Wat is het hashen van gegevens?

Hashing is een proces dat invoer van elke grootte (tekst, bestand, afbeelding, wachtwoord, enz.) gebruikt en een uitvoer met een vaste grootte produceert, een zogenaamde 'hash' of een 'hashwaarde'. Zie het als een vingerafdruk:hoe groot de persoon ook is, zijn of haar vingerafdruk beslaat altijd hetzelfde gebied.

Hier is een meer technisch overzicht:

* Algoritme: Hashing is afhankelijk van een specifiek wiskundig algoritme (een "hashfunctie") om de transformatie uit te voeren. Populaire hashfuncties zijn onder meer SHA-256, SHA-3, MD5 (hoewel MD5 nu voor veel beveiligingstoepassingen als kapot wordt beschouwd) en bcrypt.

* Deterministisch: Voor *dezelfde* invoer zal de hashfunctie *altijd* dezelfde uitvoer produceren. Dit is een kritische eigenschap.

* Eénrichtingsfunctie (idealiter): Het zou computationeel onhaalbaar (praktisch onmogelijk) moeten zijn om het proces om te keren – dat wil zeggen, om de hashwaarde te nemen en de oorspronkelijke invoer te bepalen. Dit is het belangrijkste veiligheidsaspect.

* Botsweerstand (idealiter): Het zou heel moeilijk moeten zijn om twee verschillende inputs te vinden die dezelfde hash-output produceren (een "botsing"). Hoewel botsingen theoretisch mogelijk zijn, maakt een goede hashfunctie ze uiterst zeldzaam.

Analogie

Stel je een houtversnipperaar voor. U kunt elke hoeveelheid hout in de versnipperaar voeren, maar deze zal altijd hetzelfde *type* resultaat opleveren:houtsnippers. Het is moeilijk (zo niet onmogelijk) om die houtsnippers te nemen en het originele stuk hout opnieuw op te bouwen. En idealiter, als je er een heel ander stuk hout in stopt, krijg je een aanzienlijk andere stapel houtsnippers.

Waarom is hashing belangrijk bij beveiligingsversleuteling?

Hashing speelt een cruciale rol bij verschillende beveiligingsaspecten, *hoewel het zelf geen codering is*. Hier ziet u hoe het bijdraagt:

1. Wachtwoordopslag:

* Het probleem: Het opslaan van wachtwoorden in platte tekst in een database is een GROOT veiligheidsrisico. Als de database wordt gehackt, hebben aanvallers de wachtwoorden van iedereen.

* De oplossing (hashing): In plaats van wachtwoorden rechtstreeks op te slaan, slaan websites de *hash* van het wachtwoord op.

* Hoe het werkt:

* Wanneer een gebruiker een account aanmaakt, hasheert de website zijn wachtwoord met behulp van een sterke hash-functie (zoals bcrypt of Argon2) en slaat de hash op in de database.

* Wanneer de gebruiker inlogt, hasht de website het wachtwoord dat hij/zij invoert *opnieuw* en vergelijkt de resulterende hash met de opgeslagen hash.

* Als de hashes overeenkomen, is het wachtwoord correct (zonder dat de website ooit het daadwerkelijke wachtwoord in platte tekst hoeft te kennen).

* Zout: Vaak wordt er vóór het hashen een "salt" (een willekeurige reeks) aan het wachtwoord toegevoegd. Dit maakt het nog moeilijker voor aanvallers om vooraf berekende tabellen met algemene wachtwoord-hashes ("regenboogtabellen") te gebruiken om wachtwoorden te kraken. Het zout wordt samen met de hasj opgeslagen.

2. Verificatie van gegevensintegriteit:

* Het probleem: U wilt er zeker van zijn dat er tijdens de overdracht of opslag niet is geknoeid met een bestand of gegevensoverdracht.

* De oplossing (hashing): Bereken de hash van de originele gegevens en sla deze afzonderlijk op.

