weil eine vernuenftige Invertierungsfunktion (zum Berechnen der Ketten), die auf den Raum der Woerter mit einem Praefix aus dem Woertbuch beschraenkt ist, wohl kaum zu konstruieren ist (schaetze ich mal (?)).

Das halte ich für ein Gerücht :) Es ist keine Hexerei die Reduktionsfunkion so zu schreiben, dass sie an das neue Passwort in der Kette einfach wieder den Salt in definierter Form anhängt.

Das meinte ich nicht. Um sich (als Angreifer) die Tatsache, dass das Passwort aus dem Woerterbuch stammt, zunutze zu machen, muss man den Raum der zu checkenden Passwoerter irgendwie auf eben diese Woerter beschraenken. Um dafuer Rainbow-Tabellen zu berechnen, braeuchte man ne Reduktionsfunktion, die den Hash eines Woerterbuchwortes (bzw. Woerterbuchwort + Salt) wieder auf ein Woerterbuchwort abbildet (bzw., wenn mit Salt gespeichert, ein Wort, das mit einem Woerterbuchwort beginnt). Das auf hinreichend pseudo-zufaellige Weise zu machen, ist nicht effizient moeglich (sofern die Menge der Weorterbuchwoerter keine regulaere Sprache ist, was z.B. im deutschen m.W. der Fall ist ;-)).

Daher faellt die effiziente Berechnung von Rainbowtabellen bei einer Woerterbuchattacke flach. Bei Woerterbuchwoertern, die ohne Salt gespeichert werden, ist das nicht schlimm, weil man keine echte Rainbowtabelle braucht - eine lineare Liste mit allen Hashs ist kein grosser Aufwand. Die Menge aller Woerter mit "Woertbuch-Praefix" (d.h. Woerterbuchwort + irgendein Hash) ist dafuer aber zu gross.

Viele Gruesse
der Bademeister