Neue Hashes braucht das Land

Der Hash-Wettbewerb des NIST um den Nachfolgestandard SHA-3 ist in eine neue Phase gegangen. Nun müssen sich die vielzähligen Einreichungen der Forscherteams den kritischen Analysen stellen.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Christiane Rütten

Das Rennen um den künftigen offiziellen Hash-Algorithmus des National Institute of Standards and Technology (NIST) ist in eine neue Phase gegangen. In der Nacht zum 1. November endete die Einreichungsfrist für neue Vorschläge. Da sich formelle Prüfungen des NIST noch über mehrere Wochen hinziehen werden, sind bislang noch keine offiziellen Angaben über die Einreichungen erhältlich, doch in Forscherkreisen werden 30 bis 50 Einreichungen erwartet. 16 Entwicklerteams haben bis dato selbstständig Details zu ihren Vorschlägen veröffentlicht. Eine ständig wachsende Liste befindet sich im Wiki des Instituts für Angewandte Informationsverarbeitung und Kommunikation (IAIK) der TU Graz.

Das NIST hatte 2007 zur Einreichung neuer Hash-Designs aufgerufen, nachdem die weit verbreitete Hash-Funktion SHA-1 als unsicher in Verruf geraten war. Auch SHA-2 genießt wegen der starken Ähnlichkeit zu SHA-1 nicht mehr das volle Vertrauen der Kryptogemeinde, obwohl bislang keine Schwächen bekannt sind. Daher forschen weltweit Kryptologen an einer neuen Generation von Hash-Funktionen für den Nachfolgestandard "SHA-3". Nach bisherigen Planungen soll die endgültige Entscheidung für den Nachfolger 2012 fallen.

Heiß diskutiert ist derzeit die Einreichung Skein, eines Gemeinschaftsprojekts von Bruce Schneier – Mitentwickler des AES-Finalisten Twofish – und Akademikern und Entwicklern von Firmen wie Intel und Microsoft. Der Algorithmus arbeitet offenbar sehr schnell, verwendet jedoch ähnliche Grundoperationen wie SHA-2. Ebenfalls nennenswert ist die Einreichung MD6 des Kryptologen Ron "Das R in RSA" Rivest, der bereits maßgeblich an den Hashes MD4 und MD5 sowie dem AES-Finalisten RC6 beteiligt war. MD6 fällt durch sein konservatives Design und seine vergleichsweise geringe Geschwindigkeit auf sowie durch seinen Baum-Modus als Standardbetriebsart, welcher auf parallele Prozessoren ausgelegt ist.

Auch europäische Teams warten mit bemerkenswerten Vorschlägen auf. Grøstl ist die Einreichung eines dänisch-österreichischen Teams, das bereits den AES-Finalisten Serpent beisteuerte und Erfahrung bei Design und Analyse von modernen Hashfunktionen vorweisen kann. Von dem Team stammen auch wegweisende Angriffe auf GOST und SHA-1. "Der Grøstl-Algorithmus kann im Gegensatz zu vielen anderen mit beweisbaren Argumenten für die Sicherheit gegen verschiedene Angriffsklassen aufwarten. Trotzdem erreicht er etwa die Geschwindigkeit von SHA-2", erläuterte Mitentwickler Christian Rechberger gegenüber heise Security. Auch von der belgischen Forschungsgruppe des AES-Gewinners Rijndael werde eine interessante Einreichung erwartet, doch zu ihr sind bislang keine Informationen an die Öffentlichkeit gedrungen.

Grundsätzlich sind im Vergleich zum AES-Wettbewerb des NIST, der vor über zehn Jahren in einer ähnlichen Phase war, einige Unterschiede festzustellen: Die Hauptmotivation für den Umstieg von DES auf AES bestand weniger in strukturellen Schwächen des DES-Algorithmus, als vielmehr in dessen kurzer Schlüssellänge. Bei SHA-3 stehen hauptsächlich die strukturellen Schwächen der aktuellen Hash-Algorithmen im Vordergrund.

Viele Einreichungen dürften von unerfahrenen Entwicklern stammen. Der WaMM-Hash wurde bereits nach weniger als 24 Stunden geknackt. Dies ist freilich ein eindeutiges Ausschlusskriterium, doch die endgültigen Kriterien zur Kürung eines Gewinners stehen bislang noch nicht fest. Neben der Auswahl der besten Kandidaten werden also auch die Kriterien, an denen sie zu messen sind, in den kommenden Monaten und Jahren heiß diskutiert werden. Als nächster Schritt steht die erste "SHA-3 Candidate-Conference" im Februar 2009 an.

Siehe dazu auch:

(cr)