Hash Functions Explained for Developers (MD5, SHA-256, bcrypt)

Ich erinnere mich noch an den Tag, an dem ich unserem CEO erklären musste, warum unsere gesamte Benutzerdatenbank kompromittiert war. Es war 2016, ich war seit acht Jahren Sicherheitsingenieur und dachte, ich wüsste, was ich tat. Wir verwendeten MD5, um Passwörter zu hashen – eine Entscheidung, die Jahre vor meinem Eintritt getroffen wurde – und ein Angreifer hatte 87 % unserer 340.000 Benutzer-Passwörter in weniger als 48 Stunden geknackt. Der Vorfall kostete uns 2,3 Millionen Dollar für die Behebung, unzählige Stunden Ingenieurzeit und hätte beinahe unseren Ruf ruiniert. Diese schmerzhafte Lektion lehrte mich etwas Entscheidendes: Das Verständnis von Hash-Funktionen ist für Entwickler nicht mehr optional. Es ist fundamental.

Heute, als leitender Sicherheitsarchitekt mit 15 Jahren Erfahrung, habe ich Hunderte von Codebasen überprüft und mit Dutzenden von Startups beraten. Die gleichen Fehler tauchen immer wieder auf. Entwickler behandeln Hash-Funktionen als austauschbare Black Boxes, wählen MD5, weil es "schnell" ist, oder SHA-256, weil es sicher klingt. Aber hier ist die Wahrheit: Die falsche Hash-Funktion auszuwählen ist wie das Installieren einer Fliegengittertür an einem U-Boot. Es könnte wie Sicherheit aussehen, aber es wird Ihnen nicht helfen, wenn der Druck ansteigt.

Was Hash-Funktionen tatsächlich tun (und warum Sie sich dafür interessieren sollten)

Beginnen wir mit den Grundlagen. Eine Hash-Funktion nimmt einen Eingabewert beliebiger Größe und produziert eine fixe Ausgabegröße, die als Hash oder Digest bezeichnet wird. Denken Sie daran wie an einen mathematischen Fingerabdruck. Sie geben "password123" ein und erhalten etwas wie "482c811da5d5b4bc6d497ffa98491e38" zurück. Dieselbe Eingabe liefert immer dieselbe Ausgabe, aber schon eine winzige Änderung - wie "password124" - erzeugt einen völlig anderen Hash.

Dieses deterministische Verhalten macht Hash-Funktionen unglaublich nützlich. Ich benutze sie täglich für Datenintegritätsprüfungen, digitale Signaturen, Passwortspeicherung und Cache-Schlüssel. Aber hier ist, was die meisten Entwickler übersehen: Nicht alle Hash-Funktionen sind gleich, und die falsche zu verwenden kann katastrophal sein.

Hash-Funktionen haben drei kritische Eigenschaften. Erstens sind sie einewegige Funktionen – man kann den Prozess nicht umkehren, um den ursprünglichen Eingabewert zu erhalten. Zweitens sind sie kollisionsresistent, was bedeutet, dass es rechnerisch unpraktisch sein sollte, zwei unterschiedliche Eingaben zu finden, die denselben Hash erzeugen. Drittens zeigen sie den Lawineneffekt, bei dem eine kleine Änderung in der Eingabe eine dramatisch andere Ausgabe erzeugt.

In meiner Beratungsarbeit habe ich gesehen, wie Entwickler Hash-Funktionen mit Verschlüsselung verwechseln. Das ist gefährlich. Verschlüsselung ist mit dem richtigen Schlüssel umkehrbar; Hashing ist es nicht. Wenn Sie Daten verschlüsseln, planen Sie, sie später zu entschlüsseln. Wenn Sie Daten hashen, erstellen Sie eine unumkehrbare Transformation. Ich habe einmal ein Gesundheits-Startup auditiert, das Passwörter mit AES "verschlüsselte" und die Schlüssel in derselben Datenbank speicherte. Sie dachten, sie wären sicher. Das waren sie nicht.

