Abo
  • Services:
Anzeige
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat.
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat. (Bild: Google)

Kollisionsangriff: Hashfunktion SHA-1 gebrochen

Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat.
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat. (Bild: Google)

Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.

Die Hashfunktion SHA-1 ist endgültig gebrochen. Abgezeichnet hat sich das bereits seit vielen Jahren. In einem gemeinsamen Forschungsprojekt, das tausende Jahre an CPU-Zeit benötigt hat, gelang es Google und einem Team der Universität Amsterdam, zwei unterschiedliche Dateien mit demselben SHA-1-Hash zu erzeugen. Das hat Auswirkungen auf zahlreiche Anwendungen. Bei HTTPS-Zertifikaten wurde SHA-1 in den letzen Jahren mit viel Mühen weitgehend abgeschafft. Bei diversen anderen Anwendungen - darunter beispielsweise Git - könnte der neue Fund zu Problemen führen.

Anzeige

Hashfunktionen sind ein wichtiger Baustein in diversen kryptographischen Protokollen. Sie werden beispielsweise für digitale Signaturen verwendet. Ein Hash bildet beliebige Eingabedaten auf eine Ausgabe fester Länge ab, bei SHA-1 sind das 160 Bit, die üblicherweise als 40-stellige Hexadezimalzahl dargestellt werden.

Damit eine Hashfunktion als kryptographisch sicher gilt, muss sie zwei verschiedene Eigenschaften erfüllen. Eine davon ist die sogenannte Kollisionsresistenz: Es darf nicht praktikabel möglich sein, verschiedene Eingabedaten zu erzeugen, die zum selben Hash führen. Genau das ist nun gelungen. Google veröffentlichte zwei PDF-Dateien mit unterschiedlichen Inhalten und identischem SHA-1-Hash. Für den Angriff hat Google insgesamt 6.500 CPU-Jahre und 100 GPU-Jahre an Rechenkapazität bereitgestellt.

Seit 12 Jahren absehbar

Absehbar war ein solcher Angriff bereits seit 2005. Die Kryptographin Wang Xiaoyun veröffentlichte mehrere Forschungsarbeiten und konnte die ältere Hashfunktion MD5 praktisch brechen. Für SHA-1 zeigte Wang ebenfalls Angriffe, die sich jedoch aufgrund des Rechenaufwandes nur mit extrem teurer Spezialhardware hätten praktisch durchführen lassen. Über die Jahre gab es immer weitere Verbesserungen an den Angriffen.

Trotz dieser Angriffe tat man sich sehr schwer, MD5 und SHA-1 loszuwerden. Auch nach den Angriffen auf MD5 wurden noch TLS-Zertifikate mit MD5-Signaturen ausgestellt. Das änderte sich erst, als 2009 auf dem Chaos Communication Congress ein praktischer Angriff auf eine Zertifizierungsstelle gezeigt wurde. Bei SHA-1 tat sich bei TLS-Zertifikaten lange Zeit überhaupt nichts. In den vergangenen Jahren machten die Browserhersteller jedoch Druck. Doch obwohl seit 2005 bekannt ist, dass SHA-1 ausgemustert werden soll, beantragen Zertifizierungsstellen immer wieder Ausnahmen.

An vielen anderen Stellen ist SHA-1 jedoch weiterhin im Einsatz. Während es bei TLS-Zertifikaten praktisch nicht mehr genutzt wird, kommt es im TLS-Protokoll selber immer noch zum Einsatz. GnuPG erstellt zwar in der jüngsten Version keine SHA-1-Signaturen mehr, bis vor kurzem war das jedoch noch die Standardeinstellung. Git basiert komplett auf SHA-1 - alle Objekte in Git werden mittels ihres Hashes adressiert. Was dieser Angriff für Git bedeutet, ist nicht ganz einfach zu beurteilen, aber zumindest die Vertrauenswürdigkeit von signierten Commits steht damit in Frage.

Welche Auswirkungen ein Kollisionsangriff hat, ist in vielen Fällen nur mit einer genaueren Analyse feststellbar. So gibt es kryptographische Konstruktionen, in denen Kollisionen keine Rolle spielen und nur sogenannte Preimage-Angriffe vermieden werden müssen. Bei einem Preimage-Angriff kann ein Angreifer für einen bestehenden Hash eine gültige Eingabe finden. Preimage-Angriffe sind bislang für SHA-1 und selbst für MD5 unrealistisch.

Alternativen SHA-2, SHA-3 und BLAKE2

Klar ist: Von wenigen Ausnahmefällen abgesehen, ist jetzt endgültig der Zeitpunkt, SHA-1 möglichst überall zu entsorgen. Als Alternativen stehen SHA-2, SHA-3 und Blake bereit. Die SHA-2 gibt es schon länger, sie haben sich anders als zeitweise erwartet als sehr resistent gegen Angriffe erwiesen. Allerdings sind sie verwundbar für sogenannte Length-Extension-Angriffe. In den meisten Fällen spielt das jedoch keine Rolle. Nach den Angriffen im Jahr 2005 rief die US-Behörde Nist einen Wettbewerb aus, dessen Ergebnis die SHA-3-Funktionen waren. Wem es auf besonders gute Performance ankommt, der kann auch die Funktion BLAKE2 nutzen: Die ist schneller als MD5 und SHA-1 und trotzdem sehr sicher.

In 90 Tagen will Google eine Software veröffentlichen, mit der sich jeder selbst SHA-1-Kollisionen erzeugen kann. Allerdings sollte man sich darauf nicht verlassen. Je nach Situation ist es möglich, die jetzt bereits veröffentlichten Kollisionen zu nutzen, um weitere kollidierende Dateien zu erzeugen. Weiterhin hat Google einen Test bereitgestellt, bei dem man Dateien hochladen und auf Hinweise von Kollisionsangriffen prüfen kann. Dateien, die mittels Gmail verschickt werden, prüft Google automatisch. Ob dieser Test zuverlässig ist oder nur den speziellen Angriff erkennt, ist nicht ganz klar. Wirklich verlassen sollte man sich darauf eher nicht. Wer SHA-1 noch einsetzt und sich auf dessen Sicherheit verlässt, sollte umgehend auf eine sichere Hashfunktion umstellen.


eye home zur Startseite
bombinho 26. Feb 2017

Allerdings ist die ganze folgende Verschluesselung sinnlos, wenn ich die S-Box kenne...

My1 25. Feb 2017

lol, mach ich ähnlich erstmal das passwort mit nen custom salt der im acc steht und nen...

Xiut 24. Feb 2017

Und was genau hat das mit dem Thema zutun? Es ist ja kein Problem, dass man in eine...

My1 24. Feb 2017

gut da war es etwas zu extrem aber die wahrscheinlichkeit geht extrem gegen 1. konztept...

bjs 24. Feb 2017

wenn nicht jeder commit eines repositories per gpg signiert ist, ist es doch vollkommen...



Anzeige

Stellenmarkt
  1. Robert Bosch Packaging Technology GmbH, Crailsheim
  2. Bechtle Onsite Services GmbH, Augsburg
  3. Robert Bosch Start-up GmbH, Ludwigsburg
  4. Robert Bosch GmbH, Weilimdorf


Anzeige
Spiele-Angebote
  1. 12,99€
  2. (u. a. BioShock: The Collection 16,99€, Borderlands 2 GOTY 7,99€, Civilization VI 35,99€ und...

Folgen Sie uns
       


  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Wegfall bedeutet kein Recht auf...

    ermic | 07:54

  2. Re: "da es ein shared Medium sei"

    Psy2063 | 07:50

  3. Re: Activision patentiert Kundenverarsche

    RobertBöhm | 07:47

  4. Re: Braucht die Welt nicht...

    TrudleR | 07:42

  5. Re: [unterstützen] keinerlei unverschlüsselten...

    chefin | 07:42


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel