Abo
  • Services:

Kollisionsangriff: Hashfunktion SHA-1 gebrochen

Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.

Artikel veröffentlicht am , Hanno Böck
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat.
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat. (Bild: Google)

Die Hashfunktion SHA-1 ist endgültig gebrochen. Abgezeichnet hat sich das bereits seit vielen Jahren. In einem gemeinsamen Forschungsprojekt, das tausende Jahre an CPU-Zeit benötigt hat, gelang es Google und einem Team der Universität Amsterdam, zwei unterschiedliche Dateien mit demselben SHA-1-Hash zu erzeugen. Das hat Auswirkungen auf zahlreiche Anwendungen. Bei HTTPS-Zertifikaten wurde SHA-1 in den letzen Jahren mit viel Mühen weitgehend abgeschafft. Bei diversen anderen Anwendungen - darunter beispielsweise Git - könnte der neue Fund zu Problemen führen.

Stellenmarkt
  1. Lidl Digital, Heilbronn, Berlin
  2. ESG Elektroniksystem- und Logistik-GmbH, München

Hashfunktionen sind ein wichtiger Baustein in diversen kryptographischen Protokollen. Sie werden beispielsweise für digitale Signaturen verwendet. Ein Hash bildet beliebige Eingabedaten auf eine Ausgabe fester Länge ab, bei SHA-1 sind das 160 Bit, die üblicherweise als 40-stellige Hexadezimalzahl dargestellt werden.

Damit eine Hashfunktion als kryptographisch sicher gilt, muss sie zwei verschiedene Eigenschaften erfüllen. Eine davon ist die sogenannte Kollisionsresistenz: Es darf nicht praktikabel möglich sein, verschiedene Eingabedaten zu erzeugen, die zum selben Hash führen. Genau das ist nun gelungen. Google veröffentlichte zwei PDF-Dateien mit unterschiedlichen Inhalten und identischem SHA-1-Hash. Für den Angriff hat Google insgesamt 6.500 CPU-Jahre und 100 GPU-Jahre an Rechenkapazität bereitgestellt.

Seit 12 Jahren absehbar

Absehbar war ein solcher Angriff bereits seit 2005. Die Kryptographin Wang Xiaoyun veröffentlichte mehrere Forschungsarbeiten und konnte die ältere Hashfunktion MD5 praktisch brechen. Für SHA-1 zeigte Wang ebenfalls Angriffe, die sich jedoch aufgrund des Rechenaufwandes nur mit extrem teurer Spezialhardware hätten praktisch durchführen lassen. Über die Jahre gab es immer weitere Verbesserungen an den Angriffen.

Trotz dieser Angriffe tat man sich sehr schwer, MD5 und SHA-1 loszuwerden. Auch nach den Angriffen auf MD5 wurden noch TLS-Zertifikate mit MD5-Signaturen ausgestellt. Das änderte sich erst, als 2009 auf dem Chaos Communication Congress ein praktischer Angriff auf eine Zertifizierungsstelle gezeigt wurde. Bei SHA-1 tat sich bei TLS-Zertifikaten lange Zeit überhaupt nichts. In den vergangenen Jahren machten die Browserhersteller jedoch Druck. Doch obwohl seit 2005 bekannt ist, dass SHA-1 ausgemustert werden soll, beantragen Zertifizierungsstellen immer wieder Ausnahmen.

An vielen anderen Stellen ist SHA-1 jedoch weiterhin im Einsatz. Während es bei TLS-Zertifikaten praktisch nicht mehr genutzt wird, kommt es im TLS-Protokoll selber immer noch zum Einsatz. GnuPG erstellt zwar in der jüngsten Version keine SHA-1-Signaturen mehr, bis vor kurzem war das jedoch noch die Standardeinstellung. Git basiert komplett auf SHA-1 - alle Objekte in Git werden mittels ihres Hashes adressiert. Was dieser Angriff für Git bedeutet, ist nicht ganz einfach zu beurteilen, aber zumindest die Vertrauenswürdigkeit von signierten Commits steht damit in Frage.

Welche Auswirkungen ein Kollisionsangriff hat, ist in vielen Fällen nur mit einer genaueren Analyse feststellbar. So gibt es kryptographische Konstruktionen, in denen Kollisionen keine Rolle spielen und nur sogenannte Preimage-Angriffe vermieden werden müssen. Bei einem Preimage-Angriff kann ein Angreifer für einen bestehenden Hash eine gültige Eingabe finden. Preimage-Angriffe sind bislang für SHA-1 und selbst für MD5 unrealistisch.

Alternativen SHA-2, SHA-3 und BLAKE2

Klar ist: Von wenigen Ausnahmefällen abgesehen, ist jetzt endgültig der Zeitpunkt, SHA-1 möglichst überall zu entsorgen. Als Alternativen stehen SHA-2, SHA-3 und Blake bereit. Die SHA-2 gibt es schon länger, sie haben sich anders als zeitweise erwartet als sehr resistent gegen Angriffe erwiesen. Allerdings sind sie verwundbar für sogenannte Length-Extension-Angriffe. In den meisten Fällen spielt das jedoch keine Rolle. Nach den Angriffen im Jahr 2005 rief die US-Behörde Nist einen Wettbewerb aus, dessen Ergebnis die SHA-3-Funktionen waren. Wem es auf besonders gute Performance ankommt, der kann auch die Funktion BLAKE2 nutzen: Die ist schneller als MD5 und SHA-1 und trotzdem sehr sicher.

In 90 Tagen will Google eine Software veröffentlichen, mit der sich jeder selbst SHA-1-Kollisionen erzeugen kann. Allerdings sollte man sich darauf nicht verlassen. Je nach Situation ist es möglich, die jetzt bereits veröffentlichten Kollisionen zu nutzen, um weitere kollidierende Dateien zu erzeugen. Weiterhin hat Google einen Test bereitgestellt, bei dem man Dateien hochladen und auf Hinweise von Kollisionsangriffen prüfen kann. Dateien, die mittels Gmail verschickt werden, prüft Google automatisch. Ob dieser Test zuverlässig ist oder nur den speziellen Angriff erkennt, ist nicht ganz klar. Wirklich verlassen sollte man sich darauf eher nicht. Wer SHA-1 noch einsetzt und sich auf dessen Sicherheit verlässt, sollte umgehend auf eine sichere Hashfunktion umstellen.



Anzeige
Blu-ray-Angebote
  1. (u. a. Spider-Man 1-3 für 8,49€, X-Men 1-6 für 23,83€ und Batman 1-4 für 14,97€)
  2. 4,25€

bombinho 26. Feb 2017

Allerdings ist die ganze folgende Verschluesselung sinnlos, wenn ich die S-Box kenne...

My1 25. Feb 2017

lol, mach ich ähnlich erstmal das passwort mit nen custom salt der im acc steht und nen...

Xiut 24. Feb 2017

Und was genau hat das mit dem Thema zutun? Es ist ja kein Problem, dass man in eine...

My1 24. Feb 2017

gut da war es etwas zu extrem aber die wahrscheinlichkeit geht extrem gegen 1. konztept...

Anonymer Nutzer 24. Feb 2017

wenn nicht jeder commit eines repositories per gpg signiert ist, ist es doch vollkommen...


Folgen Sie uns
       


Shift 6m - Hands on (Cebit 2018)

Der Hersteller beschreibt das neue Shift 6M als nachhaltig und Highend - wir haben es uns auf der Cebit 2018 angesehen.

Shift 6m - Hands on (Cebit 2018) Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  2. Cityairbus Mit Siemens soll das Lufttaxi abheben
  3. Verkehr Porsche entwickelt Lufttaxi

Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
Sonnet eGFX Box 650 im Test
Wenn die Vega 64 am Thinkpad rechnet

Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Razer Core X eGPU-Box kostet 300 Euro
  2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
  3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Roboat MIT-Forscher drucken autonom fahrende Boote
  2. Elektromobilität Norwegen baut mehr Elektrofähren
  3. Elektromobilität Norwegische Elektrofähre ist sauber und günstig

    •  /