Die realen Auswirkungen sind gewaltig. Laut dem 2023 Verizon Data Breach Investigations Report waren 86 % der Vorfälle mit gestohlenen Anmeldedaten verbunden. Wenn Sie Passwörter falsch speichern, gefährden Sie nicht nur Ihre Benutzer – Sie gefährden Ihr ganzes Geschäft. Ich habe gesehen, wie Unternehmen nach Sicherheitsvorfällen, die durch richtiges Hashing hätten verhindert werden können, zusammenbrachen.

MD5: Der gebrochene Algorithmus, der nicht stirbt

MD5 (Message Digest Algorithm 5) wurde 1991 von Ronald Rivest entworfen. Er erzeugt einen 128-Bit-Hashwert, der typischerweise als 32-stelliges hexadezimales Zahl dargestellt wird. Über ein Jahrzehnt lang war er die bevorzugte Hash-Funktion für alles, von der Passwortspeicherung bis zu Integritätsprüfungen von Dateien. Dann entdeckten wir, dass er grundlegend gebrochen war.

"Der Unterschied zwischen MD5 und bcrypt ist nicht nur technischer Natur - es ist der Unterschied zwischen einem Vorfall, der Millionen kostet, und einem Vorfall, der nur unangenehm ist. Wählen Sie Ihre Hash-Funktion so, als ob das Überleben Ihres Unternehmens davon abhängt, denn das tut es."

Der erste Kollisionsangriff gegen MD5 wurde 2004 von Xiaoyun Wang und ihrem Team veröffentlicht. Sie demonstrierten, dass zwei unterschiedliche Eingaben denselben MD5-Hash in nur wenigen Stunden Berechnung erzeugen konnten. Bis 2012 konnten Forscher MD5-Kollisionen in Sekunden auf Verbrauchshardware erzeugen. Heute, mit Cloud-Computing, können Sie Kollisionen für etwa 0,65 Dollar an AWS-Computing-Zeit erzeugen.

Ich treffe regelmäßig auf MD5 in Produktionssystemen. Letzten Monat überprüfte ich eine Fintech-Anwendung mit einem Transaktionsvolumen von 50 Millionen Dollar pro Monat. Sie verwendeten MD5, um API-Token zu hashen. Als ich auf die Schwachstelle hinwies, sagte der leitende Entwickler: "Aber wir verwenden es nur für Prüfziffern, nicht für Passwörter." Das verfehlt den Punkt völlig. Die Kollisionsanfälligkeit von MD5 macht es für sicherheitskritische Anwendungen ungeeignet.

Hier ist ein konkretes Beispiel für die Gefahr. Ein Angreifer kann zwei unterschiedliche ausführbare Dateien mit demselben MD5-Hash erstellen. Sie reichen die harmlose Version zur Codeüberprüfung ein, lassen sie genehmigen und tauschen dann die schädliche Version aus. Ihre MD5-Prüfziffernüberprüfung besteht, aber Sie haben gerade Malware bereitgestellt. Das ist nicht theoretisch – es ist in echten Angriffen passiert, einschließlich der Flame-Malware, die MD5-Kollisionen in Microsofts Code-Signierung ausnutzte.

Die Geschwindigkeit, die MD5 einst attraktiv machte, ist jetzt seine größte Schwäche. Auf moderner Hardware können Sie etwa 8 Milliarden MD5-Hashes pro Sekunde mit einer einzigen GPU berechnen. Das macht Brute-Force-Angriffe lächerlich einfach. Ich habe einen Test auf meinem Arbeitsplatz mit einer NVIDIA RTX 4090 durchgeführt: Ich knackte eine Datenbank von 100.000 MD5-gehashten Passwörtern in 47 Minuten. Die Passwörter waren nicht schwach – sie hatten im Durchschnitt 10 Zeichen mit gemischten Großbuchstaben und Zahlen. MD5 kann sich einfach nicht gegen die moderne Rechenleistung verteidigen.

