Abo
  • Services:
Anzeige
Durch geeignete Konstanten lässt sich die Wahrscheinlichkeit für Kollisionen erhöhen.
Durch geeignete Konstanten lässt sich die Wahrscheinlichkeit für Kollisionen erhöhen. (Bild: Malicious SHA-1)

Hash-Funktionen: Bösartige SHA-1-Variante erzeugt

Forschern gelang es, durch kleine Veränderungen eine Variante der SHA-1-Hashfunktion mit einer Hintertür zu erzeugen. Die Sicherheit von SHA-1 selbst beeinträchtigt das nicht, es lassen sich aber Lehren für die Entwicklung von Algorithmen daraus ziehen.

Anzeige

Durch die Snowden-Dokumente ist inzwischen bekannt, dass die NSA versucht hat, bei der Standardisierung von Verschlüsselungsalgorithmen Hintertüren einzubauen. Für den Zufallszahlengenerator Dual EC DRBG gilt dies inzwischen als nahezu gesichert, aber auch andere Standards, an denen die NSA mitgewirkt hat, gelten als potenziell verdächtig. Es gibt also reichlich Anlässe für Kryptographen, die Möglichkeiten für Hintertüren in kryptographischen Algorithmen zu erforschen.

Ein Team von Forschern der Technischen Universität Graz und Jean-Philippe Aumasson von der Schweizer Firma Kudelski Security haben eine Variante des weit verbreiteten Hash-Algorithmus SHA-1 erstellt, für die sie Kollisionen erzeugen konnten. Aumasson stellte die Forschungsergebnisse auf der B-Sides-Konferenz in Las Vegas vor. Von den beiden großen Sicherheitskonferenzen in Las Vegas - der Black Hat und der Def Con - wurde der entsprechende Vortrag abgelehnt. Er sei zu technisch.

Seit 2004 ist bekannt, dass SHA-1 nicht so sicher ist wie ursprünglich gedacht. Ein chinesisches Forscherteam konnte damals zeigen, dass SHA-1 einige Schwächen bei sogenannten Kollisionsangriffen hat. Im Detail wurde der Angriff seitdem noch weiter verbessert. Zwar hat bis heute noch niemand öffentlich eine SHA-1-Kollission erzeugt, es ist aber davon auszugehen, dass ein finanzstarker Angreifer dazu in der Lage wäre.

Aus Theorie wird Praxis

In der SHA-1-Funktion gibt es einige Konstanten, die darüber entscheiden, wie genau der Hash berechnet wird. Für diese Konstanten wurden in der originalen SHA-1-Funktion die Wurzeln von kleinen Zahlen - 2, 3, 5 und 10 - gewählt. Dem Grazer Forscherteam ist es gelungen, diese Konstanten so zu verändern, dass sich der Kollisionsangriff auf SHA-1 deutlich schneller durchführen lässt. Aus einem bislang nur theoretischen Problem wurde somit ein praktisch durchführbarer Angriff. Die veränderte Variante haben die Forscher "Malicious SHA-1" genannt.

Für Anwendungen, welche die originale SHA-1-Funktion nutzen, hat dieser Angriff keinerlei Relevanz. Die Schwäche ist nur in der speziell manipulierten SHA-1-Variante vorhanden. Aumasson weist aber darauf hin, dass in vielen Fällen für Spezialanwendungen Varianten von bekannten Verschlüsselungsalgorithmen zum Einsatz kommen. In solchen Fällen könnte derjenige, der die veränderten Algorithmen spezifiziert, eine bösartige SHA-1-Variante unterbringen.

NSA-Hintertür unwahrscheinlich

SHA-1 selbst wurde ursprünglich 1994 von der NSA entwickelt. Die Grazer Forscher halten es allerdings aus mehreren Gründen für unplausibel, dass die NSA damals bereits die Möglichkeiten hatte, eine derartige Hintertür in SHA-1 zu platzieren. Dagegen spricht auch, dass es sich bei den Konstanten, wie bereits erklärt, um die Wurzeln trivialer kleiner Zahlen handelt. Außerdem baut der Angriff auf Forschungsarbeiten auf, die erst 2004 bekanntwurden. Es ist zwar denkbar, dass die NSA viel früher davon wusste, aber aus Sicht der Forscher spricht dagegen ein weiterer Aspekt: Kurz vor SHA-1 hatte die NSA bereits den Standard SHA-0 entwickelt, der sich nach kurzer Zeit als katastrophal unsicher erwies. Das deute darauf hin, dass die NSA damals nicht über solch ausgefeilte Kenntnisse der Kryptoanalyse verfügt haben könne.

