Salt (Kryptologie)

Kryptographische Hashfunktionen, wie z. B. MD5 oder SHA bilden einen bestimmten Klartext auf einen bestimmten Hash-Wert ab. Aus der Kollisionsresistenz der Hashfunktion folgt, dass die Wahrscheinlichkeit, dass zwei Passwörter auf den gleichen Hashwert abgebildet werden, so klein ist, dass sie in der Praxis vernachlässigt werden kann. Daher kann man an gleichen Hashwerten erkennen, welche Benutzer dasselbe Kennwort gewählt haben. Zudem muss bei Wörterbuch- und Brute-Force-Angriffen jedes zu prüfende mögliche Passwort nur ein einziges Mal berechnet (gehasht) werden, und dieser Wert muss anschließend nur mit einer Liste von vorliegenden Passwort-Hashes verglichen werden. Für Algorithmen wie MD5 liegen diese Listen in Form von Rainbow Tables bereits vor und erleichtern damit das Knacken von Passwörtern.

Die Verwendung eines Salts erhöht den Aufwand dieser Angriffe auf die Chiffre deutlich. Wörterbuchangriffe werden erschwert, da nicht mehr in einer Liste von verschlüsselten Werten (Hashtabelle) der zugehörige entschlüsselte Wert nachgeschlagen werden kann, sondern für jeden Klartext hash(Klartext + Salt) == bekannter Hash überprüft werden muss, was viel Rechenzeit kostet. Rainbow Tables müssten sehr viel umfangreicher werden, sie müssten alle ursprünglich unterstützten Passwörter in jeder Kombination mit den angehängten ${\displaystyle n}$  Bit enthalten, die Anzahl der neuen Einträge ist ${\displaystyle 2^{n}}$  mal so groß wie zuvor. Außerdem wird allein durch die Verlängerung des Eingabewertes der Aufwand stark erhöht. Damit kann ein Salt die Bildung einer Tabelle unwirtschaftlich machen. Weiterhin wird die Informationssicherheit erhöht, da zwei identische Klartexte, zum Beispiel zwei zufällig gleich gewählte Passwörter unterschiedlicher Benutzer, mit einer sehr hohen Wahrscheinlichkeit zu verschiedenen Chiffren führen.

Als ausreichend gute Salts gelten nur hinreichend zufällige Werte mit einer gewissen Mindestlänge, die das Erstellen einer Rainbowtable auf lange Sicht unwirtschaftlich machen und zudem die mehrfache Vergabe desselben Salts auch bei großen Mengen erzeugter Hashes ausschließen.

Da die verwendeten Salts einem Angreifer bekannt sind, erhöhen sie nicht die Sicherheit bei einem Angriff auf ein einzelnes Passwort. Ein schwaches Passwort kann also ebenso leicht mithilfe von Wörterbuch- oder Brute-Force-Angriffen entschlüsselt werden.

Protokolle, die Salt benutzen, sind beispielsweise SSL und CipherSaber. An Stellen, die Logins über das Internet oder andere Netzwerke benötigen, werden die Zugangsdaten häufig mit Salts versehen. Rainbowtable-Angriffe werden somit effektiv verhindert, falls nach einem Einbruch in die Serverinfrastruktur die Datenbank mit den User-Logins kopiert wird. Durch Anfügen von Salts werden besonders für häufig anzutreffende, kurze oder einfache Passwörter die vorgefertigten Rainbowtables wertlos. Weiterhin ergeben mehrere gleiche Passwörter mit hoher Wahrscheinlichkeit unterschiedliche Hashwerte.

Bildet ein Verfahren aufgrund eines Programmierfehlers oder einer fehlerhaften Implementierung z. B. nur 1.000 unterschiedliche Salts, kann das Erstellen einer Rainbowtable weiterhin wirtschaftlich sein. Derartige Fälle werden als „schwache“ Salts bezeichnet. Ein solches Verfahren sind die von Windows-Systemen (XP, Vista) angelegten zwischengespeicherten Anmeldeinformationen (DCC, Domain Cached Credentials, von Cracking-Programmen auch als MS-Cache-Hashes bezeichnet). Der Benutzername wird dabei als Salt verwendet. Rainbowtables können daher weiterhin für weit verbreitete Benutzernamen erzeugt werden, z. B. administrator.

• Initialisierungsvektor
• Nonce

• Passwörter speichern – aber richtig!
• heise.de – Passwörter unknackbar speichern
• Protecting Passwords with a One-way Hash Function (englisch)
• Mögliche Passwort-Hashes (englisch)