Abo
  • Services:
Anzeige
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat.
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat. (Bild: Google)

Kollisionsangriff: Hashfunktion SHA-1 gebrochen

Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat.
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat. (Bild: Google)

Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.

Die Hashfunktion SHA-1 ist endgültig gebrochen. Abgezeichnet hat sich das bereits seit vielen Jahren. In einem gemeinsamen Forschungsprojekt, das tausende Jahre an CPU-Zeit benötigt hat, gelang es Google und einem Team der Universität Amsterdam, zwei unterschiedliche Dateien mit demselben SHA-1-Hash zu erzeugen. Das hat Auswirkungen auf zahlreiche Anwendungen. Bei HTTPS-Zertifikaten wurde SHA-1 in den letzen Jahren mit viel Mühen weitgehend abgeschafft. Bei diversen anderen Anwendungen - darunter beispielsweise Git - könnte der neue Fund zu Problemen führen.

Anzeige

Hashfunktionen sind ein wichtiger Baustein in diversen kryptographischen Protokollen. Sie werden beispielsweise für digitale Signaturen verwendet. Ein Hash bildet beliebige Eingabedaten auf eine Ausgabe fester Länge ab, bei SHA-1 sind das 160 Bit, die üblicherweise als 40-stellige Hexadezimalzahl dargestellt werden.

Damit eine Hashfunktion als kryptographisch sicher gilt, muss sie zwei verschiedene Eigenschaften erfüllen. Eine davon ist die sogenannte Kollisionsresistenz: Es darf nicht praktikabel möglich sein, verschiedene Eingabedaten zu erzeugen, die zum selben Hash führen. Genau das ist nun gelungen. Google veröffentlichte zwei PDF-Dateien mit unterschiedlichen Inhalten und identischem SHA-1-Hash. Für den Angriff hat Google insgesamt 6.500 CPU-Jahre und 100 GPU-Jahre an Rechenkapazität bereitgestellt.

Seit 12 Jahren absehbar

Absehbar war ein solcher Angriff bereits seit 2005. Die Kryptographin Wang Xiaoyun veröffentlichte mehrere Forschungsarbeiten und konnte die ältere Hashfunktion MD5 praktisch brechen. Für SHA-1 zeigte Wang ebenfalls Angriffe, die sich jedoch aufgrund des Rechenaufwandes nur mit extrem teurer Spezialhardware hätten praktisch durchführen lassen. Über die Jahre gab es immer weitere Verbesserungen an den Angriffen.

Trotz dieser Angriffe tat man sich sehr schwer, MD5 und SHA-1 loszuwerden. Auch nach den Angriffen auf MD5 wurden noch TLS-Zertifikate mit MD5-Signaturen ausgestellt. Das änderte sich erst, als 2009 auf dem Chaos Communication Congress ein praktischer Angriff auf eine Zertifizierungsstelle gezeigt wurde. Bei SHA-1 tat sich bei TLS-Zertifikaten lange Zeit überhaupt nichts. In den vergangenen Jahren machten die Browserhersteller jedoch Druck. Doch obwohl seit 2005 bekannt ist, dass SHA-1 ausgemustert werden soll, beantragen Zertifizierungsstellen immer wieder Ausnahmen.

An vielen anderen Stellen ist SHA-1 jedoch weiterhin im Einsatz. Während es bei TLS-Zertifikaten praktisch nicht mehr genutzt wird, kommt es im TLS-Protokoll selber immer noch zum Einsatz. GnuPG erstellt zwar in der jüngsten Version keine SHA-1-Signaturen mehr, bis vor kurzem war das jedoch noch die Standardeinstellung. Git basiert komplett auf SHA-1 - alle Objekte in Git werden mittels ihres Hashes adressiert. Was dieser Angriff für Git bedeutet, ist nicht ganz einfach zu beurteilen, aber zumindest die Vertrauenswürdigkeit von signierten Commits steht damit in Frage.

Welche Auswirkungen ein Kollisionsangriff hat, ist in vielen Fällen nur mit einer genaueren Analyse feststellbar. So gibt es kryptographische Konstruktionen, in denen Kollisionen keine Rolle spielen und nur sogenannte Preimage-Angriffe vermieden werden müssen. Bei einem Preimage-Angriff kann ein Angreifer für einen bestehenden Hash eine gültige Eingabe finden. Preimage-Angriffe sind bislang für SHA-1 und selbst für MD5 unrealistisch.

Alternativen SHA-2, SHA-3 und BLAKE2

Klar ist: Von wenigen Ausnahmefällen abgesehen, ist jetzt endgültig der Zeitpunkt, SHA-1 möglichst überall zu entsorgen. Als Alternativen stehen SHA-2, SHA-3 und Blake bereit. Die SHA-2 gibt es schon länger, sie haben sich anders als zeitweise erwartet als sehr resistent gegen Angriffe erwiesen. Allerdings sind sie verwundbar für sogenannte Length-Extension-Angriffe. In den meisten Fällen spielt das jedoch keine Rolle. Nach den Angriffen im Jahr 2005 rief die US-Behörde Nist einen Wettbewerb aus, dessen Ergebnis die SHA-3-Funktionen waren. Wem es auf besonders gute Performance ankommt, der kann auch die Funktion BLAKE2 nutzen: Die ist schneller als MD5 und SHA-1 und trotzdem sehr sicher.

In 90 Tagen will Google eine Software veröffentlichen, mit der sich jeder selbst SHA-1-Kollisionen erzeugen kann. Allerdings sollte man sich darauf nicht verlassen. Je nach Situation ist es möglich, die jetzt bereits veröffentlichten Kollisionen zu nutzen, um weitere kollidierende Dateien zu erzeugen. Weiterhin hat Google einen Test bereitgestellt, bei dem man Dateien hochladen und auf Hinweise von Kollisionsangriffen prüfen kann. Dateien, die mittels Gmail verschickt werden, prüft Google automatisch. Ob dieser Test zuverlässig ist oder nur den speziellen Angriff erkennt, ist nicht ganz klar. Wirklich verlassen sollte man sich darauf eher nicht. Wer SHA-1 noch einsetzt und sich auf dessen Sicherheit verlässt, sollte umgehend auf eine sichere Hashfunktion umstellen.


eye home zur Startseite
bombinho 26. Feb 2017

Allerdings ist die ganze folgende Verschluesselung sinnlos, wenn ich die S-Box kenne...

My1 25. Feb 2017

lol, mach ich ähnlich erstmal das passwort mit nen custom salt der im acc steht und nen...

Xiut 24. Feb 2017

Und was genau hat das mit dem Thema zutun? Es ist ja kein Problem, dass man in eine...

My1 24. Feb 2017

gut da war es etwas zu extrem aber die wahrscheinlichkeit geht extrem gegen 1. konztept...

bjs 24. Feb 2017

wenn nicht jeder commit eines repositories per gpg signiert ist, ist es doch vollkommen...



Anzeige

Stellenmarkt
  1. Softship AG, Hamburg
  2. AVS GmbH Datamanagement & Customer Care, Bayreuth
  3. Endress+Hauser InfoServe GmbH+Co. KG, Weil am Rhein
  4. über Hays AG, Rhein-Main-Gebiet


Anzeige
Hardware-Angebote
  1. 444,00€ + 4,99€ Versand
  2. (Core i5-7600K + Asus GTX 1060 Dual OC)
  3. 546,15€

Folgen Sie uns
       


  1. Amazon Channels

    Prime Video erhält Pay-TV-Plattform mit Live-Fernsehen

  2. Bayerischer Rundfunk

    Fernsehsender wollen über 5G ausstrahlen

  3. Kupfer

    Nokia hält Terabit DSL für überflüssig

  4. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  5. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  6. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  7. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  8. Skills

    Amazon lässt Alexa natürlicher klingen

  9. Cray

    Rechenleistung von Supercomputern in der Cloud mieten

  10. Streaming

    Sky geht gegen Stream4u.tv und Hardwareanbieter vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: LTI = Lifetime Insurance

    SzSch | 05:41

  2. Re: Vermenschlichung ist fastal

    Mett | 05:38

  3. Re: Realitätsflucht

    GnomeEu | 05:33

  4. Egal was, am Ende sitzt man eh dort.

    Bizzi | 05:16

  5. Nächstes Jahr um die Zeit...

    maverick1977 | 04:58


  1. 00:01

  2. 18:45

  3. 16:35

  4. 16:20

  5. 16:00

  6. 15:37

  7. 15:01

  8. 13:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel