Abo
  • Services:

Hash-Funktionen: Bösartige SHA-1-Variante erzeugt

Forschern gelang es, durch kleine Veränderungen eine Variante der SHA-1-Hashfunktion mit einer Hintertür zu erzeugen. Die Sicherheit von SHA-1 selbst beeinträchtigt das nicht, es lassen sich aber Lehren für die Entwicklung von Algorithmen daraus ziehen.

Artikel veröffentlicht am , Hanno Böck
Durch geeignete Konstanten lässt sich die Wahrscheinlichkeit für Kollisionen erhöhen.
Durch geeignete Konstanten lässt sich die Wahrscheinlichkeit für Kollisionen erhöhen. (Bild: Malicious SHA-1)

Durch die Snowden-Dokumente ist inzwischen bekannt, dass die NSA versucht hat, bei der Standardisierung von Verschlüsselungsalgorithmen Hintertüren einzubauen. Für den Zufallszahlengenerator Dual EC DRBG gilt dies inzwischen als nahezu gesichert, aber auch andere Standards, an denen die NSA mitgewirkt hat, gelten als potenziell verdächtig. Es gibt also reichlich Anlässe für Kryptographen, die Möglichkeiten für Hintertüren in kryptographischen Algorithmen zu erforschen.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Ein Team von Forschern der Technischen Universität Graz und Jean-Philippe Aumasson von der Schweizer Firma Kudelski Security haben eine Variante des weit verbreiteten Hash-Algorithmus SHA-1 erstellt, für die sie Kollisionen erzeugen konnten. Aumasson stellte die Forschungsergebnisse auf der B-Sides-Konferenz in Las Vegas vor. Von den beiden großen Sicherheitskonferenzen in Las Vegas - der Black Hat und der Def Con - wurde der entsprechende Vortrag abgelehnt. Er sei zu technisch.

Seit 2004 ist bekannt, dass SHA-1 nicht so sicher ist wie ursprünglich gedacht. Ein chinesisches Forscherteam konnte damals zeigen, dass SHA-1 einige Schwächen bei sogenannten Kollisionsangriffen hat. Im Detail wurde der Angriff seitdem noch weiter verbessert. Zwar hat bis heute noch niemand öffentlich eine SHA-1-Kollission erzeugt, es ist aber davon auszugehen, dass ein finanzstarker Angreifer dazu in der Lage wäre.

Aus Theorie wird Praxis

In der SHA-1-Funktion gibt es einige Konstanten, die darüber entscheiden, wie genau der Hash berechnet wird. Für diese Konstanten wurden in der originalen SHA-1-Funktion die Wurzeln von kleinen Zahlen - 2, 3, 5 und 10 - gewählt. Dem Grazer Forscherteam ist es gelungen, diese Konstanten so zu verändern, dass sich der Kollisionsangriff auf SHA-1 deutlich schneller durchführen lässt. Aus einem bislang nur theoretischen Problem wurde somit ein praktisch durchführbarer Angriff. Die veränderte Variante haben die Forscher "Malicious SHA-1" genannt.

Für Anwendungen, welche die originale SHA-1-Funktion nutzen, hat dieser Angriff keinerlei Relevanz. Die Schwäche ist nur in der speziell manipulierten SHA-1-Variante vorhanden. Aumasson weist aber darauf hin, dass in vielen Fällen für Spezialanwendungen Varianten von bekannten Verschlüsselungsalgorithmen zum Einsatz kommen. In solchen Fällen könnte derjenige, der die veränderten Algorithmen spezifiziert, eine bösartige SHA-1-Variante unterbringen.

