Debian-Installer: SHA1 Problem

Alles rund um sicherheitsrelevante Fragen und Probleme.
wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 27.02.2017 14:44:09

schorsch_76 hat geschrieben:Du hast verstanden was du da sagst????
Ja. Genau Es ist für passwort Hashes vollig irrelevant ob man Kollisionen erzeugen kann oder nicht.
Ein Hash kann kollissionresisten sein, und trotzdem kein guter Passwort-Hash und umgekehrt.

Hier ein Beispiel in jede Richtung:
  • Code: Alles auswählen

    echo $1
    Die Identität: Die Funktion gibt einfach das Passwort zurück: – Absolut kollisonsresistent. Zwei unterschiedliche Passwörter bleiben unterschiedlich, wenn man sie nicht verändert. Aber ein scheiß für Passworter. Man kann sie einfach ablesen. (Gleiches gilt für AES und jedes andere symmetrische Verschlüsselungsverfahren.)
  • Code: Alles auswählen

    printf %32s $1 | sha1sum
    Auffüllen des Passworts mit Leerzeichen auf eine gewisse Länge und dann ein gutes Hash-Verfahren. Früher absolut üblich, wenn z.B. Verfahren nur mit festen vielfachen von 8 Zeichen umgehen konnten. Kollisionen sind jetzt total einfach zu erzeugen: "Auto" und " Auto" geben den gleichen Hash. Trotzdem ist es ein sicheres Hashverfahren.
    Beispiel:

    Code: Alles auswählen

    printf %32s "Auto" | sha1sum            
    fc692abaaa6520c6f2d313183abb2b608e634edc
    printf %32s "        Auto" | sha1sum                                            
    fc692abaaa6520c6f2d313183abb2b608e634edc
    
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Debian-Installer: SHA1 Problem

Beitrag von MSfree » 27.02.2017 14:55:47

wanne hat geschrieben:Es ist für passwort Hashes vollig irrelevant ob man Kollisionen erzeugen kann oder nicht.
Ich hoffe, du weißt, was du da gerade für einen unüberlegten Satz von dir gegeben hast 8O

Wenn mein Pasßwort SuperGeheim wäre und ich ein Paßwort erstellen kann, daß den gleichen Hash wie SuperGeheim hat und z.B. EasyAccess lautet, kann ich mich mit Benutzername und EasyAccess statt SuperGeheim einloggen.

Es spielt eine geradezu essentielle Rolle, ob man Hash-Collisions leicht herstellen kann. Daß es für alle anderen Hash-Verfahren auch zwagsläufig Kollisionen geben muß, ist auch klar, das erzeugen einer Kollision muß aber möglichst genauso aufwändig sein wie das Ermitteln eines Paßwortes per brute Force.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 27.02.2017 15:18:58

@all bitte meinen Post durchlesen und verstehen bevor ihr antwortet.
MSfree hat geschrieben:Wenn mein Pasßwort SuperGeheim wäre und ich ein Paßwort erstellen kann, daß den gleichen Hash wie SuperGeheim hat und z.B. EasyAccess lautet, kann ich mich mit Benutzername und EasyAccess statt SuperGeheim einloggen.
Das wäre ein Second Preimage-Angriff. Um den auszuführen musst du vorher wissen, dass das Passwort superGeheim war.
Jetzt gibt es zwei Möglichkeiten:
  1. Du weißt schon dass das Passwort superGeheim war: Es ist völlig egal ob du dich auch noch mit einem anderen Passwort mit dem gleichen Hash erzeugen kannst. Du kannst dich ja auch mit dem echten Passwort anmelden.
  2. Du weißt noch nicht, dass das Passwort superGeheim war, sondern kennst lediglich den Hash. Dann kannst du auch EasyAccess nicht finden, weil du ja das Passwort wissen müsstest um auf EasyAccess zu kommen.

Einfach mal am Beispiel von Oben:

Code: Alles auswählen

printf %32s $1 | sha1sum
Ich habe dir oben gezeigt, dass es ohne weiteres möglich ist, zwei passwörter zu generieren, die den geilchen Hash (fc692abaaa6520c6f2d313183abb2b608e634edc) ergeben.
Es ist also einfach Kollisionen zu erzeugen.

Jetzt deine Aufgabe:
Ich habe ein Passwort, (beziehungsweise einige Passwörter) dass den Hash ergibt:

Code: Alles auswählen

c1970ddd8ea392778daa5556613d88914a9a9752
Versuche jetzt mal das passende Passwort dazu zu finden. 500€ wenn du's schaffst, bevor ich's veröffentliche.

Einfach mal ernsthaft ausprobieren und du wirst den Unterschied zwischen einem Preimage-Angriff und einem Second-Preimage Angriff ganz schnell merken.

Und ich bitte jeden anderen der hier recht schnell und unüberlegt antwortet das ebenfalls zu versuchen.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Debian-Installer: SHA1 Problem

Beitrag von MSfree » 27.02.2017 15:39:26

wanne hat geschrieben:@all bitte meinen Post durchlesen und verstehen bevor ihr antwortet.
Unterstell mir hier nichts!

Ich denke, die Unwissenheit liegt auf deiner Seite. :wink:
[*]Du weißt noch nicht, dass das Passwort superGeheim war, sondern kennst lediglich den Hash. Dann kannst du auch EasyAccess nicht finden, weil du ja das Passwort wissen müsstest um auf EasyAccess zu kommen.[/list]
Der Witz ist, daß ich das nicht wissen muß. Per brute Force kann ich solange Zeichenkombinationen durchprobieren, bis ich entweder SuperGeheim oder EasyAccess finde, was dann schon nur noch der halbe Suchaufwand wäre. Und, je mehr Kollisionen sich erzeugen ließen, desto mehr gültige Paßwörter für den selben Hash könnte man generieren, was Brute Force Attacken dann immer einfacher werden läßt.

Und jetzt denk nochmal darüber nach, ob es wirklich so völlig egal ist, ob man für Hashes Paßwortpseudonyme generieren kann.
Und ich bitte jeden anderen der hier recht schnell und unüberlegt antwortet das ebenfalls zu versuchen
Und ich halte es für ganz schlechten Stil, erst Recht von einem Moderator, anderen zu versuchen, das Maul zu verbieten.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 27.02.2017 16:02:48

MSfree hat geschrieben:Und, je mehr Kollisionen sich erzeugen ließen, desto mehr gültige Paßwörter für den selben Hash könnte man generieren, was Brute Force Attacken dann immer einfacher werden läßt.
Um das mal einzuordnen:
Wenn Google den vollen Angriff der 2⁶⁹ versuche braucht in einer Millisekunde (Das ist deutlich schneller als ein dein 200Hz Bildchirm die Bilder bewegt) durchführen könnte.
Bräuchten Google aufgrund der von dir genannten Eigenschaft für SHA-1 4159074 mal so lange, wie das Universum bis jetzt existiert.
Noch Fragen ob das irgend wie den Praktischen Einsatz von SHA-1 beeinträchtigt?
Und vor allem sind deine Passwörter wirklich entsprechend stark, als dass sie dem mit einem anderen Hashverfahren standhalten würden?

Oder allgemeiner:
Für alle Hashes gilt: Sie haben konstante Länge. => Es gibt immer unendlich viele Kollisionen.
Die frage ist wie schnell man die Findet. I Optimalfall ist das für einen 160Bit langen Hash halt im Schnitt nach 2¹⁵⁹ versuchen der Fall. (besser geht nicht, weil einem ja irgend wann die unterschiedlichen hashes ausgehen.)
Da sieht es ist im Moment nicht schlechter aus für SHA-1.
rot: Moderator wanne spricht, default: User wanne spricht.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Debian-Installer: SHA1 Problem

Beitrag von dufty2 » 27.02.2017 17:04:52

wanne hat geschrieben:Kollisionen sind jetzt total einfach zu erzeugen: "Auto" und " Auto" geben den gleichen Hash.
Das ist natürlich Quark. 'printf %32s "Auto"' und 'printf %32s " Auto"' erzeugen den ein- und denselben String und somit trivialerweise den gleichen Hash. Da aber der Input (für die Hashfunktion) jedesmal der gleiche ist, kann man auch nicht von einer Kollision sprechen.
wanne hat geschrieben: Die frage ist wie schnell man die Findet. I Optimalfall ist das für einen 160Bit langen Hash halt im Schnitt nach 2¹⁵⁹ versuchen der Fall. (besser geht nicht, weil einem ja irgend wann die unterschiedlichen hashes ausgehen.)
Aufgrund des Geburtstagsparadoxon findet man Hashkollisionen nicht mit 1/2, sondern mit der Wurzel.
Es sind jetzt nicht 19 sondern 23 Tage für SQRT(365 Tage), weils noch irgendeinen konstanten Faktor (den ich vergessen habe ;) ) gibt.
Somit benötigt man (circa) 2**80 bei 160 Bit. SHA-1 ist aber schlechter: 2**61 (oder so in der Gegend).

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian-Installer: SHA1 Problem

Beitrag von schorsch_76 » 27.02.2017 18:48:31

wanne hat geschrieben: Und ich bitte jeden anderen der hier recht schnell und unüberlegt antwortet das ebenfalls zu versuchen.
Na dann zitieren wir jemanden der sich damit auskennt:

https://www.schneier.com/blog/archives/ ... start.html
Bruce Schneier hat geschrieben: Especially note this bit: "Freestart collisions, like the one presented here, do not directly imply a collision for SHA-1. However, this work is an important milestone towards an actual SHA-1 collision and it further shows how graphics cards can be used very efficiently for these kind of attacks." In other words: don't panic, but prepare for a future panic.

This is not that unexpected. We've long known that SHA-1 is broken, at least theoretically. All the major browsers are planning to stop accepting SHA-1 signatures by 2017. Microsoft is retiring it on that same schedule. What's news is that our previous estimates may be too conservative.
Man beachte, das war 10/2015. Jetzt hat google die sha1 Kollision geliefert.
Bruce Schneier hat geschrieben: SHA-1 has been broken. Not a reduced-round version. Not a simplified version. The real thing.
https://www.schneier.com/blog/archives/ ... roken.html

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 27.02.2017 19:27:45

Der wichtige Teil steckt da:
All the major browsers are planning to stop accepting SHA-1 signatures by 2017.
Es geht um Signaturen. Zu diesem Zeitpunkt war SHA-1 sogar der einzige Hash, den der FF als MAC unterstützte. Und der FF will den da auch nicht rauswerfen. (Obwohl ich das auch da durchaus sinnvoll fände.) Auch da wird wenn man es gut anstellt lediglich ein Kollisionsangriff benötigt. (Nur da halt in Echtzeit.)
Für das Masterpasswort nutzt Firefox noch immer einen einfachen SHA-1.
Also 3DES(SHA-1(salt,masterpw),sql-light-value); Keine PBKDF2!
3DES hat btw. ein stärke von 2⁸⁰.
Also eher weg von dem Ding.
dufty2 hat geschrieben:Das ist natürlich Quark. 'printf %32s "Auto"' und 'printf %32s " Auto"' erzeugen den ein- und denselben String
Nein. Genau das ist ein typischer Ansatz um Kollisionen zu erzeugen: Man sorgt dafür, dass irgend ein zwischenzustand gleich ist. Es war ja auch Absicht, dass es offensichtlich ist, wie ich das gebaut habe.
Für das Widerlegen ist es völlig egal wie Primitiv das Beispiel ist. Ich habe ein Beispiel gebraucht für das das gilt. PUNKT.
Ich kann dir auch gerne irgend einen hash basteln, bei dem das nicht mehr gar so offensichtlich ist. Nur traue ich mir halt nicht zu einen Preimagefreien zu bauen. Da haben sich halt schon größere dran vertan. Deswegen habe ich halt den SHA-1 von dem das bekannt ist, dahinter gehängt.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian-Installer: SHA1 Problem

Beitrag von schorsch_76 » 27.02.2017 19:39:53

Es ist nicht die Implementierung gebrochen. Es ist der Algorithmus gebrochen und damit alles was davon abstammt.

Nur weil im FF SHA1 damals das einzige war, bedeutet das nicht, das es gut war. Jetzt ist es vorbei mit SHA1.
Bruce Schneier hat geschrieben: SHA-1 has been broken. Not a reduced-round version. Not a simplified version. The real thing.
https://www.schneier.com/blog/archives/ ... roken.html

Spätestens jetzt muss man davon Abschied nehmen. Siehe damals MD5. Man kann jetzt nicht mehr sagen, das SHA1 sicher ist für Passwörter. Das was damals mit MD5 passiert ist, wird auch mit SHA1 passieren.
Wikipedia über MD5 hat geschrieben: Inzwischen sind die Kollisionsangriffe so weit fortgeschritten, dass eine weitere Nutzung von MD5, insbesondere in solchen Szenarien, in denen der Nutzer nicht die zu signierenden Dateien komplett kontrolliert, abzulehnen ist. Ein 2009 durchgeführter Test des Computermagazins c’t unter Verwendung von GPGPU ermöglicht es einem etwa ein Jahr alten Highend-Spiele-PC mit zwei Nvidia GeForce 9800 GX2 (insgesamt vier Grafikprozessoren), in knapp 35 Minuten eine Kollision zu finden.[8]
https://de.wikipedia.org/wiki/Message-D ... lgorithm_5

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Debian-Installer: SHA1 Problem

Beitrag von dufty2 » 27.02.2017 19:55:19

wanne hat geschrieben:
dufty2 hat geschrieben:Das ist natürlich Quark. 'printf %32s "Auto"' und 'printf %32s " Auto"' erzeugen den ein- und denselben String
Nein. Genau das ist ein typischer Ansatz um Kollisionen zu erzeugen: Man sorgt dafür, dass irgend ein zwischenzustand gleich ist. Es war ja auch Absicht, dass es offensichtlich ist, wie ich das gebaut habe.
Für das Widerlegen ist es völlig egal wie Primitiv das Beispiel ist. Ich habe ein Beispiel gebraucht für das das gilt. PUNKT.
Sorry, das ist Quark:
In der Kryptographie spricht man _dann_ von einer Kollision, wenn zwei _verschiedene_ Inputs den gleichen Output sprich Hash liefern.
PUNKT.

