des,md5 oder blowfish?

Lesenswerte Artikel, Anleitungen und Diskussionen
deejay
Posts: 21
Joined: 2004-07-22 13:09

des,md5 oder blowfish?

Post by deejay » 2004-07-27 19:03

habe suse 9.0
in yast kann man ja pw-verschlüsselung umstellen.
welche würdet ihr empfehlen? des,md5 oder blowfish?
muss man dazu danach rebooten? (..maximal 8zeichen bleibt immer deaktivert)

vielen dank im vorraus!

duergner
RSAC
Posts: 976
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: des,md5 oder blowfish?

Post by duergner » 2004-07-27 19:31

DES finde ich persönlich etwas zu schwach. Wir setzen bei uns MD5 ein.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: des,md5 oder blowfish?

Post by Joe User » 2004-07-27 20:18

Blowfish - Ein Reboot ist nicht notwendig.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: des,md5 oder blowfish?

Post by captaincrunch » 2004-07-27 22:07

Wenn's um "Bordmittel" geht kann ich Joe nur zustimmen: Blowfish dürfte hier so ziemlich erste Wahl sein, da DES mittlerweile hoffnungslos veraltet ist, und MD5 langsam auch in die Jahre kommt, und die "theoretischen" Schwächen u.U. nicht nur graue Theorie bleiben werden.
Wo wir gerade dabei sind: Es ist auf der Crypto-ML mal verdammt ruhig geworden... :?

Wenn man darüber hinaus die Möglichkeit hat tcb ( http://www.openwall.com/tcb/ (Achtung, Hint!)) einzusetzen, ist man umso mehr auf der "sicheren" Seite.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: des,md5 oder blowfish?

Post by kase » 2004-07-27 23:09

md5 ist bereits zu 100% geknackt bei Wörtern, die nur kleine Buchstaben sowie Zahlen enthalten, und nicht länger als 8 Zeichen sind.

Die URL, wo man seine md5 knacken lassen kann, habe ich leider vergessen :(

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: des,md5 oder blowfish?

Post by dodolin » 2004-07-28 00:10

md5 ist bereits zu 100% geknackt bei Wörtern, die nur kleine Buchstaben sowie Zahlen enthalten, und nicht länger als 8 Zeichen sind.
Bei schlechten Passwörtern ist der Crypto Algo aber egal, die kann man dann immer per Brute Force knacken.

Ohne mich jetzt näher damit zu beschäftigen, IIRC sind 3DES oder AES ganz ok.

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: des,md5 oder blowfish?

Post by floschi » 2004-07-28 07:56

Ich würde MD5 nehmen, für Blowfish fehlt noch die weitere Unterstützung, v.a. bei Netzwerkdiensten. Einige bräuchten imho sogar leider DES, aber das ist mal nicht zur Debatte...

btw, ich habe kürzlich bei SuSE mal einen Bug gemeldet, weil die eben standardmäßig DES verwenden - mal schauen, ob sich das ändert ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: des,md5 oder blowfish?

Post by captaincrunch » 2004-07-28 08:53

Die URL, wo man seine md5 knacken lassen kann, habe ich leider vergessen
Meinst du zufällig http://passcracking.com ?
Ohne mich jetzt näher damit zu beschäftigen, IIRC sind 3DES oder AES ganz ok.
TripleDES ist zwar (noch) ganz OK, aber meistens einfach zu langsam. Rijandel/AES hingegen gilt zwar immer noch als recht sicher und vor allem schnell, aber auch hier sind bereits theroetische Schwachstellen bekannt geworden ( http://www.schneier.com/paper-rijndael.html ).

Ganz nebenbei bemerkt geht's hier eigentlich um zwei verschiedene paar Schuhe:
DES, 3DES, Blowfish und Rijandel/AES sind "echte" Verschlüsselungsalgorithmen, MD5 und SHA1 hingegen "einfach nur" One-Way Hashfunktionen.
Ich würde MD5 nehmen, für Blowfish fehlt noch die weitere Unterstützung, v.a. bei Netzwerkdiensten.
Wenn's um NIS geht (was man ohnehin nicht mehr verwenden möchte), kannst du (je nach Setup) auch MD5 vergessen. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: des,md5 oder blowfish?

Post by Joe User » 2004-07-28 10:41

olfi wrote:Ich würde MD5 nehmen, für Blowfish fehlt noch die weitere Unterstützung, v.a. bei Netzwerkdiensten. Einige bräuchten imho sogar leider DES, aber das ist mal nicht zur Debatte...
Da zumindest SuSE blowfish per glibc-Patch (http://www.openwall.com/crypt/) zur Verfügung stellt, ist es Wurscht, ob eine Anwendung blowfish OOTB unterstützt, oder nicht ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.