Abo
  • Services:
Anzeige
Durch geeignete Konstanten lässt sich die Wahrscheinlichkeit für Kollisionen erhöhen.
Durch geeignete Konstanten lässt sich die Wahrscheinlichkeit für Kollisionen erhöhen. (Bild: Malicious SHA-1)

Hash-Funktionen: Bösartige SHA-1-Variante erzeugt

Forschern gelang es, durch kleine Veränderungen eine Variante der SHA-1-Hashfunktion mit einer Hintertür zu erzeugen. Die Sicherheit von SHA-1 selbst beeinträchtigt das nicht, es lassen sich aber Lehren für die Entwicklung von Algorithmen daraus ziehen.

Anzeige

Durch die Snowden-Dokumente ist inzwischen bekannt, dass die NSA versucht hat, bei der Standardisierung von Verschlüsselungsalgorithmen Hintertüren einzubauen. Für den Zufallszahlengenerator Dual EC DRBG gilt dies inzwischen als nahezu gesichert, aber auch andere Standards, an denen die NSA mitgewirkt hat, gelten als potenziell verdächtig. Es gibt also reichlich Anlässe für Kryptographen, die Möglichkeiten für Hintertüren in kryptographischen Algorithmen zu erforschen.

Ein Team von Forschern der Technischen Universität Graz und Jean-Philippe Aumasson von der Schweizer Firma Kudelski Security haben eine Variante des weit verbreiteten Hash-Algorithmus SHA-1 erstellt, für die sie Kollisionen erzeugen konnten. Aumasson stellte die Forschungsergebnisse auf der B-Sides-Konferenz in Las Vegas vor. Von den beiden großen Sicherheitskonferenzen in Las Vegas - der Black Hat und der Def Con - wurde der entsprechende Vortrag abgelehnt. Er sei zu technisch.

Seit 2004 ist bekannt, dass SHA-1 nicht so sicher ist wie ursprünglich gedacht. Ein chinesisches Forscherteam konnte damals zeigen, dass SHA-1 einige Schwächen bei sogenannten Kollisionsangriffen hat. Im Detail wurde der Angriff seitdem noch weiter verbessert. Zwar hat bis heute noch niemand öffentlich eine SHA-1-Kollission erzeugt, es ist aber davon auszugehen, dass ein finanzstarker Angreifer dazu in der Lage wäre.

Aus Theorie wird Praxis

In der SHA-1-Funktion gibt es einige Konstanten, die darüber entscheiden, wie genau der Hash berechnet wird. Für diese Konstanten wurden in der originalen SHA-1-Funktion die Wurzeln von kleinen Zahlen - 2, 3, 5 und 10 - gewählt. Dem Grazer Forscherteam ist es gelungen, diese Konstanten so zu verändern, dass sich der Kollisionsangriff auf SHA-1 deutlich schneller durchführen lässt. Aus einem bislang nur theoretischen Problem wurde somit ein praktisch durchführbarer Angriff. Die veränderte Variante haben die Forscher "Malicious SHA-1" genannt.

Für Anwendungen, welche die originale SHA-1-Funktion nutzen, hat dieser Angriff keinerlei Relevanz. Die Schwäche ist nur in der speziell manipulierten SHA-1-Variante vorhanden. Aumasson weist aber darauf hin, dass in vielen Fällen für Spezialanwendungen Varianten von bekannten Verschlüsselungsalgorithmen zum Einsatz kommen. In solchen Fällen könnte derjenige, der die veränderten Algorithmen spezifiziert, eine bösartige SHA-1-Variante unterbringen.

NSA-Hintertür unwahrscheinlich

SHA-1 selbst wurde ursprünglich 1994 von der NSA entwickelt. Die Grazer Forscher halten es allerdings aus mehreren Gründen für unplausibel, dass die NSA damals bereits die Möglichkeiten hatte, eine derartige Hintertür in SHA-1 zu platzieren. Dagegen spricht auch, dass es sich bei den Konstanten, wie bereits erklärt, um die Wurzeln trivialer kleiner Zahlen handelt. Außerdem baut der Angriff auf Forschungsarbeiten auf, die erst 2004 bekanntwurden. Es ist zwar denkbar, dass die NSA viel früher davon wusste, aber aus Sicht der Forscher spricht dagegen ein weiterer Aspekt: Kurz vor SHA-1 hatte die NSA bereits den Standard SHA-0 entwickelt, der sich nach kurzer Zeit als katastrophal unsicher erwies. Das deute darauf hin, dass die NSA damals nicht über solch ausgefeilte Kenntnisse der Kryptoanalyse verfügt haben könne.

