Kryptographie: NIST rudert bei SHA-3-Änderungen zurück

Das National Institute of Standards and Technology (NIST) der USA reagiert auf die breite Kritik und will nun anscheinend doch weitgehend die ursprünglich vorgeschlagene Hashing-Funktionen SHA-3 standardisieren. Zwischenzeitlich hatte das NIST mehr auf Performance optimierte Varianten favorisiert. Außerdem soll der generelle Prozess der Standardisierung überarbeitet werden.

Wie aus einer Mail des NIST-Mitarbeiters John Kelsey hervorgeht, fühlten die Verantwortlichen sich zwar mit den technischen Aspekten des modifizierten Keccak-Algorithmus' nach wie vor wohl, nicht aber diejenigen, die dem NIST Feedback gaben. Kelsey bilanziert auf einer registrierungspflichtigen Mailingliste: ...the feedback we've gotten indicates that a lot of the crypto community is not comfortable with it.

Er hatte im Rahmen eines Kryptologie-Workshops (CHES 2013) im August darüber referiert, dass die Standardisierungsbehörde Änderungen an Keccak vornehmen wolle, die zwar die Geschwindigkeit erhöhten, dafür aber nach Ansicht der Kritiker die Sicherheit beeinträchtigen könnten. So sollten es statt vier Sicherheits-Niveaus (224, 256, 384 und 512 Bit) nur noch zwei sein: 128 und 256 Bit. Als Konsequenz des Widerstands will das Institut bei den ursprünglich vorgeschlagenen vier Niveaus bleiben.

Zusätzlich soll es zwei weitere, SHAKE benannte, Hash-Funktionen mit variabler Ausgabelänge geben, die ebenfalls auf Keccak beruhen und von dessen Entwicklern vorgeschlagen wurden. Im Oktober 2012 hatte das NIST den von fünf Belgiern entwickelten Keccak-Algorithmus als Gewinner des Wettbewerbs um die Nachfolge des kryptographischen Hash-Algorithmus SHA-2 bekanntgegeben.

Parallel dazu hat das NIST angekündigt, seinen Prozess zur Standardisierung von Krypto-Verfahren zu überarbeiten. Insbesondere soll es eine unabhängige Begutachtung und eine Möglichkeit für öffentliche Stellungnahmen geben. Dieser Schritt ist eine direkte Konsequenz dessen, dass das NIST im Zuge der Snowden-Veröffentlichungen in die Kritik geraten war. So ist nahezu sicher, dass es der NSA gelang, eine Hintertür in den vom NIST spezifizierten Zufallszahlengenerator Dual_EC_DRBG einzuschleusen.

Da die NSA jedoch nicht nur für das Spionieren, sondern auch für die Sicherung der amerikanischen Kommunikationsinfrastruktur zuständig ist, wird man den Geheimdienst wohl auch in Zukunft kaum ganz aus der Standardisierung von Verschlüsselungsverfahren heraushalten. Sie hat sich in dieser Eigenschaft auch durchaus schon um die Sicherheit verdient gemacht und beispielsweise DES vor der Standardisierung gegen die damals öffentlich noch gar nicht bekannte differenzielle Kryptoanalyse gehärtet. Auf der anderen Seite war die NSA für die Reduzierung von DES auf eine knackbare Schlüssellänge von 56 Bit verantwortlich. Das Problem ist, dass man nie genau weiß, welches der beiden Janus-Gesichter man gerade vor sich hat.

Update 3.11.2013, 11:45: Den missverständlichen Begriff Bit-Längen ersetzt durch die neuen Sicherheits-Niveaus. Hintergrund: Bei den bisherigen Hash-Funktionen wie MD5 und SHA1/SHA2 bestimmt die Länge der Ausgabe die Sicherheit gegen Angriffe. Bei Keccak kann man die Sicherheit unabhängig von der Länge durch einen internen Parameter – die sogenannte Kapazität c – festlegen. Das Sicherheits-Niveau ist dabei dann c/2. Details dazu erklärt das Keccak-Team. (hb)