Auf den neueren Algorithmus SHA-256 lassen sich die Ergebnisse im Moment nicht übertragen. Der Hintergrund ist, dass der Angriff auf bekannte Schwächen in SHA-1 aufbaut. Ähnliche Schwächen sind allerdings für SHA-256 nicht bekannt, der Algorithmus gilt bis heute als sehr sicher.

Transparenz ist unabdinglich

Grundsätzlich zeigen derartige Forschungsarbeiten, wie wichtig es ist, dass die Herkunft von Konstanten in kryptographischen Algorithmen geklärt ist. Zahlen, die sich wie die erwähnten Quadratwurzeln aus einfachen Berechnungen herleiten, nennt man auch "Nothing up my sleeve numbers". Bei anderen Standards ist das deutlich unklarer: Einige Kryptographen zweifeln beispielsweise an der Zuverlässigkeit der elliptischen Kurven, die 1999 von der US-Standardisierungsbehörde Nist spezifiziert wurden. Diese wurden ebenfalls von der NSA entwickelt - und sie enthalten Konstanten, deren Herkunft völlig unklar ist.

Die Forschungsarbeit sowie sämtliche Quellcodes und Beispiele für Kollisionen der bösartigen SHA-1-Variante stehen auf einer Webseite zum Download bereit. Von Aumassons Vortrag gibt es außerdem eine Videoaufzeichnung.


eye home zur Startseite
masterofdisaste... 12. Aug 2014

Relevant wäre noch: Die Konstanten im SHA-1 wurden von der NSA gewählt. Es besteht also...

pythoneer 06. Aug 2014

Das Publikum besteht aber nicht nur ausschließlich aus studierten Mathematikern. Ich...

Nerd_vom_Dienst 06. Aug 2014

Es ist recht unwarscheinlich das die NSA ihre eigene Grundlage sabotiert, somit den Ast...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Raum Düsseldorf
  2. Qnit AG, München
  3. Continental AG, Ingolstadt
  4. Bureau Veritas Consumer Products Services Germany GmbH, Schwerin


Anzeige
Hardware-Angebote
  1. beim Kauf einer Geforce GTX 1070/1080

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Prepaid

    Telefónica verkürzt Optionslaufzeit auf 28 Tage

  2. Amazon Echo und Echo Dot im Test

    Alexa, so wird das nichts!

  3. Petunia Tech

    Wisoccero spielt Fußball

  4. AMD Ryzen 7

    AM4-Mainboards für Ryzen bereits im Handel

  5. Elektroauto

    Der Smart wird elektrisch - erhältlich ab 21.940 Euro

  6. Smartphone

    Samsung stellt Prozessor für Galaxy S8 vor

  7. 5 GHz

    T-Mobile setzt LTE-U im WLAN-Spektrum ein

  8. BiCS3

    Toshibas 512-GBit-Flash-Chips werden in Mustern ausgeliefert

  9. Europäischer Haftbefehl

    Britische Polizei nimmt mutmaßlichen Telekom-Hacker fest

  10. Bodyhacking

    Ich, einfach unverbesserlich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apple: Planet der affigen Fernsehshows
Apple
Planet der affigen Fernsehshows
  1. Noch 100 Tage Unitymedia schaltet Analogfernsehen schrittweise ab
  2. Streaming Vodafone GigaTV ermöglicht Fernsehen unterwegs
  3. Kabelnetz Unitymedia hat neue Preise für Internetzugänge

Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

  1. Re: Müllskills

    Muhaha | 12:46

  2. Re: 2,5" SSD

    Heinzel | 12:45

  3. Re: Für mich nicht nachvollziehbar

    zZz | 12:45

  4. Re: Apple Park vs. BER

    picaschaf | 12:44

  5. Re: Also leider doch deutlich langsamer als Intel

    bioharz | 12:44


  1. 12:38

  2. 12:08

  3. 12:00

  4. 11:46

  5. 11:31

  6. 11:15

  7. 11:00

  8. 10:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel