ASP.NET

MD5-Hashes mit ASP und ASP.NET erzeugen

Sichere Streuwerte z.B. f�r Authentifizierung berechnen

Der MD5-Algorithmus (Message Digest Algorithm 5), 1991 von Donald M. Rivest entwickelt, erzeugt aus einem beliebig langen Text einen 128-Bit langen Streuwert (Hash), mit dem dieser eindeutig identifiziert werden kann. Dieser Streuwert wird zumeist als 32-stellige Hexadezimalzahl notiert und ist u.a. sehr weit verbreitet bei der Integrit�tspr�fung. So speichern z.B. viele Internet-Shops die Zugangspassw�rter ihrer Kunden nicht im Klartext in ihrer Datenbank, sondern als MD5-Hash. Loggt sich der Kunde ein, so wird aus seiner Eingabe der MD5-Hash ermittelt und mit dem Gegenst�ck aus der Datenbank verglichen.

MD5 ist sicher, da zum einen aus einem erzeugten Hash-Wert nicht der Ursprungstext ermittelt werden kann und zum anderen der Algorithmus kollisionsfrei ist bzw. sein soll. Mit kollisionsfrei meint man, dass aus zwei unterschiedlichen Texten niemals der gleiche Hash-Wert berechnet werden kann. MD5 ist dabei etwas ins Gerede geraten, da es chinesischen Mathematikern anscheinend gelungen ist, f�r die komplette Funktion Kollisionen zu finden. Dies bedeutet jedoch nicht, dass MD5 mit einem Male unsicher ist. Ein paar Jahre und Rechnergenerationen wird es wohl noch dauern, bis der Algorithmus geknackt ist.

Beispiel-MD5-Hash f�r den Satz "Lorem ipsum dolor sit amet": fea80f2db003d4ebc4536023814aa885. �ndert man nun nur einen Buchstaben des Satzes, so erzeugt die Funktion einen komplett anderen Streuwert: "Loren ipsum dolor sit amet": 1daa85486bc99e1b09f60e71e98ca65d.

In vielen Programmiersprachen gibt es fertige L�sungen oder Ans�tze, mit denen man diese Streuwerte ermitteln kann. Unter PHP z.B. gen�gt der Aufruf der eingebauten Funktion md5.

Im klassischen ASP sieht es dagegen etwas anders aus. Eine integrierte Funktion gibt es leider nicht. Man kann sich jedoch der zahlreichen Implementierungen von findigen Programmierern bedienen, die Ihren Code im Internet ver�ffentlicht haben. Hervorzuheben ist dabei der Code von Frez Systems, die, neben einem VB6-Modul, auch eine ASP-Version zum Download anbieten.

Anders sieht die Sache in ASP.NET aus. Bereits in Version 1.1. kann man �ber die Funktion ComputeHash des Objekts System.Security.Cryptography.MD5CryptoServiceProvider einen Wert nach MD5 hashen. Das daraus resultierende Byte-Array muss man nun noch in Hexadezimalzahlen umwandeln.

Etwas komfortabler geht mit mit der Funktion HashPasswordForStoringInConfigFile der Klasse System.Web.Security.FormsAuthentication. Diese erledigt alles in einem Rutsch und ist sogar in der Lage neben MD5- auch SHA1-Streuwerte zu erzeugen. Die Funktion ist eigentlich dazu gedacht Passw�rter f�r Zugangsdaten von ASP.NET-Anwendungen zu verschl�sseln, die man in der Datei web.config hinterlegen will (Stichwort: credentials). Sie eignet sich aber hervorragend um bequem an MD5-Hashes heranzukommen. Viel Code dabei nicht notwendig:

<%@ Page Language="vb" %>
<%@ Import Namespace="System.Net" %>

<script runat="server">
   Function HashMD5(strText As String) As String

      If strText = Nothing Then strText = ""

      HashMD5 = System.Web.Security.FormsAuthentication. _
         HashPasswordForStoringInConfigFile(strText, "md5")

   End Function
</script>

<%
   Dim strText As String
   Dim strHash As String

   strText = Request.QueryString("text")
   strHash = HashMD5(strText)

   Response.Write(strText & " >>> " & strHash)
%>

0 wikio-Stimme(n) Trackback-Url...

Schlagworte

Hash MD5 Sicherheit Verschüsselung

237 Kommentare bislang...

There was so little hint of the aristocrat in cheap sale uk
Lemuel Shackford's sordid life and person that no one suspected him of even self-esteem. He went as meanly dressed as a tramp, and as cheap trainers
careless of contemporary criticism; yet clear down in his liver, or somewhere in his anatomy, he nourished an odd abstract pride in the family Shackford. Heaven knows why! To be sure, it dated far back; its women had always been virtuous, boots and trainers sale and its men, if not always virtuous, had always been ship-captains.

237

boots and trainers sale : Freitag, 3. Februar 2012 03:47
Just like you can see, this is a pair of chic christian louboutin boots, do you like it? Of course, if you don�t like, you can visit our louboutins sale store online, which offer you many styles and colors of christian louboutin sale for you to choose. In addition, we also offer you the best discount christian louboutin shoes service and the cheapest price, don�t miss and action cheap louboutin shoes now! They can match well with all kinds of louboutin pumps online and accessories.

236

discount christian louboutin shoes : Sonntag, 29. Januar 2012 04:34
This new year,more and more christian louboutin boots have designed for ladies. Although these louboutin pumps shoes have high heel, but they are very cozy. What�s more, the red cheap louboutin store sole design makes them seem more sexy louboutin sale and attractive. That is the reason why christian louboutin shoes is so popular that nearly all people know it. Welcome to our online discount christian louboutin shoes shop to buy them.

235

louboutin shoes sale : Sonntag, 29. Januar 2012 04:29
Popular christian louboutin uk have designed with fashion elements and soft cheap christian louboutin shoes materials. No matter what you choose, they can let you get rid of pain feeling discount christian louboutin shoes and bring you confidence. Our online shop sale louboutin shoes discount to customers. All christian louboutin on sale have high quality and professional design, which are welcomed christian louboutin boots by most people.

234

cheap louboutins sale : Sonntag, 29. Januar 2012 04:26
Buy DVDs online, cheap DVD box set, Tv series dvd, DVD movies at dvdplain
is your best choice.<a href="http://www.dvdplain.com/lost-season-5-dvd-boxset-
p-3659.html"><strong>Lost Season 5 DVD Boxset</strong></a>

233

Lost Season 5 DVD Boxset : Montag, 16. Januar 2012 03:30