Für die Interessierten ist hier das paper zum Nachlesen:
https://shattered.it/static/shattered.pdf

DeletedUserReAsG

Re: Debian-Installer: SHA1 Problem

Beitrag von DeletedUserReAsG » 27.02.2017 20:20:10

In der Kryptographie spricht man dann von einer Kollision, wenn zwei verschiedene Inputs den gleichen Output sprich Hash liefern.
… in der Tat. Und wenn man ein Stückchen weiterüberlegt, kommt man auch drauf, dass es bei jeder Hashfunktion Kollisionen geben muss – man also davon ausgehen darf, dass es für einen gegebenen Hash theoretisch unendlich viele Ausgangsdaten gibt, die zu diesem führen. Die Frage ist nur, wie „leicht“ man sowas provozieren/erzeugen kann.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 28.02.2017 01:29:20

schorsch_76 hat geschrieben: Jetzt ist es vorbei mit SHA1.
Nein. Der FF macht keinerlei Anstalten SHA-1 als Passworthash oder MAC auszutauschen. Lediglich für Signaturen.
Bruce Schneier hat geschrieben:SHA-1 has been broken. Not a reduced-round version. Not a simplified version. The real thing.

https://www.schneier.com/blog/archives/ ... roken.html
Und du kannst nochmal 50 Zitate aus dem Kontext reißen. Es wird dadurch nicht richtiger. Auch hier: schreibt er offensichtlich im Kontext von Kollisonen:
collisions in the the full SHA-1
[…]
Tags: authentication, cryptanalysis, cryptography, hashes, SHA-1, signatures
Nix password, nix preimage. Nur Kollisionen und signaturen.
Spätestens jetzt muss man davon Abschied nehmen. Siehe damals MD5. Man kann jetzt nicht mehr sagen, das SHA1 sicher ist für Passwörter. Das was damals mit MD5 passiert ist, wird auch mit SHA1 passieren.
Auch hier:
Wikipedia über MD5 hat geschrieben:Inzwischen sind die Kollisionsangriffe so weit fortgeschritten, dass eine weitere Nutzung von MD5, insbesondere in solchen Szenarien, in denen der Nutzer nicht die zu signierenden Dateien komplett kontrolliert, abzulehnen ist. Ein 2009 durchgeführter Test des Computermagazins c’t unter Verwendung von GPGPU ermöglicht es einem etwa ein Jahr alten Highend-Spiele-PC mit zwei Nvidia GeForce 9800 GX2 (insgesamt vier Grafikprozessoren), in knapp 35 Minuten eine Kollision zu finden.[8]
Darf ich den von dir zitieren Wikipediaartikel einfach mal weiter Zitieren?
Wikipedia über MD5 hat geschrieben:Derzeit ist MD5 nur bezüglich der Kollisions-Angriffe gebrochen. Deswegen besteht noch keine akute Gefahr für Passwörter, die als MD5-Hash gespeichert wurden. Diese Kollisionen sind eher eine Gefahr für digitale Signaturen.
[…]
Da noch kein erster Preimage-Angriff bekannt ist, sind in der Vergangenheit signierte MD5-Hashes aktuell (2013) noch sicher.

@schorsch_76: Lies dir ernsthaft den Post durch und versuche ihn zu verstehen, bevor du antwortest. viewtopic.php?f=37&t=164350#p1123603
Alternativ ach alle der folgenden Wikipedia Artikel:
Versuche insbesondere zu verstehen, warum es zwei unterschiedliche Artikel sind, die drei verschiedene Attacken beschreiben.
https://en.wikipedia.org/wiki/Preimage_attack
https://en.wikipedia.org/wiki/Collision_attack

Mit dem vorwissen kannst du dich vielleicht auch nochmal an die Blogbeiträge von Schneier wagen.
rot: Moderator wanne spricht, default: User wanne spricht.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 28.02.2017 01:31:56

dufty2 hat geschrieben:In der Kryptographie spricht man _dann_ von einer Kollision, wenn zwei _verschiedene_ Inputs den gleichen Output sprich Hash liefern.
Das war für die von mir genannte Funktion der Fall.
Die hieß nämlich so:

Code: Alles auswählen

  printf %32s $1 | sha1sum
NICHT! so:

Code: Alles auswählen

echo $1 | sha1sum
rot: Moderator wanne spricht, default: User wanne spricht.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Debian-Installer: SHA1 Problem

