Hash-Funktion SHA-1 in Bedrängnis

Kryptoexperten haben auf der Konferenz Crypto 2006 eine erweiterte Angriffsmethode gegen eine reduzierte Variante des Hash-Algorithmus SHA-1 demonstriert. Bei der neuen Methode handelt es sich nun erstmals um einen Angriff, bei dem zumindest ein Teil der Nachricht beispielsweise als Klartext frei wählbar ist. Bisherige Ansätze, etwa der aufsehenerregende Kollisionsangriff von Xiaoyun Wang und ihren Mitarbeitern, konnten lediglich nahezu vollständig verschiedene Hash-Zwillinge gleicher Länge produzieren, die aus sinnlosem Kauderwelsch bestehen.

Die Demonstration beschränkte sich zwar lediglich auf die reduzierte SHA-1-Variante mit 64 Schritten, lässt sich jedoch nach Einschätzung der Experten auch auf die reguläre 80-Schritt-Variante verallgemeinern. Damit müsste auch SHA-1 als grundsätzlich geknackt angesehen werden. Christian Rechberger, der den neuen Angriff zusammen mit seinem Kollegen Christophe De Cannière entwickelte, erklärte gegenüber heise Security, dass sich in ihren Versuchen bis zu einem Viertel der Nachricht frei wählen ließ. Die restlichen 75 Prozent sind nach wie vor durch den Angriff vorgegeben. Rechberger vermutet jedoch, dass sich der frei wählbare Anteil durch weitere Optimierung des Angriffs noch steigern lässt.

Mit dem neuesten Vorstoß erreichen nun zumindest die Angriffe gegen schrittreduzierte SHA-1-Varianten dasselbe Niveau wie beispielsweise die Angriffe gegen den älteren MD5-Algorithmus. Der bisher erfolgreichste SHA-1-Angriff nach Wang blieb für die Praxis bislang folgenlos, da die produzierten Hash-Zwillinge stets völlig unleserlich waren. Mit der nun vorgestellten Methode ließen sich jedoch beispielsweise zwei HTML-Dokumente mit einem langen Kauderwelsch-Teil nach dem abschließenden -Tag produzieren, die trotz leicht unterschiedlichem HTML-Teil dank des angepassten Anhängsels den gleichen Hash-Wert besitzen.

Der SHA-1-Algorithmus ist immer noch der am weitesten verbreitete Hash-Algorithmus überhaupt, obwohl sich nun schon länger rasante Fortschritte bei den SHA-1-Angriffen abzeichnen. Noch steht die erfolgreiche Verallgemeinerung der neuen Angriffsmethode auf das unreduzierte Standard-SHA-1 aus, doch nun ist es höchste Zeit, einen geeigneten Nachfolger zu finden. Ein möglicher Weg besteht in einer öffentlichen Ausschreibung, wie sie 1997 beim Nachfolger des schwächelnden Verschlüsselungsalgorithmus DES erfolgreich praktiziert wurde. Bis ein neuer Standard gefunden wurde, können sicherere Alternativen wie SHA-256 oder SHA-512 zumindest die Latte für Angriffe höher legen. Durch die längeren Hash-Werte sind die eigentlichen Kollisionsberechnungen ungleich aufwendiger als beim 160-bittigen Vorgänger.

Siehe dazu auch: (cr)

• Hash mich, Konsequenzen der erfolgreichen Angriffe auf SHA-1, Know-how-Artikel von heise Security zu den Angriffen von Wang et al.