Crypt v.s md5

Sarge · Ass Anmeldedatum: 10.09.2007 Beiträge: 56 Wohnort: London

Eine Frage...

Ich habe gelesen* dass md5() eine 32 string erstellt und crypt() eine 12 stellige...

Nur :

// Crypt
$1$IufAKJLr$z7kmCcFZDJN6xTrrcI27H. String
JLr$z7km Password
8 Begin
34 StringLength

Hier steht die StringLength ist 34.

// Jetzt mit Md5
c4ca4238a0b923820dcc509a6f75849b String
c4ca4238 Password
0 Begin
32 StringLength

Wird eine 34 char string erstellt? Egal auf was ich 'crypt()' benutze... die ergebnisse bleibt 34 char lang... Ist des ein Fehler vom Buch oder habe ich was missverstanden?

Wenn ja... waere dadurch Crypt nicht staerker als Md5 wenn es 2 chars laenger ist?

Mfg
- Sarge

*source = PHP for the World Wide Web von Larry Ulman
_________________
Now that seems Logical...

Werbung

Belerofon · Mitglied Anmeldedatum: 20.08.2007 Beiträge: 31

Ich arbeite nicht mit crypt(), aber die Länge macht nicht die Stärke aus... Es geht darum das es Algorithmen sind, welche nicht zurückberechnet werden können (außnahme siehe Rainbow Tables, abhilfe-> doppelte verschlüsselung). Ich verwende md5...

mfg
_________________
www.Webmasterhouse.net - Das Webmasterportal

sukram




 

 
	  Zitat:
	
	
	  md5



(PHP 4, PHP 5, PECL hash:1.1-1.3)



md5 — Errechnet den MD5-Code eines Strings

Beschreibung

string md5 ( string $str [, bool $raw_output] )



Berechnet den MD5-Hash von str unter Verwendung des » RSA Data Security, Inc. MD5 Message-Digest Algorithm und gibt das Ergebnis zurück. Dieser Code ist eine hexadezimale Zahl mit 32 Zeichen Länge. Wurde der optionale Parameter raw_output mit TRUE angegeben, wird der MD5-Wert im Raw Binary Format mit einer Länge von 16 Zeichen zurückgegeben. 
	






	  PHP:
	
	
	  <?php

$str = 'apple';



if (md5($str) === '1f3870be274f6c49b3e31a0c6728957f') {

    echo "Haetten Sie lieber einen gruenen oder einen roten Apfel?";

    exit;

}

?> 
	



Quelle: http://www.php.net/md5





 
	  Zitat:
	
	
	  crypt



(PHP 4, PHP 5)



crypt — Einweg-String-Verschlüsselung (Hashbildung)

Beschreibung

string crypt ( string $str [, string $salt] )



crypt() einen String zurück, der unter Verwendung des Unix-Standard-Verschlüsselungsalgorithmus DES erstellt wurde. Dieser Algorithmus muss auf dem System verfügbar sein. Die zu übergebenden Argumente sind der zu verschlüsselnde String und optional ein Salt-String, der die Schlüsselbasis bildet. Lesen Sie die Man-Pages ihres Unix-Systems, wenn Sie weitere Informationen zu Crypt benötigen.



Ist kein Salt-Argument angegeben, wird es von PHP nach dem Zufalls-Prinzip bei jedem Aufruf der Funktion neu erzeugt.



Einige Betriebssystem unterstützen mehr als eine Methode zur Verschlüsselung. So wird manchmal der DES- durch einen MD5-Algorithmus ersetzt. Der verwendete Schlüssel wird durch das Salt-Argument bestimmt. Zum Installationszeitpunkt untersucht PHP die vorhandenen Möglichkeiten und wird, abhängig vom Ergebnis dieser Prüfung, auch andere Schlüssel-Typen zulassen. Wird kein Salt unterstützt, erzeugt PHP per Voreinstellung einen 2-Zeichen DES-Salt, es sei denn, auf ihrem System existiert MD5. In diesem Fall wird PHP einen zufälligen MD5-kompatiblen Salt generieren. PHP erzeugt eine Konstante namens CRYPT_SALT_LENGTH. Diese besagt, ob ihr System ein reguläres 2-Zeichen Salt oder das längere 12-Zeichen MD5-Salt unterstützt.



Wenn Sie das gegebene Salt benutzen, sollten Sie beachten, dass dieser Wert nur einmal bestimmt wird. Rufen Sie diese Funktion nun mehrmals auf, beeinträchtigt das nicht nur das Ergebnis, sondern unter Umständen auch die Sicherheit.



Die Standard-DES-Verschlüsselung crypt() enthält das Salt als erste 2 Zeichen der Ausgabe. Ebenso werden nur die ersten acht Zeichen von str berücksichtigt, verwenden Sie also einen längeren String, der mit den gleichen 8 Buchstaben beginnt, so erhalten Sie denselben Rückgabewert (sofern Sie ebenfalls den gleichen Salt nutzen).
	






	  PHP:
	
	
	  <?php

$passwort = crypt('mein_Pwd'); // let the salt be automatically generated



/* Sie sollten das vollständige Ergebnis von crypt() als Salt zum

   Passwort-Vergleich übergeben, um Problemen mit unterschiedlichen

   Hash-Algorithmen vorzubeugen. (Wie bereits ausgeführt, verwendet

   ein Standard-DES-Passwort-Hash einen 2-Zeichen-Salt, ein

   MD5-basierter hingegen nutzt 12 Zeichen. */

if (crypt($benutzer_eingabe, $passwort) == $passwort) {

   echo "Passwort stimmt überein!";

}

?> 
	



Quelle: http://www.php.net/crypt



PS.: Ich nutze auch md5()

_________________
TeraPix.de - Moderne Scripte zu fairen Preisen

Sarge · Ass Anmeldedatum: 10.09.2007 Beiträge: 56 Wohnort: London

Ok vielen dank!

sukram

Was für eine Frage...
Natürlich ändert sich der Algorithmus nicht...
_________________
TeraPix.de - Moderne Scripte zu fairen Preisen

Sarge · Ass Anmeldedatum: 10.09.2007 Beiträge: 56 Wohnort: London

Naja... dann koennte ma ja theoritisch alles brechen indem ma alle moeglichem strings mit md5 durch checkt bis ma's hat?
_________________
Now that seems Logical...

sukram

Könnte man, die haben nur noch keinen Dummen dafür gefunden Wink

_________________
TeraPix.de - Moderne Scripte zu fairen Preisen

Sarge · Ass Anmeldedatum: 10.09.2007 Beiträge: 56 Wohnort: London

Reicht BruteForce nicht aus?

Oder ein Woerterbuch... Md5 auf jedes eintrag drauf und los gehts?

Mfg

Sarge
_________________
Now that seems Logical...

Belerofon · Mitglied Anmeldedatum: 20.08.2007 Beiträge: 31

Hey...

Rainbow Tables nennt man das, hab ich oben schon erweähnt, das problem ist das es da seeehr viele kombis gibt..
_________________
www.Webmasterhouse.net - Das Webmasterportal

Sarge · Ass Anmeldedatum: 10.09.2007 Beiträge: 56 Wohnort: London

Achso.. wusste nicht was Rainbow Tables sind.. ich geh mal nachforschen Smile

Danke!

mfg

- Sarge
_________________
Now that seems Logical...