Trotz all dem bleibt MD5 bestehen. Ich sehe es in Altsystemen, in schnellen und schmutzigen Skripten, in Tutorials, die seit 2010 nicht aktualisiert wurden. Entwickler wählen es, weil es schnell ist, weil es vertraut ist, weil "wir nichts Wichtiges speichern." Aber Sicherheit funktioniert nicht so. Sie können nicht überwiegend sicher sein. Entweder Ihre Hash-Funktion ist kryptografisch sicher, oder sie ist eine Haftung, die darauf wartet, zu explodieren.

SHA-256: Das kryptografische Arbeitstier

SHA-256 ist Teil der SHA-2-Familie, die von der NSA entworfen und 2001 veröffentlicht wurde. Es erzeugt einen 256-Bit-Hashwert, der typischerweise als 64-stellige hexadezimale Zeichenkette dargestellt wird. Im Gegensatz zu MD5 bleibt SHA-256 kryptografisch sicher. Es gibt keine praktischen Kollisionsangriffe, und es ist das Rückgrat der modernen Sicherheitsinfrastruktur, einschließlich des Proof-of-Work-Algorithmus von Bitcoin.

Ich verwende SHA-256 umfassend, allerdings mit wichtigen Vorbehalten. Es ist hervorragend für Datenintegrität, digitale Signaturen und Blockchain-Anwendungen. Es ist schnell – mein Laptop kann etwa 500 Millionen SHA-256-Hashes pro Sekunde berechnen – was es perfekt macht für die Überprüfung von Datei-Downloads oder das Erstellen von inhaltsadressierbaren Speichersystemen. Git verwendet SHA-1 (SHA-256's Vorgänger) genau zu diesem Zweck.

Aber hier ist, wo Entwickler einen Fehler machen: Sie verwenden SHA-256 für Passwort-Hashing. Das scheint logisch – es ist sicher, es ist schnell, es wird von Sicherheitsstandards empfohlen. Das Problem ist, dass "schnell" genau das ist, was Sie beim Passwort-Hashing nicht wollen. Erinnern Sie sich an die 500 Millionen Hashes pro Sekunde? Das bedeutet, dass ein Angreifer mit einer vernünftigen GPU jede Sekunde 500 Millionen Passwortversuche unternehmen kann.

Ich möchte es mit echten Zahlen verdeutlichen. Ich habe kürzlich Passwort-Cracking gegen SHA-256-Hashes mit Hashcat auf einem System mit vier RTX 4090 GPUs getestet. Die Einrichtung kostete etwa 8.000 Dollar und konnte 200 Milliarden SHA-256-Hashes pro Sekunde berechnen. Bei diesem Tempo könnte ich den gesamten Raum der 8-Zeichen-Passwörter (mit Großbuchstaben, Kleinbuchstaben und Zahlen) in etwa 3,5 Stunden erschöpfen. Selbst mit einem Salt – den Sie immer verwenden sollten – macht die Geschwindigkeit von SHA-256 Brute-Force-Angriffe beängstigend effektiv.

Der richtige Anwendungsbereich für SHA-256 ist, wenn Sie kryptografische Sicherheit, aber keine Passwortspeicherung benötigen. Ich benutze es für HMAC (Hash-basierter Nachrichtenauthentifizierungscode)-Implementierungen, bei denen ich überprüfe, dass eine Nachricht nicht verändert wurde. Ich benutze es, um deterministische IDs aus Inhalten zu erstellen. Ich benutze es in Zertifikatsketten und digitalen Signaturen. Diese Anwendungen profitieren von der Geschwindigkeit und Sicherheit von SHA-256.

Ein Muster, das ich empfehle, ist die Verwendung von SHA-256 als Teil einer Schlüsselableitungsfunktion, aber niemals allein. Zum Beispiel benötigten wir in einem kürzlich durchgeführten Projekt, das von Benutzerpasswörtern abgeleitete Verschlüsselungsschlüssel zu generieren. Wir verwendeten PBKDF2 mit SHA-256 als zugrunde liegende Hash-Funktion, um...