Hashfunktion: SHA-1 ist endgültig kaputt

Ein Hashwert soll eindeutig sein, doch für SHA-1 gilt das nicht mehr. Forscher zeigten, dass sie verschiedene Dateien auffüllen können, um den gleichen SHA-1-Hash zu erzeugen und illustrierten dies anhand von GnuPG-Signaturen.

Artikel veröffentlicht am ,
Rest in Peace SHA-1.
Rest in Peace SHA-1. (Bild: Gábor Bejó/Pixabay)

Bereits im Mai konstruierten die beiden Forscher Gaëtan Leurent und Thomas Peyrin einen neuen Kollisionsangriff auf die Hashfunktion SHA-1. Diesen setzten die Forscher nun auch in der Praxis um und zeigen, dass SHA-1 endgültig kaputt ist.

Stellenmarkt
  1. Bereichs-Informationssicherh- eitsbeauftragte*r (m/w/d) in der Stabstelle Sicherheit der Feuerwehr ... (m/w/d)
    Stadt Köln Berufsfeuerwehr, Amt für Feuerschutz, Rettungsdienst und Bevölkerungsschutz, Köln
  2. Fulfillment Experte / Projektleiter Operations Prozesse/E-Commerce Warehouse (mobiles Arbeiten) ... (m/w/d)
    DPD Deutschland GmbH, Raum Frankfurt am Main, München, Dortmund (Home-Office)
Detailsuche

Kollisionssicherheit ist eine der wichtigsten Eigenschaften von kryptographischen Hashfunktionen. Es soll nicht möglich sein, mit praktikablem Aufwand zwei verschiedene Eingaben zu finden, die den gleichen Hashwert erzeugen. Bereits vor knapp drei Jahren gelang es dem Kryptographen Marc Stevens, zwei unterschiedliche PDF-Dateien mit dem gleichen SHA-1-Hash zu erzeugen. Allerdings konnte er die Dateien nicht frei wählen.

Leurent und Peyrin hingegen führten einen Chosen-Prefix-Kollisionsangriff, bei dem sie Dateien und damit den Inhalt frei wählen können. Anschließend füllten sie die Dateien mit berechneten Daten auf und erzeugten so jeweils den gleichen SHA-1-Hashwert. Ein solcher Angriff soll rund 45.000 US-Dollar kosten. 2017 rechneten die Forscher mit Kosten zwischen 110.000 und 560.000 US-Dollar für einen klassischen Kollisionsangriff auf einer Cloud-Plattform - wohlgemerkt ohne die betroffenen Dateien frei wählen zu können.

Demonstration mit GnuPG-Signaturen im Web of Trust

Den Angriff demonstrieren die Forscher unter anderem anhand von GnuPG. Die Legacy-Version 1.4 der Verschlüsselungssoftware setzt für Schlüsselsignaturen standardmäßig auf SHA-1. Die so erzeugten Signaturen werden jedoch auch von den modernen GnuPG-Versionen akzeptiert. Auf diese Weise gelang es den Forschern, eine Signatur für einen Schlüssel zu fälschen. Für den Angriff mieteten die Forscher 900 Nvidia-GTX-1060-Grafikkarten. Die Berechnungen dauerten zwei Monate und kosteten 74.000 US-Dollar. Durch kleine Optimierungen koste ein solcher Angriff jedoch nur noch 45.000 US-Dollar, schreiben die Forscher. Bis 2025 könnten die Kosten sogar unter 10.000 US-Dollar fallen.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Der Angriff richtet sich gegen das Web of Trust, bei welchem die Nutzer ihre Schlüssel gegenseitig signieren und damit indirekt deren Echtheit bestätigen. Diese Signaturen werden auf einen Schlüsselserver hochgeladen. Allerdings ignoriert GnuPG seit Juli 2019 standardmäßig alle von Keyservern erhaltenen Schlüsselsignaturen. Die Entwickler reagierten damit auf Denial-of-Service-Angriffe (DoS) durch massenhaftes Hinzufügen von Schlüsselsignaturen und verkündeten das Ende des Web of Trusts. Zudem reagierten die GnuPG-Entwickler auf die Forschungsarbeiten und verwarfen mit Version 2.2.18 alle SHA-1-Signaturen, die nach dem 19. Januar 2019 erstellt wurden.

Git und TLS verwenden immer noch SHA-1

Seit 2005 ist bekannt, dass die Nutzung von SHA-1 problematisch ist. Dennoch setzen bis heute einige Softwareprojekte weiterhin auf SHA-1. Ein prominenter Nutzer von SHA-1-Hashes ist das Versionskontrollsystem Git. Dort wird allerdings seit geraumer Zeit an der Umstellung auf SHA-2 gearbeitet. Auch in TLS 1.2 kommt an manchen Stellen noch SHA-1 zum Einsatz. Komplett aufgegeben wird das unsichere Hashverfahren erst mit TLS 1.3.

"SHA-1 sollte in keinem Sicherheitsprotokoll verwendet werden, wenn von der Hashfunktion ein Kollisionswiderstand erwartet wird", betonen Leurent und Peyrin. Sie raten Benutzern dringend, die SHA-1-Unterstützung zu entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


hjp 12. Jan 2020

Richtig, aber einfacher wäre es, wenn die Download-Seiten gleich SHA-2 und/oder SHA-3...

hjp 12. Jan 2020

Frag mal Microsoft, wie es ihnen mit der Ablöse von Windows XP geht. Und das ist eine...

hjp 12. Jan 2020

"bis man einen passenden Hash raus kriegt" klingt für mich gleich wie "gezielt einen...

mtr (golem.de) 08. Jan 2020

Hallo Rolf Schreiter, Danke für den Hinweis. Das war ein Vertipper. Richtig ist 45.000 US...



Aktuell auf der Startseite von Golem.de
Microsoft
Das nächste große Update für Windows 10 kommt im November

Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

Microsoft: Das nächste große Update für Windows 10 kommt im November
Artikel
  1. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

  2. Arduino und Python: Bastler nimmt Audiokassette als Speichermedium für Retro-PC
    Arduino und Python
    Bastler nimmt Audiokassette als Speichermedium für Retro-PC

    Die Kassette kann nicht nur Lieder speichern, sondern auch Bitmuster. Ein Bastler baut dafür eine Schnittstelle mit 1,5 KBit/s Datenrate.

  3. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /