Sieger im Kryptographie-Wettbewerb steht fest

Das National Institute of Standards and Technology (NIST) hat einen Nachfolger für den Secure Hash Algorithm2 (SHA-2) gekürt: Keccak, eine Teamarbeit des Italieners Guido Bertoni von STMicroelectronics und der drei Belgiern Joan Daemen (STMicroelectronics), Michaël Peeters (NXP Semiconductors) und Gilles Van Assche (STMicroelectronics) ist der neue Standard SHA-3. In einem knapp 100 Seiten starken PDF-Dokument beschreiben die Autoren Details zum Algorithmus.

In einem bereits Anfang November 2007 gestarteten Wettbewerb hatte die US-Bundesbehörde für Standardisierungsprozesse um Vorschläge für einen neuen Kryptostandard gebeten. Anlass für diese Initiative war, dass 2005 die ersten erfolgreichen Angriffe auf SHA-1 die Krypto-Gemeinde überraschten. Damals wurde allgemein befürchtet, dass sich diese Angriffe ausweiten und das Ende der ganzen SHA-Familie bedeuten könnten. Insgesamt 64 Hash-Algorithmen wurden eingereicht. Diese fünf Finalisten schafften es bis in die dritte und letzte Runde des Wettbewerbs: BLAKE, Grøstl, JH, Keccak and Skein. Mit der Benennung von Keccak als Sieger ist das fünf Jahre lange Auswahlverfahren nun abgeschlossen.

Sichere Hashverfahren werden insbesondere für digitale Signaturen und Integritätschecks von Software benötigt. Derzeit gängige Verfahren wie SHA-1, SHA-2 und SHA-512 beruhen alle auf dem gleichen Konzept, das schon MD4/MD5 zugrunde lag. Angriffe, die gegen MD5/SHA1 erfolgreich sind, können daher in ähnlicher Form auch gegen SHA-512 funktionieren. Bislang wurde diese Schwäche durch immer längere Hash-Werte und damit immer größere Schlüsselräume kompensiert. SHA-3 bringt nun ein ganz neues Verfahren, sodass die bekannten Angriffe nicht funktionieren werden. Dies hob auch Tim Polk, Sicherheitsexperte am NIST, in einer Begründung der Entscheidung hervor: "Keccak hat den zusätzlichen Vorteil, nicht in der gleichen Weise angreifbar zu sein, wie es SHA-2 unter Umständen ist. Ein Angriff, der bei SHA-2 funktionieren könnte, würde höchstwahrscheinlich an Keccak scheitern, weil die beiden Algorithmen so unterschiedlich sind."

Anerkennung für den Gewinner des Wettbewerbs gibt es auch von direkten Mitstreitern: Christian Rechberger, Associate Professor an der mathematischen Fakultät der Technical University of Denmark, Lyngby und Co-Designer des Konkurrenten Groestl, sagte gegenüber heise online: "Ich finde, Keccak ist eine sehr gute Wahl." Als wie sicher das neue Verfahren sich in der Praxis erweisen wird, kann man aus Sicht von Rechberger allerdings jetzt noch nicht sicher sagen: "Einziger Wermutstropfen ist jedoch, dass mit dem neuen SHA-3 ähnlich wie bei SHA-2 wieder keine Sicherheitsbeweise gegen genau jene Angriffe möglich scheinen, die MD5 und SHA-1 das Leben schwer machen. Ob das relevant ist, werden wir wohl erst in 10 Jahren wissen."

Auch der US-amerikanische Kryptographie-Experte Bruce Schneier, Co-Autor des Finalisten Skein, lobte die NIST-Entscheidung als gute Wahl. Er schreibt im jüngsten Beitrag seines Sicherheits-Blogs "Ich bin froh, dass SHA-3 der SHA-2-Familie gar nicht ähnelt; etwas völlig Anderes - das ist gut." In einem etwas älteren, recht kritischen Blogbeitrag hatte Schneier noch Ende September den Wunsch geäußert, das NIST möge den Wettbewerb ohne Auswahl eines Gewinners beenden. (dwi)