TodesstoĂź: Forscher zerschmettern SHA-1
Totgesagte sterben manchmal auch schneller. In einer Kooperation zwischen der CWI Amsterdam und Google gelang es, dem bereits angeschlagenen Hash-Verfahren SHA-1 mit einer echten Kollision den praktischen TodesstoĂź zu versetzen.
Zwei verschiedene Dokumente – aber ein und derselbe SHA-1-Wert. Das sollte es eigentlich nicht geben. Mit einer gewaltigen Anstrengung haben Forscher von der CWI Amsterdam und Google zwei PDF-Dokumente erzeugt, die den endgültigen Todesstoß für das überalterte Hash-Verfahren bedeuten. Mehr als 6500 CPU-Jahre und nochmal 100 GPU-Jahre erforderte die Berechnung dieser Kollision; natürlich ist mit weiteren Optimierungen zu rechnen, die das deutlich reduzieren.
Hash-Verfahren wie SHA-1 und dessen designierter Nachfolger SHA-2 kommen immer dann zum Einsatz, wenn es darum geht, eine kompakte Darstellung großer Datenmengen zu finden, um deren Echtheit zu bestätigen. Also etwa bei Digitalen Unterschriften von Programmen, Updates, Krypto-Schlüsseln, Backups oder E-Mails. Die wichtigste Anforderung ist: Jede noch so kleine Änderung des Datensatzes führt zu einer Änderung des Hash-Wertes. Darüber hinaus muss es auch praktisch unmöglich sein, dass jemand zwei Datensätze erstellt, die den gleichen Hash-Wert produzieren.
Shattered: SHA-1 zerschmettert
Genau das gewährleistet SHA-1 jetzt definitiv nicht mehr, wie die Forscher jetzt mit zwei PDF-Dokumenten bewiesen, die den gleichen SHA-1-Wert ergeben. Sie könnten somit ein Opfer das blaue PDF unterschreiben lassen, die SHA-1-basierte Signatur abschneiden und unter das rote PDF setzen. Jedes Programm würde die Signatur als echt bestätigen.
SHA-1 gilt bereits seit 2005 als geknackt. Damals stellten chinesische Kryptologen einen Angriff vor, der die Zahl der benötigten Berechnungen für das Auffinden einer Kollision deutlich reduzierte: "Statt der 280 Operationen, die das Ausprobieren aller Angriffsmöglichkeiten gegen SHA-1 erfordert, gelingt es den Chinesen bereits mit 269 Operationen eine Kollision zu finden", berichtete heise Security damals. Das war zwar immer noch weit von einer praktischen Realisierbarkeit entfernt. Doch Angriffe werden immer besser und CPUs immer schneller.
Nach dem jetzt von Marc Stevens und Kollegen vorgestellten Angriff auf SHA-1 kann man dieses Hash-Verfahren endgültig beerdigen. Wer es jetzt noch einsetzt, handelt grob fahrlässig. Der Nachfolger steht auch schon fest: In allen praktischen Belangen kann und sollte man stattdessen SHA256 oder SHA512 verwenden. Diese beiden SHA-2-Varianten gelten als ausreichend sicher, dass sie auch langfristig die Unterscheidbarkeit verschiedener Dokumente garantieren können. Auf jeden Fall ist eine SHA-2-Kollision eine würdige Herausforderung für Marc Stevens, der auch bereits am Todesstoß für MD5 beteiligt war.
Siehe dazu auch:
- Shattered – Die Web-Seite zur SHA-1-Kollision
- Kryptographie in der IT – Empfehlungen zu Verschlüsselung und Verfahren von heise Security
(ju)