SHA-3: Nist will weniger Sicherheit

SHA-3, der neue Standard für kryptographische Hashfunktionen, soll eigentlich in Kürze in einer finalen Version veröffentlicht werden. Doch jetzt gibt es heftige Diskussionen um den Standardisierungsprozess. Ursache sind gravierende Änderungspläne der US-Standardisierungsbehörde Nist (National Institute of Standards and Technology), die die Sicherheit deutlich absenken.

Vorangegangen war dem Hash-Standard ein Wettbewerb, in dem zahlreiche Kryptographen Vorschläge eingereicht hatten. Über mehrere Jahre diskutierte die Forschergemeinde auf Konferenzen die Sicherheit dieser Vorschläge, am Ende blieben fünf Kandidaten übrig. Gewinner wurde schließlich der Algorithmus Keccak, eine Entwicklung eines belgischen Teams um den Kryptographen Joan Daemen.

Doch bislang ist Keccak noch kein finaler Standard. Der Algorithmus sieht zahlreiche Varianten vor und das Nist arbeitet zurzeit daran, einen bestimmten Satz von Parametern als standardisierte Variante SHA-3 festzulegen. In einem Vortrag auf der Konferenz CHES (Cryptographic Hardware and Embedded Systems) in Santa Barbara, Kalifornien, erläuterte der Nist-Mitarbeiter John Kelsey Ende August die Pläne.

Weniger Sicherheit als der Vorgänger

Sorgen bereitet einigen besonders, dass das Nist plant, einen bestimmten Parameter, die sogenannte Kapazität des Algorithmus, kürzer zu wählen als dies in der ursprünglichen Keccak-Variante vorgesehen war. Dadurch wird der Algorithmus schneller, aber auch unsicherer. Die 256-Bit-Variante von Keccak hätte damit eine Sicherheit von 128 Bit gegen Kollisionen und gegen sogenannte Preimage-Angriffe. Eine optimale Hash-Funktion hat gegen Preimage-Angriffe eine Sicherheit, die so hoch ist wie die Hash-Länge. Auch einige weitere Details des originalen Algorithmus wurden verändert, diese haben aber vermutlich keinen Einfluss auf die Sicherheit.

Der Vorwurf gegen das Nist lautet: Im Wettbewerb ausführlich untersucht wurde nur die ursprüngliche Variante von Keccak. Sämtliche Sicherheitsbetrachtungen dieser Variante seien somit bei einer Abänderung hinfällig. Auch würde SHA-3 nach den momentanen Plänen weniger Sicherheit bieten als der Vorgängerstandard SHA-2.

Auf der Mailingliste des SHA-3-Wettbewerbs versucht John Kelsey seine Entscheidung zu rechtfertigen. Die Verkleinerung der Kapazität habe er mit den Entwicklern von Keccak abgesprochen und diese hätten sie für gut befunden. Kelsey deutete aber bereits an: Wenn viele in der Community mit den Änderungen nicht einverstanden seien, würde man sie möglicherweise wieder zurücknehmen.

Auch merkte Kelsey selbstkritisch an, dass man den Prozess der Standardisierung zu wenig kommuniziert habe. Viele Kryptographen seien davon ausgegangen, nach der Verkündung des Gewinners bereits im Oktober 2012 müssten sie den weiteren Prozess nicht mehr verfolgen, da nur noch unwichtige Details zu klären seien.

Für das Nist kommt die Debatte zur Unzeit, der Ruf der Standardisierungsbehörde hat in letzter Zeit deutlich gelitten. Dokumente von Whistleblower Edward Snowden legen nahe, dass die NSA in der Vergangenheit Einfluss auf Kryptographiestandards genommen habe und absichtlich Hintertüren eingebaut worden seien. Beim Zufallsgenerator Dual_EC_DRBG ist sich die Kryptographengemeinde inzwischen fast sicher, dass eine solche Hintertür vorhanden ist. Die Herkunft der elliptischen Kurven, die das Nist 1999 zur Nutzung für digitale Signaturen und andere Verfahren standardisiert hat, ist weiterhin unklar. Anfragen hierzu beantwortet das Nist nicht.