Datei Hash manipulieren / erstellen

#0
27.02.2012, 22:55
...neu hier

Beiträge: 10
#1 Hallo,

ich habe ein technische Frage und zwar gibt es einen grossen Filehoster (Dropbox) der Dateien hasht und guckt ob sie denselben Hash schon auf deren Server haben.
Ist dem so wird die Datei nicht hochgeladen sondern einfach im Dropbox Ordner bei denen erstellt und referenziert.

Nun die Frage (rein theoretisch):
Angenommen ich kenne der Hash einer geheimen Datei, ist es möglich eine Datei mit genau diesem Hash künstlich zu erzeugen und Dropbox damit vorzugaukeln sie müssen die richtige Datei in den Ordner legen?
Seitenanfang Seitenende
27.02.2012, 23:27
Member

Beiträge: 420
#2 Hi,

Nein. Der Hash ist eine sogenannte Einwegfunktion. D.h. man kann zwar aus einer geheimen Datei Hashwert generieren, aber umgekehrt aus Hash die Datei zu rekonstruieren funktioniert nicht.
Seitenanfang Seitenende
28.02.2012, 12:11
Member
Avatar Xeper

Beiträge: 5289
#3

Zitat

Nein. Der Hash ist eine sogenannte Einwegfunktion.
Vor allem ist ein Hash eine Prüfsumme und enthält keinesfalls die Daten einer einzelnen Datei,
es ist eher wie eine Art Fingerabdruck.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
28.02.2012, 13:17
...neu hier

Themenstarter

Beiträge: 10
#4

Zitat

Xeper postete
Vor allem ist ein Hash eine Prüfsumme und enthält keinesfalls die Daten einer einzelnen Datei,
es ist eher wie eine Art Fingerabdruck.
Richtig und ich hatte halt überlegt ob ich diesen Fingerabdruck mit irgendeiner anderen Datei nachbauen kann!

Sodass Dropbox sieht, aha User mit dem Hash bekommt nun folgende Datei... - wäre so gesehen dann eine Sicherheitslücke...
Seitenanfang Seitenende
28.02.2012, 13:43
Member
Avatar Xeper

Beiträge: 5289
#5

Zitat

Richtig und ich hatte halt überlegt ob ich diesen Fingerabdruck mit irgendeiner anderen Datei nachbauen kann!
Das sind dann Hashalgorithmen die nicht mehr sicher sind, man spricht dann von Kollisionen - MD5 ist ein potentieller Kandidat dafür.
Trotzdem dürfte es sich als nahezu unmöglich gestalten.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
28.02.2012, 23:29
Member

Beiträge: 546
#6

Zitat

Richtig und ich hatte halt überlegt ob ich diesen Fingerabdruck mit irgendeiner anderen Datei nachbauen kann!

Sodass Dropbox sieht, aha User mit dem Hash bekommt nun folgende Datei... - wäre so gesehen dann eine Sicherheitslücke...
So sie denn MD5 als Hash benutzen: Gilt als gebrochen. Das mit dem "Nachbauen" ist eine andere Geschichte, zumindest dann, wenn ich daraus ableite,
dass mal "eben schnell" eine Kollision erzeugt werden soll.

Es sind jedoch Dateien existent, welche grundverschiedenen Inhalt aufweisen und trotzdem den identischen MD5 Hash besitzen.
Sollte ich den Link zur obigen Aussage finden, reiche ich ihn nach.

Gruß,

Sepia

Edit: http://www.mathstat.dal.ca/~selinger/md5collision (konkret: Absatz "An evil pair of executable programs" ff.)
Dieser Beitrag wurde am 28.02.2012 um 23:44 Uhr von Sepia editiert.
Seitenanfang Seitenende
28.02.2012, 23:51
...neu hier

Themenstarter

Beiträge: 10
#7 Sepia, danke diese Information hab ich mir gewünscht! - Spannender Link!

Vermutlich sind die Jungs bei Dropbox so schlau und verwenden SHA1 oder ähnliches (hoffe ich) - ansonsten könnte man denen mit dem Nachbau (einer anderen Datei mit demselben MD5) diese dazu bringen beliebige echte (originale) Dateien im eigenen Verzeichnis abzulegen.

Schöne neue Cloud Welt! ;)

Fibby

Edit: wobei wenn ich recht überlege, traue ich denen auch MD5 zu: http://techcrunch.com/2011/06/20/dropbox-security-bug-made-passwords-optional-for-four-hours/ :p
Seitenanfang Seitenende
08.03.2012, 23:12
...neu hier

Beiträge: 8
#8 Der Vorteil von MD5 ist, das die Berechnung auf Geschwindigkeit ausgelegt ist, und man damit sehr viele Berechnungen in einem bestimmtem Zeitintervall durchführen kann, ohne viel Serverlast zu erzeugen.

GRuß
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: