Salt (Kryptologie)
Salt (englisch für Salz) bezeichnet in der Kryptographie eine zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion angehängt wird, um die Entropie der Eingabe zu erhöhen. Es wird häufig für Speicherung und Übermittlung von Computer-Passwörtern benutzt. Bei der Überprüfung eines Passworts wird jedoch nicht jedes Mal ein neuer Salt erzeugt, da sonst der entstandene Hashwert sich von dem gespeicherten unterscheidet und somit das Passwort abgelehnt wird. Deshalb wird bei der Generierung eines Passworts der dort verwendete Salt zusammen mit dem entstandenen Hashwert in einer Datenbank gespeichert.
Inhaltsverzeichnis |
Motivation [Bearbeiten]
Kryptographische Hashfunktionen, wie z. B. MD5 oder SHA bilden einen bestimmten Klartext auf einen bestimmten Hash-Wert ab. Aus der Kollisionsresistenz der Hashfunktion folgt, dass die Wahrscheinlichkeit, dass zwei Passwörter auf den gleichen Hashwert abgebildet werden, so klein ist, dass sie in der Praxis vernachlässigt werden kann. Daher kann man an gleichen Hashwerten erkennen, welche Benutzer ziemlich sicher dasselbe Kennwort gewählt haben. Zudem muss bei Wörterbuch- und Brute-Force-Angriffen jedes zu prüfende mögliche Passwort nur ein einziges Mal berechnet (gehasht) werden, und dieser Wert muss anschließend nur mit einer Liste von vorliegenden Passwort-Hashes verglichen werden. Für Algorithmen wie MD5 liegen diese Listen in Form von Rainbow Tables bereits vor und erleichtern damit das Knacken von Passwörtern.
Abhilfe [Bearbeiten]
Die Verwendung eines Salts erhöht den Aufwand dieser Angriffe auf die Chiffre deutlich. Wörterbuchangriffe werden erschwert, da nicht mehr in einer Liste von verschlüsselten Werten (Hashtabelle) der zugehörige entschlüsselte Wert nachgeschlagen werden kann, sondern für jeden Klartext hash(Klartext + Salt) == bekannter Hash überprüft werden muss, was viel Rechenzeit kostet. Rainbow Tables müssten sehr viel umfangreicher werden, sie müssten alle ursprünglich unterstützten Passwörter in jeder Kombination mit den angehängten 
Bit enthalten, die Anzahl der neuen Einträge ist 
mal so groß wie zuvor. Außerdem wird allein durch die Verlängerung des Eingabewertes der Aufwand stark erhöht. Damit kann ein Salt die Bildung einer Tabelle unwirtschaftlich machen. Weiterhin wird die Informationssicherheit erhöht, da zwei identische Klartexte, zum Beispiel zwei zufällig gleich gewählte Passwörter unterschiedlicher Benutzer, mit einer sehr hohen Wahrscheinlichkeit zu verschiedenen Chiffren führen.
Als ausreichend gute Salts gelten nur hinreichend zufällige Werte mit einer gewissen Mindestlänge, die das Erstellen einer Rainbowtable auf lange Sicht unwirtschaftlich machen und zudem die mehrfache Vergabe desselben Salts auch bei großen Mengen erzeugter Hashes ausschließen.
Da die verwendeten Salts einem Angreifer bekannt sind, erhöhen sie nicht die Sicherheit bei einem Angriff auf ein einzelnes Passwort. Ein schwaches Passwort kann also ebenso leicht mithilfe von Wörterbuch- oder Brute-Force-Angriffen entschlüsselt werden.
Pfeffer [Bearbeiten]
Um Wörterbuchangriffe zu erschweren, kann das Passwort mit einer vom Server gewählten und geheimgehaltenen Zeichenfolge kombiniert werden, bevor der Hash-Wert berechnet wird. Diese Zeichenfolge wird Pepper (Pfeffer) genannt und ist für alle Passwörter auf einem Server gleich. Der Pepper wird nicht in der gleichen Datenbank gespeichert wie das Passwort, sondern an einem möglichst sicheren Ort hinterlegt. Erlangt ein Angreifer nur Zugriff auf die Datenbank (SQL-Injection), so erfährt er immer noch die Hash-Werte; die Hash-Werte stammen aber nicht mehr von schwachen Passwörtern, sondern von Kombinationen von Passwort und einem starken Pepper. Kein Wörterbuch enthält je solche Passwörter, ein Wörterbuchangriff ist darum sinnlos. Häufig wird empfohlen einen HMAC zu verwenden, um Passwort und Pepper zu kombinieren. Werden sie hingegen einfach aneinandergehängt, so sollte der Pepper hinter und nicht vor dem Passwort angefügt werden, da manche Hash-Funktionen Zeichen ab einer bestimmten Position ignorieren.
Anwendungen [Bearbeiten]
Protokolle, die Salt benutzen, sind beispielsweise SSL und CipherSaber. An Stellen, die Logins über das Internet oder andere Netzwerke benötigen, werden die Zugangsdaten häufig mit Salts versehen. Rainbowtable-Angriffe werden somit effektiv verhindert, falls nach einem Einbruch in die Serverinfrastruktur die Datenbank mit den User-Logins kopiert wird. Durch Anfügen von Salts werden besonders für häufig anzutreffende, kurze oder einfache Passwörter die vorgefertigten Rainbowtables wertlos. Weiterhin ergeben mehrere gleiche Passwörter mit hoher Wahrscheinlichkeit unterschiedliche Hashwerte.
Probleme [Bearbeiten]
Bildet ein Verfahren aufgrund eines Programmierfehlers oder einer fehlerhaften Implementierung z. B. nur 1.000 unterschiedliche Salts, kann das Erstellen einer Rainbowtable weiterhin wirtschaftlich sein. Derartige Fälle werden als „schwache“ Salts bezeichnet. Ein solches Verfahren sind die von Windows-Systemen (XP, Vista) angelegten zwischengespeicherten Anmeldeinformationen (DCC, Domain Cached Credentials, von Cracking-Programmen auch als MS-Cache-Hashes bezeichnet). Der Benutzername wird dabei als Salt verwendet. Rainbowtables können daher weiterhin für weit verbreitete Benutzernamen erzeugt werden, z. B. administrator.
