zurück zum Artikel

Totgesagte sterben manchmal auch schneller. In einer Kooperation zwischen der CWI Amsterdam und Google gelang es, dem bereits angeschlagenen Hash-Verfahren SHA-1 mit einer echten Kollision den praktischen Todesstoß zu versetzen.

Zwei verschiedene Dokumente – aber ein und derselbe SHA-1-Wert. Das sollte es eigentlich nicht geben. Mit einer gewaltigen Anstrengung haben Forscher von der CWI Amsterdam und Google zwei PDF-Dokumente erzeugt, die den endgültigen Todesstoß für das überalterte Hash-Verfahren bedeuten. Mehr als 6500 CPU-Jahre und nochmal 100 GPU-Jahre erforderte die Berechnung dieser Kollision; natürlich ist mit weiteren Optimierungen zu rechnen, die das deutlich reduzieren.

Hash-Verfahren wie SHA-1 und dessen designierter Nachfolger SHA-2 kommen immer dann zum Einsatz, wenn es darum geht, eine kompakte Darstellung großer Datenmengen zu finden, um deren Echtheit zu bestätigen. Also etwa bei Digitalen Unterschriften von Programmen, Updates, Krypto-Schlüsseln, Backups oder E-Mails. Die wichtigste Anforderung ist: Jede noch so kleine Änderung des Datensatzes führt zu einer Änderung des Hash-Wertes. Darüber hinaus muss es auch praktisch unmöglich sein, dass jemand zwei Datensätze erstellt, die den gleichen Hash-Wert produzieren.

Shattered: SHA-1 zerschmettert

Genau das gewährleistet SHA-1 jetzt definitiv nicht mehr, wie die Forscher jetzt mit zwei PDF-Dokumenten bewiesen, die den gleichen SHA-1-Wert ergeben. Sie könnten somit ein Opfer das blaue PDF unterschreiben lassen, die SHA-1-basierte Signatur abschneiden und unter das rote PDF setzen. Jedes Programm würde die Signatur als echt bestätigen.

SHA-1 gilt bereits seit 2005 als geknackt. Damals stellten chinesische Kryptologen einen Angriff vor, der die Zahl der benötigten Berechnungen für das Auffinden einer Kollision deutlich reduzierte: "Statt der 2⁸⁰ Operationen, die das Ausprobieren aller Angriffsmöglichkeiten gegen SHA-1 erfordert, gelingt es den Chinesen bereits mit 2⁶⁹ Operationen eine Kollision zu finden", berichtete heise Security damals [1]. Das war zwar immer noch weit von einer praktischen Realisierbarkeit entfernt. Doch Angriffe werden immer besser [2] und CPUs immer schneller.

Nach dem jetzt von Marc Stevens und Kollegen vorgestellten Angriff auf SHA-1 kann man dieses Hash-Verfahren endgültig beerdigen. Wer es jetzt noch einsetzt, handelt grob fahrlässig. Der Nachfolger steht auch schon fest: In allen praktischen Belangen kann und sollte man stattdessen SHA256 oder SHA512 verwenden. Diese beiden SHA-2-Varianten gelten als ausreichend sicher, dass sie auch langfristig die Unterscheidbarkeit verschiedener Dokumente garantieren können. Auf jeden Fall ist eine SHA-2-Kollision eine würdige Herausforderung für Marc Stevens, der auch bereits am Todesstoß für MD5 [3] beteiligt war.

Siehe dazu auch:

• Shattered – Die Web-Seite zur SHA-1-Kollision [4]
• Kryptographie in der IT – Empfehlungen zu Verschlüsselung und Verfahren [5] von heise Security
  

(ju [6])

URL dieses Artikels:
https://www.heise.de/-3633589

Links in diesem Artikel:
[1] https://www.heise.de/news/Kryptoverfahren-SHA-1-geknackt-135372.html
[2] https://www.heise.de/news/Todesstoss-fuer-SHA-1-steht-bevor-2849484.html
[3] https://www.heise.de/news/25C3-Erfolgreicher-Angriff-auf-das-SSL-Zertifikatsystem-192869.html
[4] https://shattered.it/
[5] https://www.heise.de/hintergrund/Der-Krypto-Wegweiser-fuer-Nicht-Kryptologen-3221002.html
[6] mailto:ju@ct.de

Copyright © 2017 Heise Medien