Konsequenzen der erfolgreichen Angriffe auf SHA-1
Seite 2: Keine Panik
Keine Panik
Trotzdem gehen Krypto-Experten wie Schneier und Kaliski davon aus, dass man SHA-1 durchaus noch recht unbesorgt einsetzen kann. Das rührt daher, dass auch 269 noch eine recht große Zahl ist. Auf Spezialhardware kann man eine Hash-Operation in etwa 40 Takten ausführen [1]. Selbst wenn man diese von 33 MHz auf 4 GHz beschleunigen könnte, würde sie immer noch 170.000 Jahre benötigen. Selbst ein Riesen-Cluster aus solchen Maschinen könnte innerhalb eines realistischen Zeitraums weniger Jahre keine Kollision finden. Der überraschende Durchbruch von Wang et al. führt jedoch vor Augen, dass man sich auf einem solchen Polster nicht länger ausruhen kann.
Der zweite Grund ist deshalb fast noch wichtiger: Um beispielsweise einen digital signierten Vertrag nachträglich zu fälschen, müsste der Angreifer einen Preimage-Angriff durchführen. Er müsste also zum vorgegebenen Hash-Wert des echten Vertrags einen zweiten, gefälschten Vertrag finden, der denselben Hash-Wert ergibt. Das erfordert schon prinzipiell sehr viel mehr Operationen (2160). Und alle bekannten Angriffe -- nach bisherigem Kenntnisstand auch der von Wang et al. -- beziehen sich nur auf Kollisionen. Verfahren, die die Anzahl der benötigten Operationen für Preimage-Angriffe deutlich reduzieren, sind bisher nicht bekannt.
Damit sind bereits existierende digitale Unterschriften und solche, bei denen man das Dokument selbst erstellt, erst einmal nicht gefährdet. Mit Kollisionen, die sich in realistischer Zeit errechnen lassen, sind aber durchaus Angriffe auf digitale Signaturen möglich, wenn der Angreifer den Hash-Wert des Originals frei bestimmen kann. Das illustriert das folgende, etwas vereinfachte Beispiel.
Falschspiel beim Vertragspoker
Ein intelligenter Angreifer erstellt zwei Verträge. Einen mit dem richtigen Preis für das Haus und einen mit einer sehr viel höheren Summe. Da er weiß, dass er mit 2x Hash-Operationen eine Kollision finden kann, überlegt er sich x kosmetische Änderungen wie zusätzliche Leerzeichen am Zeilenende. Indem er alle möglichen Kombinationen der Änderungen durchführt, erzeugt er jeweils 2x Versionen der beiden Verträge, unter denen sich mit hoher Wahrscheinlichkeit ein Paar mit gleichem Hash-Wert findet. Lässt er sein Opfer dann das Exemplar mit dem richtigen Kaufpreis unterschreiben, kann er im Nachhinein den Text ersetzen, ohne dass sich der Hash-Wert ändert und damit vor Gericht ziehen.
Der neue Angriff auf SHA-1 reduziert den Aufwand eines Betrügers für einen ähnlichen Kollisionsangriff unter Umständen um das Zweitausendfache, bleibt aber zum Glück immer noch außerhalb das real Machbaren. Angriffe auf SHA-1-Signaturen würden beispielsweise gelöschte Absätze in Word-Dateien nutzen, um Blocks mit zufälligen Variationen in ein Dokument einzufügen. Grundsätzlich ist es eine gute Idee, vor dem digitalen Signieren eines Dokuments immer noch selbst eine kosmetische Änderung vorzunehmen.
Auch durch Preimage-Angriffe ließen sich im Übrigen Verfahren nicht knacken, die erst digital signieren und dann chiffrieren. Wer nicht an den Klartext herankommt, kann nicht einmal eine MD4-Summe fälschen. Daher bleiben SSH und IPSec sicher. Unberührt bleiben auch so genannte HMAC-Summen. Dies sind Hashes, die sich nur bei Kenntnis eines geheimen Schlüssels berechnen lassen. Sie sind so konstruiert, dass ein Angreifer ohne das Geheimnis keine Kollisionen berechnen kann.
Die SHA-1-Attacken haben auch keine Bedeutung für die Sicherheit von Passwörtern, die in vielen Systemen nur als Hash-Werte abgespeichert werden. Die Berechnung eines Passworts zu einem vorgegebenem Hash-Wert bleibt vorerst aussichtslos, dort bleiben Wörterbuchattacken die größte Bedrohung.