* Hoe het werkt:

* Wanneer u een bestand downloadt, kunt u de hash van het gedownloade bestand berekenen.

* Vergelijk de berekende hash met de originele hash die door de bron is verstrekt (bijvoorbeeld op de website).

* Als de hashes overeenkomen, kunt u er redelijk zeker van zijn dat het bestand intact is en niet is gewijzigd. Zelfs een kleine wijziging aan het bestand zal resulteren in een aanzienlijk andere hashwaarde.

3. Digitale handtekeningen:

* Het probleem: U moet bewijzen dat een document of bericht van u afkomstig is en niet is gewijzigd.

* De oplossing (hashing + encryptie): Hashing wordt *in combinatie met* codering gebruikt om digitale handtekeningen te maken.

* Hoe het werkt:

* De afzender berekent de hash van het document.

* De afzender codeert de hash met behulp van zijn *privésleutel*. Deze gecodeerde hash is de digitale handtekening.

*De ontvanger ontvangt het document en de digitale handtekening.

* De ontvanger decodeert de digitale handtekening met behulp van de *openbare sleutel* van de afzender om de originele hash te verkrijgen.

* De ontvanger berekent zelfstandig de hash van het ontvangen document.

* Als de twee hashes overeenkomen, kan de ontvanger erop vertrouwen dat het document authentiek is en dat er niet mee is geknoeid. Alleen de houder van de privésleutel had de handtekening kunnen maken, en elke wijziging aan het document zou resulteren in een andere hash.

4. Berichtauthenticatiecodes (MAC's):

* Het probleem: U moet zowel de integriteit als de authenticiteit van een bericht verifiëren. Vergelijkbaar met een digitale handtekening, maar gebruikt doorgaans een *gedeelde geheime sleutel* in plaats van openbare/private sleutelparen.

* De oplossing (hashing + geheime sleutel): Hashing wordt gecombineerd met een geheime sleutel om een ​​MAC te creëren.

* Hoe het werkt:

* De afzender berekent de MAC van het bericht met behulp van een hash-functie en een gedeelde geheime sleutel.

* De afzender stuurt het bericht en de MAC naar de ontvanger.

* De ontvanger berekent de MAC van het ontvangen bericht met dezelfde hashfunctie en dezelfde gedeelde geheime sleutel.

*Als de berekende MAC overeenkomt met de ontvangen MAC, weet de ontvanger dat er niet met het bericht is geknoeid en dat het afkomstig is van iemand die de gedeelde geheime sleutel kent. Dit beschermt tegen zowel wijziging als vervalsing.

Belangrijk onderscheid:hashing versus encryptie

* Hashing is eenrichtingsverkeer: Ontworpen om onomkeerbaar te zijn. Je kunt de originele gegevens niet terughalen uit de hash (idealiter).

* Versleuteling is tweerichtingsverkeer: U codeert gegevens met een sleutel en u kunt deze met de bijbehorende sleutel weer decoderen naar de oorspronkelijke gegevens.

* Hashing voor integriteit: Wordt voornamelijk gebruikt om de integriteit en authenticiteit van gegevens te verifiëren.

* Codering voor vertrouwelijkheid: Wordt voornamelijk gebruikt om de vertrouwelijkheid van gegevens te beschermen (voorkomen van ongeoorloofde toegang).

Samenvatting

Hashing is een fundamentele bouwsteen in computerbeveiliging. Hoewel het zelf geen encryptie is, wordt het veelvuldig gebruikt bij wachtwoordopslag, verificatie van gegevensintegriteit, digitale handtekeningen en berichtauthenticatie. Het eenrichtingskarakter en de gevoeligheid voor veranderingen in invoer maken het tot een essentieel hulpmiddel voor het beschermen van gegevens en het verifiëren van de authenticiteit ervan. Het begrijpen van hashing is van cruciaal belang voor iedereen die betrokken is bij softwareontwikkeling, systeembeheer of cyberbeveiliging.