zurück zum Artikel

Konsequenzen der erfolgreichen Angriffe auf SHA-1

Dr. Reinhard Wobst, JĂŒrgen Schmidt

Nahezu alle sicherheitsrelevanten Anwendungen nutzen derzeit die Hash-Funktion SHA-1. Sie kommt bei digitalen Signaturen und IntegritÀtschecks von Software zum Einsatz. Ist das alles gefÀhrdet und was kommt als Ersatz in Frage?

Um realistisch einzuschĂ€tzen, was die Angriffe der chinesischen Forschergruppe [1] bedeuten, ist etwas Hintergrundwissen erforderlich. Eine Hash-Funktion erzeugt aus einem Datensatz eine vergleichsweise kurze Zahl, den Hash-Wert, der als eine Art Fingerabdruck benutzt wird. Stimmt der abgespeicherte Hash-Wert des Originals mit dem der vorliegenden Kopie ĂŒberein, geht man davon aus, dass die Daten gleich beziehungsweise unverĂ€ndert sind.

Die QualitÀt einer kryptographischen Hash-Funktion beurteilt man vor allem nach ihrer WiderstandsfÀhigkeit gegen zwei Typen von Angriffen:

  1. Preimage-Angriff: Wie schwer ist es, zu einem vorgegebenen Hash-Wert eine Nachricht zu erzeugen, die denselben Hash-Wert ergibt?
  2. Kollisionsangriff: Wie schwer ist es, zwei verschiedenen Nachrichten mit gleicher PrĂŒfsumme zu finden?

Beide Angriffe lassen sich theoretisch mit Brute Force - also roher (Rechen-)Gewalt - realisieren. SHA-1 beispielsweise bildet Hash-Werte mit 160 Bit. Es gibt somit insgesamt nur 2160 verschiedene, und viele DatensĂ€tze ergeben folglich denselben Hash-Wert. Hat man einen vorgegebenen Hash-Wert und probiert 2160 zufĂ€llige Nachrichten durch, ist die Wahrscheinlichkeit, eine mit dem gleichen zu erhalten, sehr hoch. Dieser Vorgang wĂŒrde mit reeller Hardware allerdings weit ĂŒber 100 Millionen Jahre dauern.

Will man nur eine Kollision finden, also zwei Nachrichten mit dem gleichen aber beliebigen Hash-Wert, muss man fĂŒr Ă€hnliche Erfolgschancen nur 280 zufĂ€llig ausgewĂ€hlte Nachrichten durchprobieren. Preimage-Angriffe auf SHA-1 erfordern damit nicht doppelt soviele Versuche, sondern 280 mal so viele Hash-Operationen wie ein Kollisionsangriff. Trotzdem liegt auch die einfache Suche nach SHA-1-Kollisionen noch weit außerhalb des technisch Machbaren.

Den enormen Unterschied zwischen dem Aufwand fĂŒr Preimage- und Kollisionsattacken veranschaulicht das Geburtstagsparadoxon [2]. Wenn Sie jemanden suchen, der am selben Tag Geburtstag hat wie Sie, mĂŒssen sie fĂŒr eine Trefferwahrscheinlichkeit von 50 Prozent 253 Leute fragen. Ist Ihnen der konkrete Geburtstag egal und Sie suchen nur zwei Personen mit dem gleichen, genĂŒgen viel weniger. Bereits bei 23 Menschen ist die Chance fĂŒnfzig Prozent, dass zwei davon am selben Tag Geburtstag haben.

Gelingt ein Angriff mit deutlich weniger Versuchen als beim Brute-Force-Ansatz, gilt das Verfahren als geknackt. Genau das ist nach Schneiers Ansicht der chinesischen Forschergruppe gelungen: Sie haben ein Verfahren entwickelt, eine Kollision statt mit 280 bereits mit 269 Operationen zu ermitteln. Das reduziert die Zahl der notwendigen Operationen um den Faktor 2048 (211).

Trotzdem gehen Krypto-Experten wie Schneier und Kaliski davon aus, dass man SHA-1 durchaus noch recht unbesorgt einsetzen kann. Das rĂŒhrt daher, dass auch 269 noch eine recht große Zahl ist. Auf Spezialhardware kann man eine Hash-Operation in etwa 40 Takten ausfĂŒhren [1] [3]. Selbst wenn man diese von 33 MHz auf 4 GHz beschleunigen könnte, wĂŒrde sie immer noch 170.000 Jahre benötigen. Selbst ein Riesen-Cluster aus solchen Maschinen könnte innerhalb eines realistischen Zeitraums weniger Jahre keine Kollision finden. Der ĂŒberraschende Durchbruch von Wang et al. fĂŒhrt jedoch vor Augen, dass man sich auf einem solchen Polster nicht lĂ€nger ausruhen kann.

