Ik ben mij aan het voorbereiden voor nogal een groot systeem en ik had daar dus graag een zware beveiliging voor gebruikt. Omdat het over nogal wat persoonlijke gegevens gaat en ik dit nooit in andermans handen wil geven. Natuurlijk is md5 er niet bij en sha1 wankelt ook al omdat het hetzelfde probleem heeft als md5. Wat blijft er over mcrypt wat ik niet graag gebruik.

Ik zou dus toch wel iets goed willen gebruiken want het moet over de hele (ja u leest dit goed) database komen.

Nu was mijn (al dan niet stomme) ingeving waarom niet combineren van md5 met sha1 en dit door een loopje draaien die afhangt van de lengte van de string die ingegeven is maar dit kan ook weer problemen geven natuurlijk om de stringlengte te onthouden dan want daar zit dan het zwakste punt.

Dus heeft iemand een goed voorstel voor een nog ongekraakt maar toch een paranoia veilige encryptie algorithme? Zijn er ander algorithmes behalve md5 sha1 en mcrypt in php? het maakt niet uit of de encryptie zwaar is of niet de server zal adequaat worden uitgerust.

Banken betalen voor dit soort dingen miljoenen uit.... Priem getallen die lekker hoog liggen kunnen gebruikt worden, hiervoor heb je een leuke maar ingewikkelde methode.

ik zou hat graag zelf doen maar AES invoegen in een class, ik loop niet bepaald warm om zelf zo'n monster te schrijven

Volgens mij is de methode om gegevens in een willekeurige (herhaalde) volgorde van sha1 & md5.

Rainbow tables bestaan inderdaad, maar als je een zelfgekozen herhaling van deze 2 encrypties maakt zijn rainbow tables terug uitgesloten :-)
Vb. : md5(sha1(sha1(md5($string)));

dat heb ik dus net aan het doen geweest, en dit werkt inderdaat niet slecht maar ik vindt dit alsnog te doorzichtig om zomaar te gebruiken en wat is dat security.salt gedoe dat de laatste tijd eigenlijk gebruikt wordt?

Een salt wordt gebruikt om mensen tegen te gaan die gebruik willen maken van collisions. Want verschillende woorden hebben dezelfde md5 of sha1 hash. Maar als je een salt toevoegt kunnen ze ook niks meer met collisions want dan wordt er nog iets aan toegevoegd waar zij niks van weten. Grootste nadeel is wel als ze eenmaal de salt weten kun je het weggooien.

Wat ik doe is gebruik maken van 2 verschillende encryptie methodes. Bijvoorbeeld een inlog systeem.
passwoord1 = whirlpool(passwoord);
passwoord2 = ripemd160(passwoord);
dit zou je ook kunnen doen met sha1 en md5.

Maar als je alle php hash functies wilt weten http://www.php.net/manual/en/function.hash-algos.php
Dit zal je denk ik wel verder helpen.

Origineel gepost door Tim De Smedt

Ik zou dus toch wel iets goed willen gebruiken want het moet over de hele (ja u leest dit goed) database komen.

Als je alle gegevens in je database wil gaan encrypten (en niet alleen passwords) lijkt het mij dat je niet zo veel kan beginnen met hashing? Hoe ga je bijvoorbeeld de adres/contactgegevens weer uit de database halen?
Als je echte encryptie wil gebruiken (wat dus ook weer te decrypten valt) is wellicht AES iets voor je?