MD5-Hash.

[Fck_]

Hey !

Hoop dat ik mijn topic hier goed zet, want ik vond niet echt een forum waar het gaat over 'beveiliging', maar in de zin van Encryptie enzo? Of heb ik dan zo scheef gekeken .

Anyway, voor een vak 'Communicatietechnieken' moeten we op school (KHLeuven) een infodag organiseren! Met presentaties, show-cases en workshops! De school bekijkt het redelijk groot, en daarom zijn er ook verschillende groepen gezet op verschillende onderwerpen die te maken hebben met Informatica (Ik volg informatica voor als ik het nog niet vermeld zou hebben).

Nu, ik ben ingedeeld bij een groep internetsecurity (beveiliging, privacy,..) , en we moeten hier een workshop rond geven. Nu was dit ons idee:

We encrypteren een bestand met AES-encryptie. De sleutel hiervan delen we op in 3 stukken. 1 stuk van de sleutel gaan we met een makkelijker algoritme versleutelen dat de studenten kunnen bruteforcen, een ander deel hashen we met MD5, zodat de studenten dit kunnen opzoeken in een rainbowtable, en een derde deel, dat ben ik even vergeten .

We maken dan een website. Om te beginnen moeten ze ingelogd zijn, maar ze hebben geen account. Daarom dat onze website kwetsbaar gaat zijn voor SQL injection. Zodra ze binnen zijn komen ze op de eerste pagina, die van MD5. Hier staat dan uitleg op over MD5 en rainbowtables, en dan van onder een input box waar ze het eerste deel van de AES-sleutel moeten ingeven. Ze krijgen natuurlijk ook de MD5 Hashwaarde, die ze aan de hand van de informatie op de pagina moeten gaan kunnen 'kraken' (lees: opzoeken). Is hun antwoord goed, worden ze verwezen naar de volgende pagina (het volgende deel) en anders blijven ze op deze pagina.

Toch wel interessant voor 6de jaars van het middelbaar hé? Die wsl zeer geïnteresseerd zijn in iets wat op 'hacken' lijkt.

Ik heb nu een klein tekstje gemaakt voor op de MD5 pagina die de nodige informatie zou moeten bevatten. Maar ik wou het even aan jullie tonen, zodat jullie eens konden zeggen of het wel voldoende informatie is voor die studenten, en ook of het goed uitgelegd is.. (En of de informatie uberhaubt goed is =P). Ook staat het wsl nog vol met DT fouten, omdat ik dat niet goed kan , maar dat verbeteren we zelf nog wel :P.

Stel je eens voor dat jij een ultrageheim bestand hebt met ultrageheime informatie en je wilt dit geven aan een vriend van je. Je wil er echter wel zeker van zijn dat je vriend exact dezelfde informatie ontvangt, zonder dat bijvoorbeeld een hacker deze veranderd heeft. Hiervoor kan je een Hashfunctie gebruiken. MD5 is zo’n hashfunctie. Het word gebruikt om de integriteit (moeilijk woord voor ‘echtheid’) van de bestanden te controlleren. (MD5 word gebruikt voor nog andere beveiligingstoepassingen gebruikt, maar daar gaan we hier niet dieper op in.)

Aan de hand van een bepaald algoritme, maakt men van een string (een serie letters, cijfers,..) een hashwaarde van 128bits, oftewel 32 tekens. Het is belangrijk dat er nooit tweedezelfde hashwaardes komen uit twee verschillende strings/bestanden, anders zou het voor hackers makkelijker zijn om deze hashwaarde na te maken.
Wel zo logisch is dat er bij één bepaalde string dan ook maar 1 hashwaarde hoort. Dit is het zwakke punt van bijvoorbeeld de MD5 Hashfunctie.

We verduidelijken dit even. Stel, je hebt een string ‘AAAAA’ waar je een hashwaarde van maakt. Als je van deze string morgen een hashwaarde maakt, ga je dezelde krijgen als gisteren. En als je vriend dit vorige week gedaan had, had hij ook dezelfde gekregen!

Nu zijn er mensen (hackers?) zo slim geweest om voor een hele boel strings de hashwaardes al te berekenen en deze op te slaan in een grote tabel; Een rainbow table. Als ze dan je hashwaarde van ‘AAAAA’ te pakken krijgen, gaan ze simpelweg de bijhorende string opzoeken in deze rainbow table! (Een voorbeeld van zo’n rainbow table is: http://passcracking.com/index.php)

Er zijn natuurlijk manieren bedacht om deze hashwaardes toch veiliger te maken. Zo kan men bijvoorbeeld een salt toevoegen. Dit is een random string, van heel veel verschillende karakters, die aan je originele string geplakt word. Hierdoor is hij veel moeilijker te vinden in een tabel.
In ons ‘AAAAA’ voorbeeld maakt men dan bijvoorbeeld een hash van ‘AAAAAvkdmzZ”)’32FcK’. Het is veel onwaarschijnlijker dat je deze kan terugvinden.

Alvast bedankt !

[Jelle]

Verplaatst naar het programmeerforum, daar past dit soort beveiligingsvragen beter

Je tekst ziet er vrij goed uit. In plaats van het vreemde AAAAA kan je misschien wel een clichéwachtwoord gebruiken om het gevaar daarvan te benadrukken.