SHA-1 - Auf der Suche nach Alternativen

Experten fordern neue Ansätze für Hash-Algorithmen. Nachdem in der letzten Woche bekannt wurde, dass der Hash-Algorithmus SHA-1 wahrscheinlich geknackt wurde , d.h. dass sich Kollisionen viel einfacher finden lassen, als bislang geglaubt, wird nun eine Migration weg von SHA-1 gefordert. Aber auch ganz neue Ansätze stehen zur Diskussion.

21. Februar 2005 um 11:40 Uhr / Jens Ihlenfeld

5 Kommentare News folgen (öffnet im neuen Fenster)

SHA-1 produziert aus gegebenen Daten einen Hash-Wert von 160 Bit Länge. Zwar gibt es dabei prinzipbedingt eine unendliche Zahl unterschiedlicher Sätze von Ausgangsdaten, die zu gleichen Hash-Werten führen, da die Zahl der unterschiedlichen Hash-Werte aber sehr groß ist, ist die Wahrscheinlichkeit, dass sich zwei gleiche finden lassen, sehr gering. Doch die Forscher Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu von der Shandong Universität in China haben offenbar einen Ansatz gefunden, mit dem sich gleiche Hash-Werte deutlich schneller finden lassen als mit einer "Brute-Force-Attacke".

Nun ist diese Tatsache noch kein Grund, in Panik zu verfallen – nicht, weil das Papier der drei chinesischen Forscher noch nicht veröffentlicht wurde, sondern da es auch mit den Informationen, die darin zu erwarten sind, nicht direkt möglich sein wird, Daten zu ändern, ohne dass sich deren Hash-Wert ebenfalls ändert. Dennoch macht die Erkenntnis es notwendig, nach Alternativen Ausschau zu halten, kommentiert unter anderem Bruce Schneier(öffnet im neuen Fenster) , dem die Erkenntnisse der chinesischen Forscher bereits vorliegen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Wer krank zur Arbeit geht, zahlt wochenlang dafür

zum Ratgeber

Seminar: LPIC-1 Vorbereitungskurs LPI 101 und LPI 102: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: Vorstellungsgespräche und Job Interviews erfolgreich meistern (E-Learning)

zum Kurs

Die PGP Corporation kündigte bereits an, auf sicherere "Secure Hash Algorithmen" (SHA) umzusteigen. Das Unternehmen setzt SHA-1 unter anderem in seinen Produkten PGP Desktop und PGP Universal ein, aber auch für die SSL-Verschlüsslung im Browser kommt SHA-1 zum Einsatz. "Auch wenn wir die Forschungsergebnisse noch nicht gesehen haben, zweifeln wir nicht, dass diese Gruppe erfolgreich war, schließlich kennen wir ältere Arbeiten der Gruppe" , kommentiert Jon Callas, CTO & CSO der PGP Corporation.

Alternativen stehen unter anderem mit SHA-224, SHA-256, SHA-384 und SHA-512 zur Verfügung. Experten wie Callas oder Bruce Schneier fordern aber auch echte Alternativen, denn die meisten heute genutzten Hash-Algorithmen basieren auf den Grundprinzipien von MD4. Callas fordert beispielsweise das National Institute of Standards and Technology (NIST) in den USA auf, aktiv zu werden und einen Wettbewerb um eine neue Hash-Funktion zu eröffnen, kam man auf diese Weise doch auch zum Verschlüsselungsalgorithmus AES, der zunehmend DES ablöst.

Zur Startseite 5 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

SHA-1 geknackt?

Chinesische Forscher finden angeblich Kollision in SHA-1. Der Hash-Algorithmus SHA-1 wurde jetzt von drei chinesischen Forschern geknackt, das berichtet der IT-Sicherheitsexperte Bruce Schneier in seinem Blog. Dabei handle es sich nicht um eine verkürzte oder vereinfachte Version, sondern "das wahre Ding".

Schwachstellen in den Hash-Algorithmen SHA und MD5?

Eli Biham und Rafi Chen weisen Kollisionen für reduzierte SHA-1-Versionen nach. Bereits im Vorfeld der Konferenz Crypto 2004 hatten Gerüchte über Kollisionen in diversen Hash-Algorithmen, darunter auch SHA-0, SHA-1 und MD5, für Aufregung gesorgt. Die von Eli Biham und Rafi Chen im Rahmen der Rump-Session präsentierten aktuellen Forschungsergebnisse weisen aber nur Kollisionen für SHA-0 nach, aber auch in Bezug auf SHA-1 präsentierten die Forscher Neues.

IT-Verband warnt vor Gefahren durch Windows

Ist Windows eine Gefahr für die internationale Sicherheit? Die Computer & Communications Industry Association, ein Verband der US-Computer-Industrie, warnt in einem Diskussionspapier von Sicherheitsexperten vor den Gefahren einer IT-Monokultur, wie sie heute durch Microsoft-Software existiere. Die durch Windows hervorgerufenen Gefahren für die internationale Sicherheit seien signifikant und müssten möglichst schnell angegangen werden.

Relevante Themen