SHA-1 statt MD5 benutzen
#1
Hoi
da ich net genau weiss wo ich das rein posten soll mach ichs mal hier
für alle diejenigen die neue Scripts entwickeln rate ich aus Sicherheitsgründen SHA-1 statt MD5 zu verwenden da MD5 wohl in absehbarer Zeit geknackt werden wird.
SHA-1 gilt zwar auch nicht als völlig sicher, jedoch dürfte es wohl noch um einiges länger überstehen als MD5.
SHA1 wird von PHP ab Version 4.3 unterstützt.
Da ich a bissal paranoid in der Hinsicht bin verwend ich schon länger fast ausschließlich SHA1, ich finde aber langsam sollten au andere Programmierer von MD5 weg wechseln, net das dann auf einmal bei einem Durchbruch alle wie wild umherrennen und um Hilfe schreien Wink

Mfg
Write this on my gravestone, write this right on my grave, "To whisky and women, here lies a poor slave".

[Bild: 10_en_btn.gif]

Computer- und Mediensicherheit - FH Hagenberg
Hagenberger Kreis zur Förderung der digitalen Sicherheit
Security Forum
  Zitieren
#2
Zitat:Original von kickedINtheHEAD
Hoi
da ich net genau weiss wo ich das rein posten soll mach ichs mal hier
für alle diejenigen die neue Scripts entwickeln rate ich aus Sicherheitsgründen SHA-1 statt MD5 zu verwenden da MD5 wohl in absehbarer Zeit geknackt werden wird.
[...]

Mfg

Interessant... hast du da nähere Infos? :kopfkratz:
  Zitieren
#3
hoi
sorry dast a bissal warten musstest
md5 gilt schon des längeren als unsicher da schon vor ca. über einem jahr erste kollisionen bei hash werten festgestellt wurden und auch bei sha-1 ist es bereits gelungen welche zu konstruieren

in der zwischenzeit ist es möglich md5 kollisionen innerhalb weniger stunden zu finden, jedoch noch nicht einen bestimmten hash zurückzurechnen, was aber eher eine frage der zeit sein dürfte

ein neuer standard ist noch nicht wirklich in sicht

außerdem gibt es für beide sogenannte rainbow tables zb
http://passcrack.spb.ru/

also wäre es nicht schlecht zb den hash nach dem erzeugen noch leicht zu verändern (bringt aber leider nur was solange source nicht einsehbar ist)

ne recht gute zusammenfassung findest du hier:
http://www.computerwoche.de/nachrichten/568179/

edit:
für ältere php versionen als 4.3.x hab ich hier ne sha-1 implementation für php gefunden
http://www.tecknik.net/sha-1/sha-1.phps
Write this on my gravestone, write this right on my grave, "To whisky and women, here lies a poor slave".

[Bild: 10_en_btn.gif]

Computer- und Mediensicherheit - FH Hagenberg
Hagenberger Kreis zur Förderung der digitalen Sicherheit
Security Forum
  Zitieren
#4
Oha... da muss ich mich ausgiebig mit beschäftigen. Ist doch recht umfangreich. Aber danke schon mal für die Infos!
  Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 4 Gast/Gäste