Wat is een cryptografische hash?

De basisprincipes van versleutelingsalgoritmen zijn redelijk eenvoudig te begrijpen. Een invoer of leesbare tekst wordt samen met een sleutel meegenomen en verwerkt door het algoritme. De uitvoer is gecodeerd en staat bekend als de cijfertekst. Een cruciaal onderdeel van een versleutelingsalgoritme is echter dat u het proces kunt omkeren. Als u een cijfertekst en de decoderingssleutel heeft, kunt u het algoritme opnieuw uitvoeren en de leesbare tekst terugkrijgen. Sommige typen versleutelingsalgoritmen vereisen dat dezelfde sleutel wordt gebruikt om gegevens zowel te versleutelen als te ontsleutelen. Anderen hebben een paar sleutels nodig, een om te coderen en een andere om te decoderen.

Het concept van een hashing-algoritme is gerelateerd, maar heeft een paar kritische verschillen. Het belangrijkste verschil is het feit dat een hash-algoritme een eenrichtingsfunctie is. Je zet platte tekst in een hash-functie en krijgt een hash-samenvatting, maar er is geen manier om die hash-samenvatting terug te zetten in de oorspronkelijke leesbare tekst.

Opmerking: de uitvoer van een hash-functie staat bekend als een hash-samenvatting, niet als cijfertekst. De term hasj-digestie wordt ook vaak afgekort tot "hasj", hoewel het gebruik daarvan soms onduidelijk kan zijn. In een authenticatieproces genereert u bijvoorbeeld een hash en vergelijkt u deze met de hash die in de database is opgeslagen.

Een ander belangrijk kenmerk van een hash-functie is dat de hash-samenvatting altijd hetzelfde is als u dezelfde platte tekst invoert. Bovendien, als u zelfs maar een kleine wijziging aanbrengt in de leesbare tekst, is de uitvoer van de hash-samenvatting compleet anders. De combinatie van deze twee functies maakt hash-algoritmen nuttig in cryptografie. Een veelgebruikt gebruik is met wachtwoorden.

Algoritmen voor het hashen van wachtwoorden

Wanneer u zich aanmeldt bij een website, geeft u deze uw gebruikersnaam en wachtwoord op. Aan de oppervlakte controleert de website vervolgens of de door u ingevoerde gegevens overeenkomen met de gegevens die in ons bestand staan. Het proces is echter niet zo eenvoudig.

Datalekken komen relatief vaak voor, de kans is groot dat u er al door bent getroffen. Klantgegevens zijn een van de grote doelen bij een datalek. Lijsten met gebruikersnamen en wachtwoorden kunnen worden verhandeld en verkocht. Om het hele proces moeilijker te maken voor hackers, voeren websites over het algemeen elk wachtwoord door een hash-algoritme en slaan ze alleen de hash van het wachtwoord op in plaats van het eigenlijke wachtwoord zelf.

Dit werkt omdat wanneer een gebruiker zich probeert te authenticeren, de website ook het ingediende wachtwoord kan hashen en dat kan vergelijken met de opgeslagen hash. Als ze overeenkomen, weet het dat hetzelfde wachtwoord is opgegeven, zelfs als het niet weet wat het daadwerkelijke wachtwoord was. Bovendien, als de database met de daarin opgeslagen wachtwoord-hashes wordt geschonden door hackers, kunnen ze niet meteen zien wat de daadwerkelijke wachtwoorden zijn.

Sterke hasj

Als een hacker toegang heeft tot wachtwoord-hashes, kunnen ze daar niet meteen veel mee doen. Er is geen omgekeerde functie om de hashes te decoderen en de originele wachtwoorden te zien. In plaats daarvan moeten ze proberen de hasj te kraken. Dit omvat in feite een brute-force-proces waarbij veel wachtwoorden worden geraden en wordt gekeken of een van de hashes overeenkomt met de hashes die in de database zijn opgeslagen.

Er zijn twee problemen als het gaat om de kracht van een hasj. De sterkte van de hashfunctie zelf en de sterkte van het gehashte wachtwoord. Ervan uitgaande dat een sterk wachtwoord en hash-algoritme worden gebruikt, zou een hacker genoeg wachtwoorden moeten proberen om 50% van de totale hash-uitvoerruimte te berekenen om een ​​50/50 kans te hebben om een ​​enkele hash te kraken.

De hoeveelheid verwerking kan drastisch worden verminderd als het hashing-algoritme zwakke punten bevat die gegevens lekken of een verhoogde kans hebben om incidenteel dezelfde hash te hebben, ook wel een botsing genoemd.

Brute force-aanvallen kunnen traag zijn omdat er een groot aantal mogelijke wachtwoorden zijn om te proberen. Helaas zijn mensen nogal voorspelbaar bij het bedenken van wachtwoorden. Dit betekent dat er gefundeerde gissingen kunnen worden gemaakt met behulp van lijsten met veelgebruikte wachtwoorden. Als u een zwak wachtwoord kiest, kan het aanzienlijk eerder worden geraden dan de 50% van de weg door de hash-uitvoerruimte suggereert.

Daarom is het belangrijk om sterke wachtwoorden te gebruiken. Als de hash van uw wachtwoord betrokken is bij een datalek, maakt het niet uit of de website het best mogelijke, veiligste hash-algoritme heeft gebruikt dat beschikbaar is. Als uw wachtwoord 'wachtwoord1' is, wordt het nog steeds vrijwel onmiddellijk geraden.

Conclusie

Een hash-algoritme is een eenrichtingsfunctie. Het produceert altijd dezelfde output als het dezelfde input krijgt. Zelfs kleine verschillen in invoer veranderen de uitvoer aanzienlijk, wat betekent dat u niet kunt zien of u dicht bij de juiste invoer zat. Hash-functies kunnen niet worden teruggedraaid. Er is geen manier om te zeggen welke invoer is gebruikt om een ​​bepaalde uitvoer te genereren zonder alleen maar te raden. Een cryptografische hashfunctie is cryptografisch veilig en geschikt voor gebruik dat dat soort beveiliging nodig heeft. Een veelgebruikte use-case is het hashen van wachtwoorden. Andere use-cases zijn het hashen van bestanden als integriteitsverificatie.