Kryptographie: NIST will angeblich Sicherheit von SHA-3 schmälern

Forscher werfen dem NIST vor, den SHA-3-Algorithmus Keccak für die Standardisierung unsicherer zu machen. Sichere Hashverfahren werden insbesondere für digitale Signaturen und Integritätschecks von Software benötigt.

In Pocket speichern vorlesen Druckansicht 102 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Das National Institute for Standards and Technology (NIST) ist erneut in der Kritik: Die US-Behörde soll versuchen, die Sicherheit der kryptografischen Hashing-Funktion SHA-3 herabzusetzen, bevor diese als Standard etabliert ist. So jedenfalls sehen das einige Forscher. Sie beziehen sich dabei auf eine Präsentation, die NIST-Kryptologe John Kelsey im August auf dem CHES 2013 Workshop gehalten hatte. Kelsey hatte darin die Änderungen erläutert, die NIST am Keccak-Algorithmus vornehmen will, bevor dieser endgültig als SHA-3 standardisiert wird.

Sichere Hashverfahren werden insbesondere für digitale Signaturen und Integritätschecks von Software benötigt. Keccak war als Gewinner eines mehrjährigen Wettbewerbs unter NIST-Leitung hervorgegangen, der zum Ziel hatte, einen Nachfolger für SHA-2 zu finden. Hierbei war den Kryptologen vor allem wichtig, einen Algorithmus zu finden, der nicht auf dem Merkle–Damgård-Verfahren beruht und auf einer neuen mathematische Grundlage fußt. Als Teil der Standardisierung will NIST nun sowohl das Padding des Algorithmus ändern, als auch seine Funktion so anpassen, dass seine Arbeitsgeschwindigkeit erhöht wird. Auch sollen nur zwei Bitlängen standardisiert werden, also 128 und 256 Bit, anstatt der im Original vorgeschlagenen 224, 256, 384 und 512 Bit.

Einige Forscher kritisieren diese Modifikationen, welche die Sicherheit von SHA-3 zu Gunsten von Performance in Hard- und Software-Anwendungen beeinträchtigen sollen. Sie weisen vor allem darauf hin, dass der von NIST abgeänderte Algorithmus nicht mehr derselbe wäre, der für mehrere Jahre von Kryptologen aus aller Welt auf Herz und Nieren geprüft worden sei.

In den Bedingungen des SHA-3-Wettbewerbs war seiner Zeit kein Schwerpunkt auf die Performance-Eigenschaften der eingereichten Algorithmen gelegt worden. NIST muss sich nun fragen lassen, warum die Organisation auf einmal wert auf diesen Faktor legt, zumal damals einige Algorithmen im Rennen waren, die schneller arbeiten als der zum Gewinner gekürte Keccak. Experten sind in dieser Frage jetzt umso skeptischer, da die frühere Institution NIST seit den Enthüllungen um die wahrscheinliche Manipulation des Dual_EC_DRBG-Standards für Zufallszahlen-Generatoren durch die NSA einiges an Ansehen eingebüßt hat.

NIST-Mitarbeiter John Kelsey verteidigt die Entscheidungen der Organisation unterdessen. Man habe die Änderungen mit den Autoren von Keccak abgesprochen und der Algorithmus sei auch nach den Änderungen noch sicher. Auch Matthew Green, Kryptologie-Professor an der Johns Hopkins Universität in Baltimore, äußert sich eher zurückhaltend. Er sehe in dem vorliegenden Fall keine zugrunde liegende NSA-Verschwörung wie bei Dual_EC_DRBG. Es sei nur gerade der denkbar schlechteste Zeitpunkt für NIST irgend etwas zu tun, da alles was das Institut momentan mache, Misstrauen hervorrufe.

Update 30.09.2013, 13:03: Informationen zu den Bitlängen von SHA-3 ergänzt. (fab)