Beitrag von uname » 28.02.2017 09:08:57

Natürlich muss man sich von SHA-1 verabschieden. Trotzdem glaube ich, dass echte Angreifer oder Geheimdienste über diese Diskussion nur lachen. Denn ein Angreifer wird sich kaum die Mühe machen auf dieser Basis die Sicherheit zu unterwandern.
Wer z.B. einen Server hackt wird doch nicht ernsthaft versuchen die verschlüsselten Passwörter zu hacken. Der Rechenaufwand ist zu hoch und damit zu teuer. Es ist weitaus zielführender für den Angreifer auf den Serversystemen die übermittelten Passwörter enfach in Klartext mitzulesen. Der Anwender muss sich hierfür nur nach dem Einbruch am System anzumelden. Die Erstellung von Hashwerten erst z.B. auf den Webservern ist eindeutig zu spät.
Daher wäre es wohl weit sinnvoller mindestens in Webanwendungen clientseitig z.B. mit Javascript bereits irgendeine (zusätzliche) Hashfunktion über das Passwort auszuführen. Leider weiß ich nicht wie man sicherstellt, dass ein Angreifer nicht einfach diesen z.B. per POST-Request übermittelten Hash-Wert abfängt bzw. wiederverwendet. Vielleicht wäre eine Art Challenge-Response-Verfahren möglich. Ajax bietet so schöne Möglichkeiten. Kann man nicht eine Passwortverwaltung programmieren, die zwar clientseitig eine Passworteingabe erfordert, dieses jedoch nie dem Webserver mitteilt?

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 28.02.2017 13:05:17

uname hat geschrieben:Daher wäre es wohl weit sinnvoller mindestens in Webanwendungen clientseitig z.B. mit Javascript bereits irgendeine (zusätzliche) Hashfunktion über das Passwort auszuführen. Leider weiß ich nicht wie man sicherstellt, dass ein Angreifer nicht einfach diesen z.B. per POST-Request übermittelten Hash-Wert abfängt bzw. wiederverwendet. Vielleicht wäre eine Art Challenge-Response-Verfahren möglich.
Haben sich 1999 schonmal schlaue Leute gedacht. https://tools.ietf.org/html/rfc2617 (Bitte nicht den deutschen Wikipedia-Artikel dazu lesen auch da werden Sachen fehlerhaft zitiert, die die Leute nicht verstanden haben. Der Artikel ist von jemandem geschrieben, der sein Hauptgebiet bei Basketball sieht. Aber halt Steward keine Chance da irgend was zu korrigieren.)
Digest Authentification ist bei weitem nicht state of the Art. MD5 als HMAC ist eher untauglich. (Wenn auch bis heute nicht gebrochen.) Keine Absicherung gegen replay angriffe. Schützt bis heute das Passwort solange das ordentlich ist. (Auch hier gibt es kein PBKDF2 o.ä.)
Problem ist, dass das bie heute absolut nicht verbreitet ist. z.B. im Nginx gilt das noch immer nicht als stabil. Die Browser können es aber alle.
MS hatte btw. die gleiche Idee kurz später. Nahm NTLM statt MD5-HMAC und der ist auch als preimage gebrauchen. – Nicht verwenden.
uname hat geschrieben:Ajax bietet so schöne Möglichkeiten. Kann man nicht eine Passwortverwaltung programmieren, die zwar clientseitig eine Passworteingabe erfordert, dieses jedoch nie dem Webserver mitteilt?
Auch die Idee ist nicht neu. Haben viele auch schon umgesetzt.
Das ist aber Prinzipbedingt ziemlich unsicher:
Das Problem bleibt grundsätzlich: Fast alle in der Vergangenheit bekannten Angriffe setzten voraus, dass du bereits Daten in der Verbindung manipulieren kannst. Ein entsprechender Angreifer schmeist einfach das Ajax-script weg und kann wie gehabt fortfahren. (Die oben genannte Digest Authentifizieren ist da in sofern besser, dass sie in Webserver und browser implementiert sind und über HTTP-Header laufen. XSS-Angriffe die nur zugriff auf den Inhalt des Browsers haben oder Angreifer mit lokalen Nutzerrechten (also nicht auf den Webserver sondern nur auf die Webanwendung selbst) können da dann nichts mehr ausrichten.)

Auf der anderen Seite: Für die Angriffe, die nur lesen können schafft es abhilfe. Heartbleed war da eine berühmte Ausnahme. Für IMAP und SMTP nutze ich CRAM-MD5 statt PLAIN oder LOGIN. Deswegen musste ich danach keine Passwörter austauschen.
Dafür hast du halt zusätzlichen Code den man prinzipiell angreifen kann. Ich für meinen Teil sage: Wenn das in den Browser kommt ist es toll. (Bei Mozilla laufen da wohl ein paar ansätze in die Richtung.) Irgend welches vergleichsweise selten reviewtes oder gar selbst geschriebenes lasse ich lieber sein.
rot: Moderator wanne spricht, default: User wanne spricht.

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: Debian-Installer: SHA1 Problem

Beitrag von tobo » 28.02.2017 13:22:44

uname hat geschrieben:Kann man nicht eine Passwortverwaltung programmieren, die zwar clientseitig eine Passworteingabe erfordert, dieses jedoch nie dem Webserver mitteilt?
Wie sollte sowas funktionieren? Die Authentifizierung erfolgt ja zwingend durch den Server. Dabei spielt es eigentlich wohl keine große Rolle, ob da ein Passwort, ein gehashtes Passwort oder ein gehashtes (Passwort + Salt) an den Server übermittelt wird. Das alles fungiert für den Server dann als Passwort. Und wenn das im Klartext gelesen werden kann, dann liegen die Zugangsdaten offen. Aber eben auch nur von diesem einen Account. Serverseitig wird das Passwort ja nicht gespeichert, sondern nur überprüft. Dort liegen nur die Hashes (bestenfalls verschlüsselt, gegen Bruteforce- und Wörterbuchattacken), die generiert wurden aus Übertragung und zufälligem Salt (gegen Rainbow Tables).

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 28.02.2017 13:47:00

@dufty2 . schorsch_76, MSfree:
Hier nochmal ein weniger offensichtliches Hashverfahren.
Das alte crypt ferfahren, ass früher in der /etc/shadow verwendet wurde. (Bzw. bis heute bei einigen Distributionen wie cirros wird.)

Code: Alles auswählen

echo "Passwör" | openssl passwd -salt "42" -stdin
42MgZCCmg5uOA
echo "PasswC6r" | openssl passwd -salt "42" -stdin
42MgZCCmg5uOA
Jetzt versucht mal ein Passwort zu dem Hash zu finden:
42CoB2PYGETbk
(Darauf verwette ich nicht so viel, da crypt maximal 8-Zeichen Passwörter zulässt. Und das kann man dann auch brutforcen.)
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian-Installer: SHA1 Problem

Beitrag von schorsch_76 » 28.02.2017 14:58:16

Du lieferst hier keine Quellen für deine Behauptungen: Ich habe hier Bruce Schneier zitiert. Falls du einen anderen Kryptologen hast, der sagt, das es in Ordnung ist SHA1 für Passwörter zu verwenden, dann zeig uns bitte die Quelle.

Heise zu shattered
https://www.heise.de/security/artikel/W ... 34341.html
https://www.heise.de/security/meldung/T ... 33589.html
heise hat geschrieben: Nach dem jetzt von Marc Stevens und Kollegen vorgestellten Angriff auf SHA-1 kann man dieses Hash-Verfahren endgültig beerdigen. Wer es jetzt noch einsetzt, handelt grob fahrlässig. Der Nachfolger steht auch schon fest: In allen praktischen Belangen kann und sollte man stattdessen SHA256 oder SHA512 verwenden. Diese beiden SHA-2-Varianten gelten als ausreichend sicher, dass sie auch langfristig die Unterscheidbarkeit verschiedener Dokumente garantieren können. Auf jeden Fall ist eine SHA-2-Kollision eine würdige Herausforderung für Marc Stevens, der auch bereits am Todesstoß für MD5 beteiligt war.
Da haben wir auf der einen Seite Schneier und Heise die sagen das SHA1 tot ist.
Auf der anderen Seite haben wir bisher nur deine Aussage aber keine Quellen gelesen das SHA1 immer noch gut ist.

https://www.heise.de/security/artikel/K ... kelseite=2
Die Richtlinien für Crypto in der IT von Heise sagt:
Für das Speichern von Passwörtern sollte man keine Hash-Funktionen direkt verwenden, sondern stattdessen Verfahren wie PBKDF2, bcrypt oder scrypt einsetzen. Die sind absichtlich so konzipiert, dass ein Passwort-Test möglichst viel Ressourcen benötigt. Sie erreichen dies unter anderem, indem sie viele Iterationen über Hash-Operationen durchführen. Auch für das Erzeugen von geheimen (AES-)Schlüsseln aus Passwörtern sind diese PBKDF2, bcrypt und scrypt das Mittel der Wahl.
Wenn man SHA1 für Passwörter verwendet, macht man schon eine Fehler.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Debian-Installer: SHA1 Problem

Beitrag von breakthewall » 28.02.2017 17:40:04

schorsch_76 hat geschrieben:Da haben wir auf der einen Seite Schneier und Heise die sagen das SHA1 tot ist.
Auf der anderen Seite haben wir bisher nur deine Aussage aber keine Quellen gelesen das SHA1 immer noch gut ist.
Das wird auch aus validen und nachvollziehbaren Gründen gesagt. Und wer mal geschichtlich nachgeforscht hat der weiß, dass gerade Umstellungen auf andere kryptografische Verfahren, mitunter immense Zeiträume beanspruchen. Nicht zuletzt aufgrund fahrlässiger Hersteller und Ewiggestrigen, auf die alle anderen angewiesen sind. Will man also warten bis SHA1 in jeder Hinsicht gänzlich gebrochen ist, oder will man klug sein und steigt frühzeitig um? Und genau darum wird Druck gemacht, dass hier nicht gewartet und mit etwas gearbeitet wird, nur weil es je nach Anwendung gerade noch so in Ordnung ist. Ein Auto fährt bspw. auch im fast durchgerosteten Zustand von A nach B. Die entscheidende Frage ist, ob man dabei sein will wenn die Achse bricht.
schorsch_76 hat geschrieben:Wenn man SHA1 für Passwörter verwendet, macht man schon eine Fehler.
Es hängt zwar in der Tat davon ab, wie ein Hashverfahren genutzt wird, was jedoch nicht notwendigerweise bedeutet, dass man dies auch tun sollte. Es kann nicht zielführend sein bei Hashverfahren erst abwägen zu müssen, was nun für welchen Anwendungsfall noch sicher ist. Daher müssen MD5 und SHA1 weg, schon aus Prinzip. Mit allen anderen Hashverfahren, kann man hingegen noch nichts falsch machen.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 28.02.2017 18:35:40

Du hast offesichtlcih auch nicht kapiert was PBKDF2 ist. PBKDF2 praktisch ausschließlich in Kombination mit SHA-1 genutzt. Es ist also absolut kein Widerspruch zu SHA-1.
schorsch_76 hat geschrieben:Du lieferst hier keine Quellen für deine Behauptungen: Ich habe hier Bruce Schneier zitiert. Falls du einen anderen Kryptologen hast, der sagt, das es in Ordnung ist SHA1 für Passwörter zu verwenden, dann zeig uns bitte die Quelle.
Ich kann sogar Bibel zitieren:
Psalm 102:28:
[…]shal [] secure […]
Das ist mindestens so aussagekräftig wie deine Zitate.

Zitieren ist nett aber total nutzlos, wenn man den Inhalt nicht versteht.
Hier noch ein paar links, die nicht durch große Namen sondern durch Inhalt glänzen:
http://stackoverflow.com/questions/2772 ... rd-storage

Sonst setz dich ernsthaft erstmal in ne Vorlesung zu Kryptografie und Diskreter Mathematik. Dann kannst du aus irgend welchen Kryptologen reden. Davor versuch es bitte erstmal mit Lehrbüchern. Die snd in einer Srprache geschrieben die du auch verstehst.

Kein Kryptologe wird btw. irgend wie darüber schreiben was nicht ist. – Warum auch. Du wirst keine Wissenschaftlichen Artikel über das nicht bekannt sein von irgend was finden.
Und Lehrbücher und ähnliches kommen halt nicht alle 5 Minuten heraus.
Hier zu MD5, der ja schon viel länger gerbrochen ist:
https://books.google.de/books?id=5TkLDg ... &q&f=false
Ansonsten der Golem Artikel zum Angriff, der wie immer etwas fundierter und mit mehr Hintergrund als das von Heise:
https://www.golem.de/news/kollissionsan ... 26355.html
Welche Auswirkungen ein Kollisionsangriff hat, ist in vielen Fällen nur mit einer genaueren Analyse feststellbar. So gibt es kryptographische Konstruktionen, in denen Kollisionen keine Rolle spielen und nur sogenannte Preimage-Angriffe vermieden werden müssen. Bei einem Preimage-Angriff kann ein Angreifer für einen bestehenden Hash eine gültige Eingabe finden. Preimage-Angriffe sind bislang für SHA-1 und selbst für MD5 unrealistisch.

Aber ich nehme an das interessiert dich nicht im geringsten. Du hast irgend welchen Bullshit verzapft und willst das jetzt irgend wie belegen.
rot: Moderator wanne spricht, default: User wanne spricht.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Debian-Installer: SHA1 Problem

Beitrag von schwedenmann » 28.02.2017 19:34:11

Hallo

@wanne
Komisch in Golem steht im Prinzip als Abstract gesehen,dasselbe wie in heise,da ist Inhaltlich und in der Bewertung kein Unterschied. Warum du jetzt heise verreißt und deine anderen links "rühmst" entzieht sich meiner Erkenntnis.

Golem und Konsorten kochen auch nur mit Wasser und wo was veröffentlicht ist, sdagt abioslut ncihts über den Inhalt aus, gilt natürlich auch für heise, wie auch für andere Fachrichtungen (außer Aluhutseiten, die sind soweiso unten durch - allein schon rein methodisch und vom Wissenshorizont).

das Entscheidende ist doch wohl, das ein und 2 unterschiedliche Dateien ein und denselben SHA-1 hash haben können, was jetzt bewiesen wurde.

mfg
schwedenmann

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 01.03.2017 08:09:05

schwedenmann hat geschrieben:Warum du jetzt heise verreißt
Das war nicht so gemeint. Ich lese heise oft und gerne. (Auch öfter als Golem.) Aber ich glaube die beiden Seiten haben schon ein bisschen eine andere Ausrichtung:
Heise ist die typische News-Seite: Immer der versuch möglichst schnell zu veröffentlichen und zumindest für den Technikberecih ziemlich allumfassend. Keine Technik-News, die nicht auf heise erscheint.
Dafür haben sie dann auch gerne mal einen Fehler drin (den sie dann im Gegensatz zu vielen anderen News Seiten nach Hinweis typischerweise ziemlich schnell korrigieren.)
Golems Artikel sind meisten etwas länger und Detaillierter und definitiv meist besser recherchiert. Dafür sind sie dann meist nicht so schnell. Und vor allem habe ich schon das gefühl das es da nicht vorkommt, dass jemand, der eigentlich eher weniger Ahnung vom Theman hat darüber schreibt. Guck dir mal die News-Show an. Da merkst du dass da einige zwar durchaus gut recherchieren können. (Sonst könnten sie keine vernünftigen Artikel abliefern.) Aber Fachlich oft recht wenig Ahnung haben. Dafür fehlen gewisse Ereignisse dann vollständig.
Ist ein bisschen wie der Unterschied zwischen einer Tageszeitung und einer Wochenzeitung.
rot: Moderator wanne spricht, default: User wanne spricht.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 01.03.2017 20:54:40

tobo hat geschrieben:Wie sollte sowas funktionieren? Die Authentifizierung erfolgt ja zwingend durch den Server. Dabei spielt es eigentlich wohl keine große Rolle, ob da ein Passwort, ein gehashtes Passwort oder ein gehashtes (Passwort + Salt) an den Server übermittelt wird. Das alles fungiert für den Server dann als Passwort.
Hier wie man das richtig macht: https://en.wikipedia.org/wiki/Digest_ac ... entication
Der trick ist, dass der die URL mit in den Hash einfließt. – Andere URLs ergeben einen anderen Hash. Man kann also nur URLs aufrufen, die man schon gesehen hat. (Replay-Angriffe.) Andere sind weiter geschützt.
Daneben fließt bei Digest Authentication noch ein vom server bestimmter nonce ein. Ändert der den in regelmäßigen Abständen, ist der Mitschnitt nach dieser Zeit vollständig nutzlos.
rot: Moderator wanne spricht, default: User wanne spricht.

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: Debian-Installer: SHA1 Problem

Beitrag von tobo » 01.03.2017 23:48:09

wanne hat geschrieben:Hier wie man das richtig macht: https://en.wikipedia.org/wiki/Digest_ac ... entication
Der trick ist, dass der die URL mit in den Hash einfließt. – Andere URLs ergeben einen anderen Hash. Man kann also nur URLs aufrufen, die man schon gesehen hat. (Replay-Angriffe.) Andere sind weiter geschützt.
Daneben fließt bei Digest Authentication noch ein vom server bestimmter nonce ein. Ändert der den in regelmäßigen Abständen, ist der Mitschnitt nach dieser Zeit vollständig nutzlos.
Ok, liest sich als hätten sich die Jungs da richtig Gedanken gemacht. Das angesprochene Passwort wäre in dem Fall HA1, also der Hash aus Benutzername, Passwort und der Anfrage. Das wäre dann auch die Konstante, die auf dem Server gespeichert ist. Mit dem Rest dann nochmal außenrum einzigartig zusammengebaut und verhasht. Clever! War mir so nicht bewusst - danke für die Nachreichung!

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Debian-Installer: SHA1 Problem

Beitrag von wanne » 02.03.2017 04:13:05

tobo hat geschrieben:Ok, liest sich als hätten sich die Jungs da richtig Gedanken gemacht.
Solche Konstrukte waren um die Jahrtausendwende halt eigentlich State of the Art. CRAM-MD5 funktioniert ähnlich und ist 2 Jahre vorher spezifiziert worden. EAP (1998) ebenfalls. Windows 2000 hatte mit NTLM ebenfalls etwas ähnliches am Start (Das aber auf schwachen LM-Hashes beruhte). WPA (2003) nutzt ein ähnliches Konstrukt.
Leider ist das dann wider fallen gelassen worden. Nach diversen Sicherheitslücken wurde alles in SSL gesteckt und solcherlei Konstrukt dann als überflüssig erklärt. Prinzipiell ist das natürlich die sauberere Variante. Aber eigentlich widerspricht sich das ja nicht.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten