• IT-Karriere:
  • Services:

Kollisionsangriff: Hashfunktion SHA-1 gebrochen

Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.

Artikel veröffentlicht am , Hanno Böck
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat.
Unterschiedlicher Inhalt, identischer SHA-1-Hash - diese PDF-Dokumente zeigen, dass Google SHA-1 gebrochen hat. (Bild: Google)

Die Hashfunktion SHA-1 ist endgültig gebrochen. Abgezeichnet hat sich das bereits seit vielen Jahren. In einem gemeinsamen Forschungsprojekt, das tausende Jahre an CPU-Zeit benötigt hat, gelang es Google und einem Team der Universität Amsterdam, zwei unterschiedliche Dateien mit demselben SHA-1-Hash zu erzeugen. Das hat Auswirkungen auf zahlreiche Anwendungen. Bei HTTPS-Zertifikaten wurde SHA-1 in den letzen Jahren mit viel Mühen weitgehend abgeschafft. Bei diversen anderen Anwendungen - darunter beispielsweise Git - könnte der neue Fund zu Problemen führen.

Stellenmarkt
  1. GILDEMEISTER Beteiligungen GmbH, Bielefeld
  2. NetApp Deutschland GmbH, Hamburg, Berlin

Hashfunktionen sind ein wichtiger Baustein in diversen kryptographischen Protokollen. Sie werden beispielsweise für digitale Signaturen verwendet. Ein Hash bildet beliebige Eingabedaten auf eine Ausgabe fester Länge ab, bei SHA-1 sind das 160 Bit, die üblicherweise als 40-stellige Hexadezimalzahl dargestellt werden.

Damit eine Hashfunktion als kryptographisch sicher gilt, muss sie zwei verschiedene Eigenschaften erfüllen. Eine davon ist die sogenannte Kollisionsresistenz: Es darf nicht praktikabel möglich sein, verschiedene Eingabedaten zu erzeugen, die zum selben Hash führen. Genau das ist nun gelungen. Google veröffentlichte zwei PDF-Dateien mit unterschiedlichen Inhalten und identischem SHA-1-Hash. Für den Angriff hat Google insgesamt 6.500 CPU-Jahre und 100 GPU-Jahre an Rechenkapazität bereitgestellt.

Seit 12 Jahren absehbar

Absehbar war ein solcher Angriff bereits seit 2005. Die Kryptographin Wang Xiaoyun veröffentlichte mehrere Forschungsarbeiten und konnte die ältere Hashfunktion MD5 praktisch brechen. Für SHA-1 zeigte Wang ebenfalls Angriffe, die sich jedoch aufgrund des Rechenaufwandes nur mit extrem teurer Spezialhardware hätten praktisch durchführen lassen. Über die Jahre gab es immer weitere Verbesserungen an den Angriffen.

Trotz dieser Angriffe tat man sich sehr schwer, MD5 und SHA-1 loszuwerden. Auch nach den Angriffen auf MD5 wurden noch TLS-Zertifikate mit MD5-Signaturen ausgestellt. Das änderte sich erst, als 2009 auf dem Chaos Communication Congress ein praktischer Angriff auf eine Zertifizierungsstelle gezeigt wurde. Bei SHA-1 tat sich bei TLS-Zertifikaten lange Zeit überhaupt nichts. In den vergangenen Jahren machten die Browserhersteller jedoch Druck. Doch obwohl seit 2005 bekannt ist, dass SHA-1 ausgemustert werden soll, beantragen Zertifizierungsstellen immer wieder Ausnahmen.

An vielen anderen Stellen ist SHA-1 jedoch weiterhin im Einsatz. Während es bei TLS-Zertifikaten praktisch nicht mehr genutzt wird, kommt es im TLS-Protokoll selber immer noch zum Einsatz. GnuPG erstellt zwar in der jüngsten Version keine SHA-1-Signaturen mehr, bis vor kurzem war das jedoch noch die Standardeinstellung. Git basiert komplett auf SHA-1 - alle Objekte in Git werden mittels ihres Hashes adressiert. Was dieser Angriff für Git bedeutet, ist nicht ganz einfach zu beurteilen, aber zumindest die Vertrauenswürdigkeit von signierten Commits steht damit in Frage.

Welche Auswirkungen ein Kollisionsangriff hat, ist in vielen Fällen nur mit einer genaueren Analyse feststellbar. So gibt es kryptographische Konstruktionen, in denen Kollisionen keine Rolle spielen und nur sogenannte Preimage-Angriffe vermieden werden müssen. Bei einem Preimage-Angriff kann ein Angreifer für einen bestehenden Hash eine gültige Eingabe finden. Preimage-Angriffe sind bislang für SHA-1 und selbst für MD5 unrealistisch.

Alternativen SHA-2, SHA-3 und BLAKE2

Klar ist: Von wenigen Ausnahmefällen abgesehen, ist jetzt endgültig der Zeitpunkt, SHA-1 möglichst überall zu entsorgen. Als Alternativen stehen SHA-2, SHA-3 und Blake bereit. Die SHA-2 gibt es schon länger, sie haben sich anders als zeitweise erwartet als sehr resistent gegen Angriffe erwiesen. Allerdings sind sie verwundbar für sogenannte Length-Extension-Angriffe. In den meisten Fällen spielt das jedoch keine Rolle. Nach den Angriffen im Jahr 2005 rief die US-Behörde Nist einen Wettbewerb aus, dessen Ergebnis die SHA-3-Funktionen waren. Wem es auf besonders gute Performance ankommt, der kann auch die Funktion BLAKE2 nutzen: Die ist schneller als MD5 und SHA-1 und trotzdem sehr sicher.

In 90 Tagen will Google eine Software veröffentlichen, mit der sich jeder selbst SHA-1-Kollisionen erzeugen kann. Allerdings sollte man sich darauf nicht verlassen. Je nach Situation ist es möglich, die jetzt bereits veröffentlichten Kollisionen zu nutzen, um weitere kollidierende Dateien zu erzeugen. Weiterhin hat Google einen Test bereitgestellt, bei dem man Dateien hochladen und auf Hinweise von Kollisionsangriffen prüfen kann. Dateien, die mittels Gmail verschickt werden, prüft Google automatisch. Ob dieser Test zuverlässig ist oder nur den speziellen Angriff erkennt, ist nicht ganz klar. Wirklich verlassen sollte man sich darauf eher nicht. Wer SHA-1 noch einsetzt und sich auf dessen Sicherheit verlässt, sollte umgehend auf eine sichere Hashfunktion umstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 8,99€
  2. 7,99€
  3. 24,49€
  4. 22,99€

bombinho 26. Feb 2017

Allerdings ist die ganze folgende Verschluesselung sinnlos, wenn ich die S-Box kenne...

My1 25. Feb 2017

lol, mach ich ähnlich erstmal das passwort mit nen custom salt der im acc steht und nen...

Xiut 24. Feb 2017

Und was genau hat das mit dem Thema zutun? Es ist ja kein Problem, dass man in eine...

My1 24. Feb 2017

gut da war es etwas zu extrem aber die wahrscheinlichkeit geht extrem gegen 1. konztept...

Anonymer Nutzer 24. Feb 2017

wenn nicht jeder commit eines repositories per gpg signiert ist, ist es doch vollkommen...


Folgen Sie uns
       


Xbox Series X und S - Fazit

Im Video zum Test der Xbox Series X und S zeigt Golem.de die Hardware und das Dashboard der Konsolen von Microsoft.

Xbox Series X und S - Fazit Video aufrufen
CoD, Crysis, Dirt 5, Watch Dogs, WoW: Radeon-Raytracing kann auch schnell sein
CoD, Crysis, Dirt 5, Watch Dogs, WoW
Radeon-Raytracing kann auch schnell sein

Wer mit Raytracing zockt, hat je nach Titel mit einer Radeon RX 6800 statt einer Geforce RTX 3070 teilweise die besseren (Grafik-)Karten.
Ein Test von Marc Sauter


    Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
    Librem Mini v2 im Test
    Der kleine Graue mit dem freien Bios

    Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
    Ein Test von Moritz Tremmel

    1. Purism Neuer Librem Mini mit Comet Lake
    2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
    3. Librem Mini Purism bringt NUC-artigen Mini-PC

    Smarte Lautsprecher im Vergleichstest: Amazon hat den Besten
    Smarte Lautsprecher im Vergleichstest
    Amazon hat den Besten

    Echo 4, Nest Audio, Echo Dot 4 oder Homepod Mini? Bei smarten Lautsprechern für maximal 100 Euro ist die Größe entscheidend.
    Ein Test von Ingo Pakalski

    1. Smarter Lautsprecher Google zeigt Nest Audio für 100 Euro
    2. Harman Kardon Portabler Lautsprecher mit Google Assistant und Airplay 2
    3. Smarter Lautsprecher Google bestätigt offiziell neuen Nest-Lautsprecher

      •  /