Was ist ein kryptografischer Hash?

Die Grundlagen von Verschlüsselungsalgorithmen sind relativ einfach zu verstehen. Eine Eingabe oder ein Klartext wird zusammen mit einem Schlüssel übernommen und vom Algorithmus verarbeitet. Die Ausgabe ist verschlüsselt und wird als Geheimtext bezeichnet. Ein entscheidender Teil eines Verschlüsselungsalgorithmus besteht jedoch darin, dass Sie den Prozess umkehren können. Wenn Sie über einen Chiffretext und den Entschlüsselungsschlüssel verfügen, können Sie den Algorithmus erneut ausführen und den Klartext zurückerhalten. Bei einigen Arten von Verschlüsselungsalgorithmen muss zum Verschlüsseln und Entschlüsseln von Daten derselbe Schlüssel verwendet werden. Andere erfordern ein Schlüsselpaar, einen zum Verschlüsseln und einen anderen zum Entschlüsseln.

Das Konzept eines Hashing-Algorithmus ist verwandt, weist jedoch einige entscheidende Unterschiede auf. Der wichtigste Unterschied besteht darin, dass ein Hashing-Algorithmus eine Einwegfunktion ist. Sie fügen Klartext in eine Hash-Funktion ein und erhalten einen Hash-Digest, aber es gibt keine Möglichkeit, diesen Hash-Digest wieder in den ursprünglichen Klartext umzuwandeln.

Hinweis: Die Ausgabe einer Hash-Funktion wird als Hash-Digest und nicht als Chiffretext bezeichnet. Der Begriff „Hash Digest“ wird häufig auch auf „Hash“ abgekürzt, obwohl die Verwendung dieses Begriffs manchmal unklar ist. Beispielsweise generieren Sie bei einem Authentifizierungsprozess einen Hash und vergleichen ihn mit dem in der Datenbank gespeicherten Hash.

Ein weiteres wichtiges Merkmal einer Hash-Funktion besteht darin, dass der Hash-Digest immer derselbe ist, wenn Sie dieselbe Klartexteingabe bereitstellen. Wenn Sie außerdem auch nur eine kleine Änderung am Klartext vornehmen, ist die Hash-Digest-Ausgabe völlig anders. Die Kombination dieser beiden Funktionen macht Hashing-Algorithmen in der Kryptographie nützlich. Eine häufige Verwendung sind Passwörter.

Passwort-Hashing-Algorithmen

Wenn Sie sich auf einer Website anmelden, geben Sie Ihren Benutzernamen und Ihr Passwort ein. Auf oberflächlicher Ebene prüft die Website dann, ob die von Ihnen eingegebenen Daten mit den gespeicherten Daten übereinstimmen. Ganz so einfach ist der Vorgang allerdings nicht.

Datenpannen kommen relativ häufig vor, die Wahrscheinlichkeit ist groß, dass auch Sie bereits davon betroffen waren. Kundendaten sind eines der großen Ziele bei einer Datenpanne. Listen mit Benutzernamen und Passwörtern können gehandelt und verkauft werden. Um Hackern den gesamten Prozess zu erschweren, durchlaufen Websites im Allgemeinen jedes Passwort durch einen Hashing-Algorithmus und speichern nur den Hash des Passworts und nicht das eigentliche Passwort selbst.

Dies funktioniert, weil die Website beim Versuch eines Benutzers, sich zu authentifizieren, auch das übermittelte Passwort hashen und mit dem gespeicherten Hash vergleichen kann. Wenn sie übereinstimmen, weiß es, dass dasselbe Passwort übermittelt wurde, auch wenn es nicht weiß, wie das tatsächliche Passwort lautete. Wenn außerdem die Datenbank mit den darin gespeicherten Passwort-Hashes von Hackern gehackt wird, können sie die tatsächlichen Passwörter nicht sofort erkennen.

Starke Hashes

Wenn ein Hacker Zugriff auf Passwort-Hashes hat, kann er damit nicht sofort viel anfangen. Es gibt keine Umkehrfunktion, um die Hashes zu entschlüsseln und die ursprünglichen Passwörter anzuzeigen. Stattdessen müssen sie versuchen, den Hash zu knacken. Dabei handelt es sich im Wesentlichen um einen Brute-Force-Prozess, bei dem viele Passwörter erraten werden und geprüft wird, ob einer der Hashes mit den in der Datenbank gespeicherten Hashes übereinstimmt.

Wenn es um die Stärke eines Hash geht, gibt es zwei Probleme. Die Stärke der Hashing-Funktion selbst und die Stärke des gehashten Passworts. Unter der Annahme, dass ein sicheres Passwort und ein Hashing-Algorithmus verwendet werden, müsste ein Hacker so viele Passwörter ausprobieren müssen, dass er 50 % des gesamten Hash-Ausgaberaums ausfüllt, um eine 50/50-Chance zu haben, einen einzelnen Hash zu knacken.

Der Verarbeitungsaufwand kann drastisch reduziert werden, wenn der Hashing-Algorithmus Schwachstellen aufweist, die entweder zu Datenlecks führen oder die Wahrscheinlichkeit erhöhen, dass versehentlich derselbe Hash vorliegt, was als Kollision bezeichnet wird.

Brute-Force-Angriffe können langsam sein, da es eine große Anzahl möglicher Passwörter gibt, die es auszuprobieren gilt. Leider neigen Menschen dazu, bei der Entwicklung von Passwörtern recht vorhersehbar zu sein. Dies bedeutet, dass anhand von Listen häufig verwendeter Passwörter fundierte Vermutungen angestellt werden können. Wenn Sie ein schwaches Passwort wählen, kann es deutlich früher erraten werden, als die Zahl von 50 % des Weges durch den Hash-Ausgaberaum vermuten lässt.

Aus diesem Grund ist es wichtig, sichere Passwörter zu verwenden. Wenn der Hash Ihres Passworts an einer Datenschutzverletzung beteiligt ist, spielt es keine Rolle, ob die Website den bestmöglichen und sichersten verfügbaren Hashing-Algorithmus verwendet. Wenn Ihr Passwort „password1“ lautet, wird es trotzdem fast sofort erraten.

Abschluss

Ein Hashing-Algorithmus ist eine Einwegfunktion. Es erzeugt immer die gleiche Ausgabe, wenn es mit der gleichen Eingabe ausgestattet ist. Selbst geringfügige Unterschiede in der Eingabe verändern die Ausgabe erheblich, sodass Sie nicht erkennen können, ob Sie sich in der Nähe der richtigen Eingabe befanden. Hash-Funktionen können nicht rückgängig gemacht werden. Es gibt keine Möglichkeit zu sagen, welche Eingabe zur Generierung einer bestimmten Ausgabe verwendet wurde, ohne einfach zu raten. Eine kryptografische Hash-Funktion ist kryptografisch sicher und für Anwendungen geeignet, die diese Art von Sicherheit erfordern. Ein häufiger Anwendungsfall ist das Hashen von Passwörtern. Andere Anwendungsfälle umfassen das Hashing von Dateien als Integritätsüberprüfung.