NSA-Hintertür unwahrscheinlich

SHA-1 selbst wurde ursprünglich 1994 von der NSA entwickelt. Die Grazer Forscher halten es allerdings aus mehreren Gründen für unplausibel, dass die NSA damals bereits die Möglichkeiten hatte, eine derartige Hintertür in SHA-1 zu platzieren. Dagegen spricht auch, dass es sich bei den Konstanten, wie bereits erklärt, um die Wurzeln trivialer kleiner Zahlen handelt. Außerdem baut der Angriff auf Forschungsarbeiten auf, die erst 2004 bekanntwurden. Es ist zwar denkbar, dass die NSA viel früher davon wusste, aber aus Sicht der Forscher spricht dagegen ein weiterer Aspekt: Kurz vor SHA-1 hatte die NSA bereits den Standard SHA-0 entwickelt, der sich nach kurzer Zeit als katastrophal unsicher erwies. Das deute darauf hin, dass die NSA damals nicht über solch ausgefeilte Kenntnisse der Kryptoanalyse verfügt haben könne.

Auf den neueren Algorithmus SHA-256 lassen sich die Ergebnisse im Moment nicht übertragen. Der Hintergrund ist, dass der Angriff auf bekannte Schwächen in SHA-1 aufbaut. Ähnliche Schwächen sind allerdings für SHA-256 nicht bekannt, der Algorithmus gilt bis heute als sehr sicher.

Transparenz ist unabdinglich

Grundsätzlich zeigen derartige Forschungsarbeiten, wie wichtig es ist, dass die Herkunft von Konstanten in kryptographischen Algorithmen geklärt ist. Zahlen, die sich wie die erwähnten Quadratwurzeln aus einfachen Berechnungen herleiten, nennt man auch "Nothing up my sleeve numbers". Bei anderen Standards ist das deutlich unklarer: Einige Kryptographen zweifeln beispielsweise an der Zuverlässigkeit der elliptischen Kurven, die 1999 von der US-Standardisierungsbehörde Nist spezifiziert wurden. Diese wurden ebenfalls von der NSA entwickelt - und sie enthalten Konstanten, deren Herkunft völlig unklar ist.

Die Forschungsarbeit sowie sämtliche Quellcodes und Beispiele für Kollisionen der bösartigen SHA-1-Variante stehen auf einer Webseite zum Download bereit. Von Aumassons Vortrag gibt es außerdem eine Videoaufzeichnung.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

masterofdisaste... 12. Aug 2014

Relevant wäre noch: Die Konstanten im SHA-1 wurden von der NSA gewählt. Es besteht also...

pythoneer 06. Aug 2014

Das Publikum besteht aber nicht nur ausschließlich aus studierten Mathematikern. Ich...

Nerd_vom_Dienst 06. Aug 2014

Es ist recht unwarscheinlich das die NSA ihre eigene Grundlage sabotiert, somit den Ast...


Folgen Sie uns
       


Offroad mit dem Audi E-Tron

Mit dem neuen Audi E-Tron fährt es sich leicht durch unwegsames Gelände.

Offroad mit dem Audi E-Tron Video aufrufen
Padrone angesehen: Eine Mausalternative, die funktioniert
Padrone angesehen
Eine Mausalternative, die funktioniert

CES 2019 Ein Ring soll die Computermaus ersetzen: Am Zeigefinger getragen macht Padrone jede Oberfläche zum Touchpad. Der Prototyp fühlt sich bei der Bedienung überraschend gut an.
Von Tobias Költzsch

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. People Mover Rollende Kisten ohne Fahrer
  3. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

IT-Jobs: Ein Jahr als Freelancer
IT-Jobs
Ein Jahr als Freelancer

Sicher träumen nicht wenige festangestellte Entwickler, Programmierer und andere ITler davon, sich selbstständig zu machen. Unser Autor hat vor einem Jahr den Schritt ins Vollzeit-Freelancertum gewagt und bilanziert: Vieles an der Selbstständigkeit ist gut, aber nicht alles. Und: Die Freiheit des Freelancers ist relativ.
Ein Erfahrungsbericht von Marvin Engel

  1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
  2. IT Frauen, die programmieren und Bier trinken
  3. Software-Entwickler CDU will Online-Weiterbildung à la Netflix

    •  /