Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Verteiltes Cracken von SHA-1

Forscher der TU Graz wollen mit einem Distributed-Computing-Projekt Schwachstellen im Hash-Algortihmus SHA-1 finden.

In Pocket speichern vorlesen Druckansicht 90 Kommentare lesen
Lesezeit: 2 Min.
Security
Von
  • Florian Müssig

Forscher der TU Graz haben ein Distributed-Computing-Projekt gestartet, das Schwachstellen im Hash-Algorithmus SHA-1 aufdecken will. Der Algorithmus kommt in vielen Internet-Anwendungen (verschlüsselte Verbindungen, E-Mails usw.) zum Einsatz. Hash-Algorithmen wie SHA-1 wenden eine Vielzahl von mathematischen Operationen auf – zum Bespiel – eine Nachricht an und erzeugen daraus idealerweise einen eindeutigen String. Kleine Änderungen an der ursprünglichen Nachricht haben große Auswirkungen auf das Ergebnis, sodass Manipulationen einfach ermittelt werden können.

Umgekehrt treten aber natürlich Kollisionen auf: Der Algorithmus erzeugt aus zwei verschiedenen Nachrichten dasselbe Ergebnis. Findet man eine solche Kollision, besteht die Möglichkeit, dass eine gefälschte Nachricht unentdeckt bleibt. Chinesische Forscher hatten bereits 2005 in einer theroetischen Arbeit gezeigt, dass man bei SHA-1 die Suche nach Kollisionen optimieren kann und dann weniger als die theoretisch nötigen 280 Versuche benötigt. Vor etwa einem Jahr wurde ein Verfahren publik, bei dem Teile der gefälschten Nachricht frei gewählt werden konnten.

Die Kryptologen der TU Graz wählten einen etwas andere Ansatz: Sie suchen nicht direkt nach Kollisionen, sondern nach Fast-Kollisionen, bei denen SHA-1 aus zwei verschiedenen Nachrichten ein sehr ähnliches Ergebnis erzeugt. Fände man zwei Fast-Kollisionen mit denselben minimalen Unterschieden, könnten diese sich gegenseitig aufheben, sodass man im Endeffekt eine echte Kollision gefunden hätte.

Für die Suche haben die Forscher nun ein Distributed-Computing-Projekt ins Leben gerufen. Als Software kommt der altbekannte Boinc-Client zum Einsatz, der auch für andere Projekte wie etwa Seti@Home verwendet wird. Wer bei der Suche nach Kollisionen mithelfen will, findet auf der Webseite des Projekts eine Anleitung.

Der Nachfolger von SHA-1 soll derweil komplett neu entwickelt werden, denn die eigentlich dafür vorgesehenen Algorithmen der SHA-2-Familie ähneln SHA-1 und könnten deshalb anfällig für dieselben Attacken sein.

Siehe dazu auch:

(mue)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten