Web

Chinesische Forscher rütteln Security-Branche wach

15.03.2005

MÜNCHEN (COMPUTERWOCHE) - Chinesischen Wissenschaftlern von der Universität Shandong ist es offenbar gelungen, den Hash-Algorithmus des weithin genutzten Verschlüsselungsverfahrens "SHA-1" auszutricksen und unerwartet schnell identische "digitale Fingerabdrücke" für Daten zu finden, die eigentlich einmalig hätte sein sollen.

SHA-1 galt bislang als state-of-the-art und kommt sowohl bei Behörden wie auch in der freien Wirtschaft zum Einsatz. Hash-Funktionen werden seit Jahren verwendet, um beispielsweise Kreditkartennummern und andere sensible Daten (vermeintlich) sicher über das Netz zu schicken.

Den von den Chinesen entdeckten Fehler böswillig auszunutzen ist aus Sicht von Kryptographie-Experten kaum machbar, zumal Hash-Funktionen meist nur zusammen mit anderen Verfahren eingesetzt werden, die bislang noch als sicher gelten. Trotzdem hat die Nachricht in der Security-Branche einem Bericht des "Wall Street Journal" zufolge für einigen Wirbel gesorgt.

Der Spezialist für Verschlüsselungssoftware PGP beispielsweise hat begonnen, SHA-1 in seinen Programmen zu ersetzen. RSA Security ("SecurID") untersucht gerade sein Portfolio daraufhin, wo SHA-1 verwendet wird und wo man die Technik ersetzen könnte. Und das US-amerikanische National Institute of Standards and Technology (NIST) empfiehlt, SHA-1 nicht mehr in neue Anwendungen einzubauen und instruiert US-Bundesbehörden, den Algorithmus aus bestehenden Applikationen zu entfernen.

Dabei haben die chinesischen Wissenschaftler ihre Ergebnisse noch gar nicht veröffentlicht. Der Fehler sei aber "echt", bezeugt der Sicherheitsexperte Bruce Schneier, Kryptograph und Chief Technology Officer bei Counterpane Internet Security, der bereits einen Vorentwurf des Papiers einsehen konnte. "Akademisch ist das phänomenale Arbeit." Sein Kollege Avi Rubin von der John Hopkins University ergänzt, bislang hätten die Chinesen "noch keine Panik verursacht". Es sei aber "definitiv ein Weckruf", so der Sicherheitsexperte.

Eine Hash-Funktion nimmt eine Datenmenge - von einer E-Mail bis zu hin zu einer riesigen Datenbank - und erzeugt daraus eine kleine Menge von Nullen und Einsen (160 davon = Bit bei SHA-1), die als eindeutiger Fingerabdruck der Ausgangsdaten dient. Nichts anderes sollte den gleichen Hash erzeugen, und wer nur den Hash sieht, kann daraus nicht auf den Inhalt der Mail oder Datenbank schließen. Diese Eigenschaften prädestinieren Hashes zur Authentifizierung und für digitale Signaturen.

Wenn zwei unterschiedliche Datenteile den gleichen Hash generieren, bezeichnet man dies als Kollision. Die Shandonger Forscher stießen bei SHA-1 viel schneller auf eine solche als man für möglich gehalten hätte. Allerdings haben sie keinerlei Hinweis darauf erbracht, dass Angreifer identische Hashes für Daten ihrer Wahl erzeugen könnten.

Hash-Funktionen sind nach Meinung von Experten wahrscheinlich die am wenigsten gut verstandene kryptographische Technik. Sie wenden eine Reihe mathematischer Verfahren auf eine Datenmenge an, vertauschen die Reihenfolge einiger Bits, schneiden das Ergebnis auf eine feste Länge ab und geben dann den Fingerabdruck aus. Vereinfacht gesagt "rührt man alles durcheinander und hofft, dass man das nicht entrühren kann", so Schneier.

Das NIST empfiehlt den Umstieg auf weiter entwickelte SHA-1-Varianten, die längere Hashes erzeugen und damit die Suche nach Kollisionen erschweren. Der Geheimdienst NSA (National Security Agency) hält SHA-1 vorerst noch für brauchbar, würde die Technik aber 2010 gern abgelöst sehen.

Schneier und andere Kenner gehen aber davon aus, das Behörden und Wissenschaftler eine ganz neue Art von schwerer zu knackenden Hash-Funktionen entwickeln müssten. "Für die SHA-Familie sind alle roten Flaggen oben", warnt Arjen Lenstra, Forscher in den Bell Labs von Lucent. "Wir können ihnen nicht mehr trauen." In anderen Hash-Algorithmen wie MD4/5 wurden ebenfalls schon Sicherheitslecks entdeckt. SHA-1 ist eine Weiterentwicklung von MD5, das wiederum auf MD4 aufsetzt.

Lenstra gelang es mittels der chinesischen Methode bereits, zwei unterschiedliche Zertifikate für (nicht produktive) Web-Server zu produzieren, die den gleichen Hash ergeben. (tc)