Hash-Algorithmus gesucht: Wer ist der sicherste im ganzen Land?

Die Kryptologen-Welt ist eifrig auf der Suche nach einem potenziellen Nachfolger der aktuellen Hash-Standards, nachdem die chinesische Professorin Wang Xiaoyun Schwachstellen in SHA-1 und MD5 aufgedeckt hat. SHA wird als so genannte Hash-Funktion von vielen Applikationen eingesetzt, um die Echtheit von Daten zu bestätigen. Insbesondere viele Verfahren zur digitalen Signatur setzen unter anderem SHA ein. Eine Hash-Funktion erzeugt aus einem Datensatz eine vergleichsweise kurze Zahl, den Hash-Wert, der als eine Art Fingerabdruck benutzt wird. Stimmt der abgespeicherte Hash-Wert des Originals mit dem der vorliegenden Kopie überein, geht man davon aus, dass die Daten gleich beziehungsweise unverändert sind. Gelingt es jedoch, einen zweiten Datensatz zu erstellen, der den gleichen Hash-Wert erzeugt -- also den gleichen Fingerabdruck hat -- dann ist das Verfahren geknackt. Angreifer könnten Daten manipulieren, ohne dass es über den Hash-Wert bemerkt würde.

Die Krypto-Gemeinde blickt derzeit gespannt auf das National Institute of Standards and Technology (NIST). Beim Treffen der Internet Engineering Task Force (IETF), das gegenwärtig in Paris stattfindet, zeigten sich Vertreter der US-Behörde unentschlossen: Es stehe noch nicht fest, ob das NIST, das der deutschen Physikalisch-Technischen Bundesanstalt vergleichbar ist und in der AES-Spezifikation etwa den Nachfolger für den Verschlüsselungsstandard DES kürte, bei einem angekündigten Workshop Ende Oktober einen Wettbewerb für den besten SHA-Nachfolger veranstalten werde.

Eric Rescorla, Autor einer bei der IETF vorgestellten Analyse zu den Effekten einer möglichen Migration auf Protokolle wie S-MIME, Open PGP, IPSEC, SSL oder SSH, meinte gegenüber heise online: "Ich würde es eher für beängstigend halten, wenn es den Wettbewerb nicht gibt." Rescorla und der Leiter des Pariser Treffens zu den Hash-Algorithmen bei der IETF, Paul Hoffman, betonte, die Wahl eines SHA-Nachfolgers bedürfe der Legitimation durch NIST; sollte das NIST auf den Wettbewerb verzichten, sei sehr wohl denkbar, dass ein neuer Standardvorschlag aus Asien oder Europa komme.

"Die IETF wird die Auswahl für einen Hash-Algorithmus nicht treffen können", meinte Hoffman. IETF-Arbeitsgruppen funktionieren über die Herstellung eines Konsens. Eine Auswahl aus den verschiedenen bereits kursierenden Vorschlägen, die bereits bei der NIST eingereicht wurden, sei daher undenkbar. In Paris wurden dennoch gleich mehrere Vorschläge vorgestellt, die erst einmal vor allem auf kleinere Eingriffe beim existierenden SHA-1 zielen. NIST-Experten selbst hoffen, durch ein "Abschneiden" (Truncation) der mit dem längeren SHA-256 erzeugten Hash-Werte mehr Sicherheit zu erzeugen. Ein entsprechender Vorschlag des NIST-Kryptoexperte John Kelsey und durch Niels Ferguson von Microsoft soll im Herbst vorliegen. Der Vorschlag würde allerdings die Rechenzeit deutlich verlängern, während das Mehr an Sicherheit für diese Variante nicht bewiesen ist, wie die NIST-Experten selbst einräumen.

Shai Halevi und Hugo Krawczyk von IBM schlagen demgegenüber vor, einen Zufallsfaktor bei der Anwendung der Hash-Funktion einzubauen. Dieser Vorschlag ziele allerdings praktisch ausschließlich auf Signaturen, sagt Hoffman. Für breiter einsetzbar hält Hoffman eine Idee, durch eine entsprechende Vorbehandlung der Nachricht einen sichereren Hash-Wert zu erhalten. Diese von RSA-Forscher Michael Szydlo gemeinsam mit der Kryptologie-Expertin Yiqun Lisa Yin vorgeschlagene Variante würde keinerlei Veränderung am Hash-Algorithmus erfordern. Szydlo und Yin haben ihren Vorschlag auch beim NIST vorgelegt.

Hoffman erklärte in Paris gegenüber heise online, noch sei völlig unabsehbar, wohin die Reise gehe. Er selbst halte es allerdings für wenig sinnvoll, jetzt Änderungen vorzunehmen, nur um dann bei Vorliegen eines völlig neuen Hash-Algorithmus in den nächsten Jahren erneut umzustellen. Aus Sicht der Anwender sei das ein echtes Worst-Case-Szenario. Dies vor allem vor dem Hintergrund, dass dann Dokumente, die auf der Basis alter Hash-Funktionen signiert wurden, ihr Zertifikat verlieren; von den Umstellungsproblemen etwa bei Behörden und Zertifizierungsagenturen ganz abgesehen. Regierungen seien nicht umsonst sehr, sehr zögerlich, in Deutschland mit seiner entwickelten PKI-Infrastruktur dürfte man das ganz besonders kritisch sehen, meinte Hoffman. Der US-Geheimdienst NSA hat jedoch bereits angekündigt, in Richtung SHA-256 zu gehen.

Aus Sicht von Hoffman sind alle Migrationsüberlegungen übrigens verfrüht: "Solange wir keine wirklich ernsthaften, realen Attacken beobachten können, sollten wir meiner Meinung nach überhaupt nichts tun." Die von Wang nachgewiesenen Kollissionsattacken beträfen nur einen Teil von Protokollen und seien zudem vorerst, zumindest bei SHA-1, noch mit einem enormen Rechenaufwand verbunden. Erst wenn es so genannte Preimage-Attacken statt der gezeigten Kollissionsattacken gebe, meinte Hoffman, "brennt es wirklich".

Bei Kollisionsattacken werden lediglich zwei beliebige Nachrichten mit gleichem Hash-Wert erzeugt. Zu einer fest vorgegebenen Nachricht -- dem Preimage -- eine zweite mit dem gleichen Hash-Wert zu finden, ist extrem viel aufwendiger. Bisher ist nicht klar, ob sich die gezeigten SHA-Schwächen auch für Preimage-Attacken nutzen lassen. Seinen Einspruch gegen eine rasche Migrationsstrategie konterte allerdings sogar sein eigener Koautor, Bruce Schneier: Er plädiert auf der Basis einer gemeinsamen Analyse ebenfalls für den Einsatz von SHA-256.

Siehe dazu auch den Hintergrund-Bericht zu den der erfolgreichen Angriffe auf SHA-1:

• Hash mich, Artikel auf heise Security

(Monika Ermert) / (jk)