Auf den neueren Algorithmus SHA-256 lassen sich die Ergebnisse im Moment nicht übertragen. Der Hintergrund ist, dass der Angriff auf bekannte Schwächen in SHA-1 aufbaut. Ähnliche Schwächen sind allerdings für SHA-256 nicht bekannt, der Algorithmus gilt bis heute als sehr sicher.

Transparenz ist unabdinglich

Grundsätzlich zeigen derartige Forschungsarbeiten, wie wichtig es ist, dass die Herkunft von Konstanten in kryptographischen Algorithmen geklärt ist. Zahlen, die sich wie die erwähnten Quadratwurzeln aus einfachen Berechnungen herleiten, nennt man auch "Nothing up my sleeve numbers". Bei anderen Standards ist das deutlich unklarer: Einige Kryptographen zweifeln beispielsweise an der Zuverlässigkeit der elliptischen Kurven, die 1999 von der US-Standardisierungsbehörde Nist spezifiziert wurden. Diese wurden ebenfalls von der NSA entwickelt - und sie enthalten Konstanten, deren Herkunft völlig unklar ist.

Die Forschungsarbeit sowie sämtliche Quellcodes und Beispiele für Kollisionen der bösartigen SHA-1-Variante stehen auf einer Webseite zum Download bereit. Von Aumassons Vortrag gibt es außerdem eine Videoaufzeichnung.


eye home zur Startseite
masterofdisaste... 12. Aug 2014

Relevant wäre noch: Die Konstanten im SHA-1 wurden von der NSA gewählt. Es besteht also...

pythoneer 06. Aug 2014

Das Publikum besteht aber nicht nur ausschließlich aus studierten Mathematikern. Ich...

Nerd_vom_Dienst 06. Aug 2014

Es ist recht unwarscheinlich das die NSA ihre eigene Grundlage sabotiert, somit den Ast...



Anzeige

Stellenmarkt
  1. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. Infokom GmbH, Karlsruhe
  3. moovel Group GmbH, Hamburg
  4. Hays Professional Solutions GmbH, München


Anzeige
Top-Angebote
  1. (-17%) 49,99€
  2. 47,99€
  3. und For Honor oder Ghost Recon Wildlands kostenlos erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Patentantrag

    Apple will iPhone ins Macbook stecken

  2. Prozessor

    Lightroom CC 6.9 exportiert deutlich schneller

  3. Telia

    Schwedischer ISP muss Nutzerdaten herausgeben

  4. Nokia

    Deutlich höhere Datenraten durch LTE 900 möglich

  5. Messenger

    Facebook sagt "Daumen runter"

  6. Wirtschaftsministerin

    Huawei wird in Bayern Netzwerkausrüstung herstellen

  7. Overwatch

    Blizzard will bessere Beschwerden

  8. Mobilfunk

    Nokia nutzt LTE bei 600 MHz erfolgreich

  9. Ohne Flash und Silverlight

    Netflix schließt HTML5-Umzug ab

  10. Mass Effect Andromeda im Technik-Test

    Frostbite für alle Rollenspieler



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Airselfie im Hands on: Quadcopter statt Deppenzepter
Airselfie im Hands on
Quadcopter statt Deppenzepter
  1. Fiberglas und Magneten Wabbeliger Quadcopter übersteht Stürze
  2. Senkrechtstarter Solardrohne fliegt wie ein Harrier
  3. Mobiler Startplatz UPS-Lieferwagen liefert mit Drohne Pakete aus

P10 und iPhone im Porträttest: Huawei machts besser als Apple
P10 und iPhone im Porträttest
Huawei machts besser als Apple
  1. Weilheim Huawei startet eigene Produktion in Deutschland
  2. AgilePOL Huawei sieht FTTH als "die Zukunft für Netzbetreiber"
  3. Smartphone Huaweis P10 Lite kommt für 350 Euro

Tuxedo Book XC1507 v2 im Test: Linux ist nur einmal besser
Tuxedo Book XC1507 v2 im Test
Linux ist nur einmal besser
  1. Gaming-Notebook Razer aktualisiert Blade 14 mit Kaby Lake und 4K-UHD
  2. MSI GS63VR und Gigabyte Aero 14 im Test Entscheidend ist der Akku

  1. Geht nicht

    pk_erchner | 07:07

  2. Re: Habs doch schon, nannte sich Google latitude

    pk_erchner | 07:06

  3. Re: Vieleicht einfach mal nicht Raubkopieren...

    chefin | 07:06

  4. Re: Was, noch kein Gemecker?

    pk_erchner | 07:05

  5. Re: kann wechat schon ewig

    pk_erchner | 07:04


  1. 07:11

  2. 18:26

  3. 18:18

  4. 18:08

  5. 17:39

  6. 16:50

  7. 16:24

  8. 15:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel