PGP setzt auf stärkere SHA-Algorithmen [Update]

Die PGP Corporation hat bekannt gegeben, dass sie in ihrer Verschlüsselungssoftware PGP jetzt zu den stärkeren Hash-Algorithmen SHA-256 und SHA-512 migrieren will. Damit reagiert man in Palo Alto auf den kürzlich bekannt gewordenen Angriff auf SHA-1. "Obwohl wir das Paper bislang nicht gesehen haben, zweifeln wir nicht daran, dass die chinesische Gruppe Erfolg hatte, weil wir ihre Arbeit schon zuvor gesehen haben", sagte John Callas, CTO der PGP-Corporation.

SHA wird als so genannte Hash-Funktion von vielen Applikationen eingesetzt, um die Echtheit von Daten zu bestätigen. Insbesondere viele Verfahren zur digitalen Signatur setzen unter anderem SHA ein. Eine Hash-Funktion erzeugt aus einem Datensatz eine vergleichsweise kurze Zahl, den Hash-Wert, der als eine Art Fingerabdruck benutzt wird. Stimmt der abgespeicherte Hash-Wert des Originals mit dem der vorliegenden Kopie überein, geht man davon aus, dass die Daten gleich beziehungsweise unverändert sind. Gelingt es jedoch, einen zweiten Datensatz zu erstellen, der den gleichen Hash-Wert erzeugt -- also den gleichen Fingerabdruck hat -- dann ist das Verfahren geknackt. Angreifer könnten Daten manipulieren, ohne dass es über den Hash-Wert bemerkt würde.

Offenbar kommt der Schritt zu stärkeren Hash-Algorithmen bei PGP aber nicht unerwartet oder gar übereilt: Das Vorhaben ist bereits seit dem vergangenen Jahr in Planung, als Schwachstellen in den Hash-Algorithmen SHA-0 und MD5 bekannt wurden. Seit September 2004 arbeitet man daran, von SHA-1 auf SHA-256 und SHA-512 zu wechseln, während man eine "Interoperabilität mit bestehender Software" beibehält.

Werner Koch, Maintainer der freien PGP-Alternative GnuPG, sieht indes keinen akuten Handlungsbedarf. Zwar äußerte er seine Besorgnis darüber, dass die Ergebnisse der Chinesen eine völlig neue Klasse von Angriffen ermöglichen könnten, aber von überstürzten Maßnahmen halte er nichts. Zum einen müsse man bestehende Standards erfüllen; zum anderen sei es nicht klar, inwieweit überhaupt ein übereilter Umstieg auf stärkere oder andere Algorithmen wie SHA-256 oder Whirlpool einen Sicherheitsgewinn bringt -- schließlich seien diese potenziellen Alternativen deutlich weniger erforscht.

Allerdings unterstützt GnuPG seit Version 1.2.2 SHA-256, -384 und -512 bereits Lesezugriff (Signatur prüfen) und seit der Entwicklerversion 1.3.3 auch Schreibzugriff (signieren und prüfen) für SHA-256. In der aktuellen stabilen Version 1.4.0 sind SHA-256, -384 und -512 vollständig unterstützt, was sich mit dem Befehl "setpref" im Edit-Menü oder über die "gpg.conf"-Datei einstellen lässt. Koch weist aber darauf hin, dass sich SHA-256 bislang nur mit RSA-Schlüsseln und nicht mit DSS-Schlüsseln verwenden lässt. "Sobald das NIST DSS um Schlüssel größer 1024 Bit erweitert und SHA-2 erlaubt, werden wir das umgehend unterstützen. Erst dann macht es eigentlich Sinn, SHA-256 als Standardeinstellung für neue Schlüssel anzugeben", sagte Koch gegeüber heise Security.

Siehe dazu auch: (pab)

• Ankündigung der PGP Corporation

• Hash mich; Konsequenzen der erfolgreichen Angriffe auf SHA-1 auf heise Security
• Kryptoverfahren SHA-1 geknackt auf heise Security
• SHA-1 geknackt, Nachfolger gesucht auf heise Security