfolge abbildet. In dieser Form sind Hashwert-Tabellen eine
wirksame Waffe gegen gehashte Passwörter. Der Vorteil der gezeigten Methode
liegt auf der Hand: Statt acht Spalten muss Mallory nur zwei speichern, was
75 Prozent an Speicherplatz einspart. In der Praxis wird Mallory nicht nur vier
Hashwerte pro Zeile speichern, sondern beispielsweise 5.000. Die Einsparung an
Speicherplatz ist entsprechend groß.
Ein Problem bei dieser Art von Hashwert-Tabellen besteht darin, dass es
Überschneidungen gibt. Tritt an einer Stelle ein Hashwert auf, der schon einmal
vorkam, dann sind auch die folgenden Urbilder und Hashwerte dieser Zeile
bereits bekannt und vergeuden Tabellenplatz. Philippe Oechslin schlug zur Behe-
bung dieses Problems vor, eine Reduktionsfunktion zu verwenden, die sich in
jeder Spalte ändert [Oechsl]. Dies verhindert zwar Überschneidungen nicht, sorgt
jedoch dafür, dass ein doppelt vorkommender Hashwert nicht automatisch wei-
tere doppelt vorkommende Hashwerte nach sich zieht. Hashwert-Tabellen, die so
funktionieren, gelten derzeit als die besten ihrer Art. Sie werden
Regenbogenta-
bellen
genannt. Es gibt derzeit zwei kostenlose Softwareprogramme, die Regen-
bogentabellen berechnen:
RainbowCrack
und
DistrRTgen
. Letzteres ermöglicht
es, die Rechenzeit auf beliebig viele Rechner zu verteilen. Unter der Adresse
www.freerainbowtables.com gibt es eine größere Auswahl an Regenbogentabellen,
die mit DistrRTgen generiert wurden.
Regenbogentabellen sind eine wirksame Waffe, wenn Mallory die Menge der
Urbilder eingrenzen kann (z.B. auf Buchstabenfolgen begrenzter Länge). Es gibt
jedoch ein probates Gegenmittel: das bereits erwähnte Salt. Lassen Alice und Bob
beispielsweise in jede Hashwert-Berechnung einen Vier-Byte-Wert als Salt einflie-
ßen, dann muss Mallory seine Regenbogentabelle um den Faktor 4 Milliarden
vergrößern, um dieselbe Erfolgschance zu haben. Davon abgesehen hilft gegen
Regenbogentabellen nur die Macht großer Zahlen. Wenn Alice und Bob eine
Hashfunktion mit 160 Bit Hashwert-Länge verwenden und außerdem beliebige
Urbilder vorkommen können (also nicht nur Buchstabenfolgen), dann kann Mal-
lory mit einer Regenbogentabelle nicht viel ausrichten.
Fazit
Substitutionsattacke, Geburtstagsangriff, Wörterbuch-Angriff und Regenbogenta-
bellen zeigen, dass Angriffe auf kryptografische Hashfunktionen einfacher sind als
auf symmetrische Verschlüsselungsverfahren. Den beiden erstgenannten Angriffen
kann man unabhängig vom jeweiligen Design der kryptografischen Hashfunktion
nur durch eine ausreichende Hashwert-Länge begegnen. Diese sollte daher länger
gewählt werden als die Schlüssellänge eines symmetrischen Verfahrens. 160 Bit
gelten heutzutage als Minimum.
Natürlich sind die an dieser Stelle behandelten Angriffe nur die Spitze des
kryptoanalytischen Eisbergs im Bereich der kryptografischen Hashfunktionen.
