Hash-Verfahren SHA-1 am Ende
Das Hash-Verfahren SHA-1 gilt seit langem als unsicher; Forscher von Google und dem Forschungsinstitut CWI Amsterdam belegten das mit ihrem SHAttered-Angriff nun auch in der Praxis: Sie erstellen zwei PDF-Dokumente mit unterschiedlichem Inhalt, welche den gleichen SHA-1-Hash-Wert ergeben. Mehr als 6500 CPU-Jahre und noch mal 100 GPU-Jahre erforderte die Berechnung dieser Kollision.
Hash-Verfahren wie SHA-1 und dessen Nachfolger SHA-2 kommen immer dann zum Einsatz, wenn es darum geht, eine kompakte Darstellung großer Datenmengen zu finden, um deren Echtheit zu bestätigen. Also etwa bei digitalen Signaturen von Programmen, Updates, Krypto-Schlüsseln, Backups oder E-Mails. Die wichtigste Anforderung ist: Jede noch so kleine Änderung des Datensatzes führt zugleich zu einer Änderung des Hash-Wertes. Darüber hinaus muss es auch praktisch unmöglich sein, dass jemand zwei Datensätze erstellt, die den gleichen Hash-Wert produzieren. Genau das gewährleistet SHA-1 definitiv nicht mehr.
Mancher mag denken, dass die benötigte Rechenzeit die Latte immer noch ausreichend hoch hängt. Doch angesichts von Cloud Computing und dem immer noch gültigen Moore’schen Gesetz zum Wachstum der Rechenleistung kombiniert mit weiteren Fortschritten bei den Angriffen ist das ein gefährlicher Irrtum. So mussten etwa 2008 die Forscher um Marc Stevens noch einen Cluster von über 200 Playstation-3-Konsolen mehrere Tage für eine MD5-Kollision rechnen lassen. Heute schafft das jeder PC in weniger als einer Sekunde.
SHA-1 gilt bereits seit 2005 als geknackt. Damals stellten chinesische Kryptologen einen Angriff vor, der die Zahl der benötigten Berechnungen für das Auffinden einer Kollision deutlich reduzierte. Dieser war zwar immer noch weit von einer praktischen Realisierbarkeit entfernt. Nach dem jetzt von Marc Stevens und Kollegen vorgestellten Angriff auf SHA-1 kann man dieses Hash-Verfahren aber endgültig beerdigen; wer es jetzt noch einsetzt, handelt grob fahrlässig. Der Nachfolger steht auch schon fest: In allen praktischen Belangen kann und sollte man stattdessen SHA256 oder SHA512 verwenden. Diese beiden SHA-2-Varianten gelten als ausreichend sicher; Alternativen sind SHA-3 und Blake. (ju@ct.de)
Weitere Hintergründe zum SHA-1-Angriff:ct.de/ynvh