AES Verschlüsselung Salt

  • VB.NET

Es gibt 12 Antworten in diesem Thema. Der letzte Beitrag () ist von VBWorld.

    AES Verschlüsselung Salt

    Hallo,

    ich beschäftige mich zur Zeit mit der AES Verschlüsselung, dazu habe ich mir diesen Tipp angeschaut. Ich verstehe, dass die Entschlüsselung durch den Salt Wert noch schwerer gemacht wird aber, man könnte das spätere Programm ja dekompilieren und den Salt Wert auslesen, daher meine Frage: Muss der Salt Wert "geheim gehalten werden", also wird die verschlüsselung unsicherer wenn jeder weiß, dass mein verwendeter Salt Wert z.B. "VBWorld" ist?

    Ich hoffe meine Frage ist verständlich

    VBWorld
    MFG VBWorld
    Mathe ist für alle die, die nicht mit dem Taschenrechner umgehen können :D

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „VBWorld“ ()

    Was @EaranMaleasi sagt ist richtig.

    Der Angreifer könnte sich nun aber ein eigenes Wörterbuch mit deinem Salt erzeugen.
    (Schon hier wird es für den Angreifer extrem zeitaufwendig - würde sich für eine 0815 Seite auch nicht lohnen)

    Wenn du dem Angreifer das Leben noch schwerer machen willst, nutze zufällig erzeugte Salts.
    Diese speicherst du dann einfach zu dem entsprechenden Datensatz dazu.
    Den Salt musst du auch nicht geheim halten.

    Der einzige Nachteil an einem zufälligen Salt ist die zusätzlich benötigte Zeit (zum generieren des Salts).

    http://de.wikipedia.org/wiki/Rainbow_Table schrieb:

    Eine weitere Methode, die Generierung von Rainbow Tables unwirtschaftlich zu machen, ist der Einsatz von Salt. Dabei wird an das Passwort vor dem Hashen ein – im Idealfall – zufällig generierter Wert, das Salt angehängt. Das Salt wird zusammen mit dem Hashwert gespeichert, um das Passwort später überprüfen zu können, es ist also kein Geheimnis. Für jedes Passwort, welches die Rainbow Table abdecken soll, müssten nun alle durch das Salt-Verfahren möglichen Kombinationen ebenfalls erzeugt werden. Damit würde sich der Aufwand um die Zahl der möglichen Salts vervielfachen, weil für jedes mögliche Salt eine Rainbow Table erstellt werden muss. Da nicht mehr eine Rainbow Table verwendet werden kann, um alle Passwörter zu finden, wird diese Methode unwirtschaftlich oder sogar auf längere Sicht technisch nicht realisierbar. Salts können aber kurze Passwörter nicht schützen – sie erhöhen nur den Aufwand beim Brute-Forcen, wenn mehrere vorliegen, verhindern es aber keineswegs
    MESS WITH THE BEST, DIE LIKE THE REST! :evil:
    n'paar Links: DNS Tools, Steal WA DB, Droidsheep...

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Dancger“ ()

    Salt muss im Übrigen immer zufällig sein, ansonsten wäre es Pepper.
    #define for for(int z=0;z<2;++z)for // Have fun!
    Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

    Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Trade“ ()

    Danke für die Antworten

    Was ist wenn ich als Salt Wert einfach den Wert nehme den ich verschlüsseln möchte? Würde der(?) Salt immer noch die Entschlüsselung erschweren, oder ist es für Angreifer einfacher, wenn sie wissen, dass der Salt den selben Wert hat, wie der zu verschlüsselnde Wert?

    Edit:

    Wenn ich den Salt also dynamisch generiere kann ich ihn im Klartext mitversenden?


    MFG VBWorld
    MFG VBWorld
    Mathe ist für alle die, die nicht mit dem Taschenrechner umgehen können :D

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „VBWorld“ ()

    Der Salt sollte immer ein ganz zufällig generierter String sein.
    Deine Idee halte ich nicht grade für gut.
    #define for for(int z=0;z<2;++z)for // Have fun!
    Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

    Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

    Die erste Frage hatte sich erübricht. Ich meine:

    1.) Ich generiere einen Salt ganz zufällig
    2.) Mit dem Salt und einem geheimen Passwort verschlüssel ich z.B. einen Text
    3.) Ich sende den verschlüsselten Text an den Server mit dem Salt im Klartext. Hier ist meine Frage: Darf der Salt einfach so im KLartext mitversendet werden?
    MFG VBWorld
    Mathe ist für alle die, die nicht mit dem Taschenrechner umgehen können :D