Kryptoverfahren SHA-1 geknackt

Der Kryptopapst Bruce Schneier erklärt in seinem Weblog den Secure Hash Algorithm für geknackt. "SHA-1 ist geknackt. Nicht eine Version mit reduzierter Rundenzahl. Nicht eine vereinfachte Version. Das echte Verfahren (the real thing)", heißt es knapp und prägnant.

SHA wird als so genannte Hash-Funktion von vielen Applikationen eingesetzt, um die Echtheit von Daten zu bestätigen. Insbesondere viele Verfahren zur digitalen Signatur setzen unter anderem SHA ein. Eine Hash-Funktion erzeugt aus einem Datensatz eine vergleichsweise kurze Zahl, den Hash-Wert, der als eine Art Fingerabdruck benutzt wird. Stimmt der abgespeicherte Hash-Wert des Originals mit dem der vorliegenden Kopie überein, geht man davon aus, dass die Daten gleich beziehungsweise unverändert sind. Gelingt es jedoch, einen zweiten Datensatz zu erstellen, der den gleichen Hash-Wert erzeugt -- also den gleichen Fingerabdruck hat -- dann ist das Verfahren geknackt. Angreifer könnten Daten manipulieren, ohne dass es über den Hash-Wert bemerkt würde.

Das soll dem chinesischen Team Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu gelungen sein. Sie haben ohne viel Trara ein Paper in Umlauf gebracht, das ihre neuesten Erkenntnisse zusammenfasst. Schneier schränkt zwar noch ein, dass er keine Details habe und deshalb nicht endgültig sagen könne, ob das alles echt sei. Aber der Kryptoexperte -- immerhin selbst Autor der populären Kryptoverfahren Blowfish und Twofish -- hält die Ergebnisse für so überzeugend, dass er sie als wichtigen Durchbruch in der Kryptanalyse und als Todesstoß für den SHA-Einsatz im Bereich digitaler Signaturen einstuft.

Dabei sind die Ergebnisse noch relativ weit von gezielten Manipulationen an SHA-1-gesicherten Daten entfernt. Statt der 2⁸⁰ Operationen, die das Ausprobieren aller Angriffsmöglichkeiten gegen SHA-1 erfordert, gelingt es den Chinesen bereits mit 2⁶⁹ Operationen eine Kollision -- also zwei Datensätze mit gleichem Hash-Wert -- zu finden. So reduziert der Angriff den erforderlichen Aufwand um Größenordnungen. Und auch wenn noch kein praktikables Verfahren für Angriffe bekannt ist, sorgt dies für einige Aufregung in der Krypto-Gemeinde.

Der Durchbruch kam nicht ganz überraschend. Bereits im August 2004 hatte ein ähnlich zusammengesetztes chinesisches Team einen ersten Erfolg bei Angriffen gegen SHA publiziert. Die damaligen Ergebnisse sorgten zwar für kurze Unruhe, wurden dann aber allgemein als ganz nett, aber nicht wirklich beunruhigend eingestuft.

Siehe dazu auch: (ju)

• SHA-1 Broken von Bruce Schneier
• Verunsicherung um Sicherheit von Kryptoalgorithmen auf heise Security