Original-URL des Artikels: https://www.golem.de/news/hashfunktion-der-naechste-nagel-im-sarg-von-sha-1-1905-141197.html    Veröffentlicht: 13.05.2019 11:33    Kurz-URL: https://glm.io/141197

Hashfunktion

Der nächste Nagel im Sarg von SHA-1

Eigentlich wissen es alle: Die Hashfunktion SHA-1 ist tot. Forscher haben jetzt eine Methode gefunden, Angriffe auf das Verfahren noch praxisrelevanter zu machen.

SHA-1 sollte nicht mehr genutzt werden, spätestens seit Forscher im Jahr 2017 zwei Dokumente erzeugen konnten, die denselben SHA-1-Hash hatten. Zwei Forscher aus Frankreich und Singapur haben nun einen Angriff gegen die Hashfunktion konstruiert, der noch einen Schritt weiter geht.

Kollisionssicherheit ist eine der wichtigsten Eigenschaften von kryptographischen Hashfunktionen. Es soll nicht möglich sein, mit praktikablem Aufwand zwei verschiedene Eingaben zu finden, die den gleichen Hashwert erzeugen. Den Forschern vor zwei Jahren gelang genau das: Sie erzeugten zwei Dateien, die sie mit SHA-1 hashten und bekamen den gleichen Wert.

Die beiden Dateien konnten sie jedoch nicht frei bestimmen. Der neue Angriff ist ein sogenannter Chosen-Prefix-Kollisionsangriff, damit lassen sich zumindest kollidierende Dateien mit frei gewähltem Präfix ermitteln.

Für Angreifer ist das wesentlich praktikabler: 2009 zeigten Sicherheitsforscher auf dem Chaos Communication Congress einen praktischen Chosen-Prefix-Kollisionsangriff auf die Hashfunktion MD5, bei dem sie ein Zertifikat für eine Certification Authority fälschen konnten. Das wiederum ermöglichte ihnen, Zertifikate für beliebige Websites auszustellen, die vom Browser als gültig akzeptiert werden.

Nicht viel aufwendiger als ein normaler Kollisionsangriff

Die Entdecker des neuen SHA-1-Angriffs führen in ihrem Paper auch aus, dass ein solcher Angriff nicht mehr nur theoretisch durchführbar wäre. Gegenüber ZDnet sagte Thomas Peyrin, einer der Beteiligten: "Es wurde angenommen, dass 'Chosen-Prefix'-Kollisionsangriffe viel schwerer zu finden seien als klassische Kollisionen. Die beste bekannte Methode für SHA-1 benötigte 2^77 Evaluationen. Das war in der Praxis nicht relevant."

Ihre Attacke, schätzen die Forscher, benötige zwischen 2^66,9 und 2^69,4 SHA-1-Berechnungen - nicht viel mehr als ein einfacher Kollisionsangriff. Dieser kostete im Jahr 2017 etwa 100 GPU-Jahre an Rechenkapazität, für Angreifer mit Zugriff auf große Cluster von Grafikkarten durchaus ein realistisches Szenario. Derzeit arbeiten die Forscher aus Frankreich und Singapur daran, auch ihren Angriff praktisch durchzuführen und einen entsprechend kollidierenden Hashwert zu finden.

Noch nicht alle sind von SHA-1 losgekommen

Spätestens seit dem Angriff von 2017 wandten sich viele von SHA-1 ab. So kündigten etwa große Browserhersteller an, alte Versionen des TLS-Protokolls ab 2020 nicht mehr zu unterstützen, die zum Signieren von TLS-Handshakes nur die Hashfunktionen MD5 und SHA-1 nutzen. Auch die Entwickler des Versionskontrollsystems Git haben sich den Wechsel auf SHA-256 vorgenommen, jedoch immer noch nicht abgeschlossen.

"Diese Arbeit ist ein weiterer Nagel im SHA-1-Sarg", schreiben die Forscher in ihrem Papier. Auch wenn alle es schon längst besser gewusst haben sollten, wird es - ein weiteres Mal - Zeit, von SHA-1 wegzukommen.  (abi)


Verwandte Artikel:
Von SHA-1 auf SHA-2: Zweiter Patch für die Windows-Update-Umstellung erschienen   
(10.04.2019, https://glm.io/140596 )
Hashfunktion: Gits langer Weg zu SHA-256   
(03.02.2019, https://glm.io/139145 )
Hash-Algorithmus: Microsoft wechselt für Windows-Updates auf SHA-2   
(20.02.2019, https://glm.io/139509 )
Zertifikate: Google wirft Wosign und Startcom endgültig raus   
(10.07.2017, https://glm.io/128830 )
Hashfunktion: Der schwierige Abschied von SHA-1   
(30.03.2017, https://glm.io/127041 )

© 1997–2019 Golem.de, https://www.golem.de/