Der zweite Grund ist deshalb fast noch wichtiger: Um beispielsweise einen digital signierten Vertrag nachtrĂ€glich zu fĂ€lschen, mĂŒsste der Angreifer einen Preimage-Angriff durchfĂŒhren. Er mĂŒsste also zum vorgegebenen Hash-Wert des echten Vertrags einen zweiten, gefĂ€lschten Vertrag finden, der denselben Hash-Wert ergibt. Das erfordert schon prinzipiell sehr viel mehr Operationen (2160). Und alle bekannten Angriffe -- nach bisherigem Kenntnisstand auch der von Wang et al. -- beziehen sich nur auf Kollisionen. Verfahren, die die Anzahl der benötigten Operationen fĂŒr Preimage-Angriffe deutlich reduzieren, sind bisher nicht bekannt.

Damit sind bereits existierende digitale Unterschriften und solche, bei denen man das Dokument selbst erstellt, erst einmal nicht gefÀhrdet. Mit Kollisionen, die sich in realistischer Zeit errechnen lassen, sind aber durchaus Angriffe auf digitale Signaturen möglich, wenn der Angreifer den Hash-Wert des Originals frei bestimmen kann. Das illustriert das folgende, etwas vereinfachte Beispiel.

Falschspiel beim Vertragspoker

Ein intelligenter Angreifer erstellt zwei VertrĂ€ge. Einen mit dem richtigen Preis fĂŒr das Haus und einen mit einer sehr viel höheren Summe. Da er weiß, dass er mit 2x Hash-Operationen eine Kollision finden kann, ĂŒberlegt er sich x kosmetische Änderungen wie zusĂ€tzliche Leerzeichen am Zeilenende. Indem er alle möglichen Kombinationen der Änderungen durchfĂŒhrt, erzeugt er jeweils 2x Versionen der beiden VertrĂ€ge, unter denen sich mit hoher Wahrscheinlichkeit ein Paar mit gleichem Hash-Wert findet. LĂ€sst er sein Opfer dann das Exemplar mit dem richtigen Kaufpreis unterschreiben, kann er im Nachhinein den Text ersetzen, ohne dass sich der Hash-Wert Ă€ndert und damit vor Gericht ziehen.

Der neue Angriff auf SHA-1 reduziert den Aufwand eines BetrĂŒgers fĂŒr einen Ă€hnlichen Kollisionsangriff unter UmstĂ€nden um das Zweitausendfache, bleibt aber zum GlĂŒck immer noch außerhalb das real Machbaren. Angriffe auf SHA-1-Signaturen wĂŒrden beispielsweise gelöschte AbsĂ€tze in Word-Dateien nutzen, um Blocks mit zufĂ€lligen Variationen in ein Dokument einzufĂŒgen. GrundsĂ€tzlich ist es eine gute Idee, vor dem digitalen Signieren eines Dokuments immer noch selbst eine kosmetische Änderung vorzunehmen.

Auch durch Preimage-Angriffe ließen sich im Übrigen Verfahren nicht knacken, die erst digital signieren und dann chiffrieren. Wer nicht an den Klartext herankommt, kann nicht einmal eine MD4-Summe fĂ€lschen. Daher bleiben SSH und IPSec sicher. UnberĂŒhrt bleiben auch so genannte HMAC-Summen. Dies sind Hashes, die sich nur bei Kenntnis eines geheimen SchlĂŒssels berechnen lassen. Sie sind so konstruiert, dass ein Angreifer ohne das Geheimnis keine Kollisionen berechnen kann.

Die SHA-1-Attacken haben auch keine Bedeutung fĂŒr die Sicherheit von Passwörtern, die in vielen Systemen nur als Hash-Werte abgespeichert werden. Die Berechnung eines Passworts zu einem vorgegebenem Hash-Wert bleibt vorerst aussichtslos, dort bleiben Wörterbuchattacken die grĂ¶ĂŸte Bedrohung.

Trotz aller EinschrĂ€nkungen bezĂŒglich der praktischen Realisierbarkeit der Angriffe lassen es die Erfolge der Krypto-Analyse ratsam erscheinen, sich auf die Suche nach potenziellen Nachfolgern fĂŒr SHA-1 zu machen. Burt Kaliski, Leiter der Forschungsabteilung von RSA, rechnet innerhalb der nĂ€chsten fĂŒnf bis zehn Jahre mit mit ersten erfolgreichen Preimage-Angriffen auf SHA-1.

Die bisher kaum eingesetzten Weiterentwicklungen von SHA-1 mit lĂ€ngeren Hash-Werten SHA-224, SHA-256, SHA-384 und SHA-512 stehen in der Erbfolge weit oben. FĂŒr sie spricht, dass sie neben SHA-1 die einzigen Hash-Funktionen sind, die das amerikanische National Institute of Standards and Technology (NIST [4]) in seinen Federal Information Processing Standards [5] spezifiziert hat. Medienberichten [6] zu Folge hat das NIST auch kurz vor dem Bekanntwerden der neuen SHA-1-Angriffe eröffnet, man plane demnĂ€chst SHA-1 durch SHA-256 und SHA-512 abzulösen.

Welche Algorithmen in Deutschland als geeignet fĂŒr qualifizierte elektronische Signaturen gelten, wird vom BSI festgelegt und von der Regulierungsbehörde fĂŒr Telekommunikation veröffentlicht [7]. Die Version fĂŒr 2004 erachtet neben der SHA-Familie auch den europĂ€ischen Algorithmus RIPEMD-160 als "bis Ende 2009 fĂŒr die Anwendung bei qualifizierten elektronischen Signaturen geeignet".

Ob SHA-256/512 aber tatsĂ€chlich die richtige Wahl fĂŒr eine langfristige Perspektive sind, bezweifeln manche Kryptanalytiker. Denn mehr Sicherheit bieten sie hauptsĂ€chlich durch lĂ€ngere Hash-Werte. Da sie jedoch zur selben Familie wie SHA-1 gehören, sind sie unter UmstĂ€nden gegen dieselben Attacken anfĂ€llig. Denn bisher haben sich die Kryptanalytiker mit ihnen viel weniger beschĂ€ftigt als mit SHA-1. Wenn sich das jetzt Ă€ndert, könnten durchaus neue SchwĂ€chen ans Licht kommen.

Letzteres gilt auch fĂŒr den europĂ€ischen Algorithmus RIPEMD-160, der sich nicht gegen SHA-1 durchsetzen konnte. Die diesem Verfahren zu Grunde liegende Variante RIPEMD wurde bereits 2004 geknackt. Das noch hĂ€ufig eingesetzte MD5 haben die chinesischen Forscher bereits 2004 ĂŒberwunden [8].

Dass ein lĂ€ngerer Hash-Wert nicht automatisch mehr Sicherheit bedeutet, gilt leider auch fĂŒr das AneinanderhĂ€ngen zweier verschiedener Hash-Werte ĂŒber die gleiche Nachricht, etwa von MD5 und SHA-1. Alternativen, die Blockchiffres verwenden, sind in der Regel zu langsam.

Ein ebenfalls in den letzten Tagen öfter angefĂŒhrter Algorithmus ist Whirlpool [9]. Er erzeugt Hash-Werte mit 512 Bit mit einer eigenen Block-Chiffre namens W und ist dabei mindestens zweimal langsamer als SHA-1. Des Weiteren ist er kaum zwei Jahre alt und noch wenig untersucht.

Die Frage der Thronfolger ist also lÀngst nicht beantwortet. Vielleicht klÀrt sie sich ja auch erst in einem Àhnlichen Verfahren wie bei der Ablösung des in Ungnade gefallenen DES. Dort errang der Algorithmus Rijndael bei einer Ausschreibung des NIST die Krone des Advanced Encryption Standard (AES).

[1] Comparative Analysis of the Hardware Implementations of Hash Functions SHA-1 and SHA-512 [11] (PDF) (ju [12])

URL dieses Artikels:
https://www.heise.de/-270648

Links in diesem Artikel:
[1] https://www.heise.de/news/Kryptoverfahren-SHA-1-geknackt-135372.html
[2] http://de.wikipedia.org/wiki/Geburtstagsparadoxon
[3] #lit-u2
[4] http://csrc.nist.gov/
[5] http://csrc.nist.gov/CryptoToolkit/tkhash.html
[6] http://www.fcw.com/fcw/articles/2005/0207/web-hash-02-07-05.asp
[7] http://www.regtp.de/tech_reg_tele/in_06-02-02-00-00_m/03/index.html
[8] https://www.heise.de/news/Verunsicherung-um-Sicherheit-von-Kryptoalgorithmen-100595.html
[9] http://planeta.terra.com.br/informatica/paulobarreto/WhirlpoolPage.html
[10] 
[11] http://www.east.isi.edu/~bschott/pubs/grembowski02comparative.pdf
[12] mailto:ju@ct.de

Copyright © 2005 Heise Medien