Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Hash-Verfahren SHA-1 ist tot: Google gelingt erste erfolgreiche Kollision

(Bild: Shutterstock)

Wer noch auf SHA-1 setzt, sollte sich jetzt schnell nach Alternativen umsehen. Google-Forschern ist die erste erfolgreiche Kollision gelungen. In drei Monaten soll der Angriff jedem möglich sein.

Kollisionsangriff auf SHA-1: Alternativen nutzen

Schon 2005 hatten chinesische Kryptographen um Wang Xiaoyun SHA-1 theoretisch geknackt, seitdem gilt das Hash-Verfahren als unsicher. Dennoch wird es immer noch eingesetzt, etwa bei Git oder dem freien Kryptographiesystem GnuPG, das unter anderem zum Verschlüsseln von E-Mails verwendet wird. Alle, die SHA-1 noch einsetzen, sollten spätestens jetzt auf den Nachfolger SHA-2 oder Alternativen umsteigen. Denn Forschern von Google und dem CWI Amsterdam ist es erstmals gelungen, einen erfolgreichen Kollisionsangriff auf SHA-1 zu demonstrieren.

Zwei PDF-Dokumente, aber nur ein SHA-1-Wert. (Bild: Google)

Als praktischen Beweis für die Durchführbarkeit der Attacke auf SHA-1 haben die Forscher zwei PDF-Dateien mit demselben SHA-1-Wert erzeugt. Das dürfte eigentlich nicht sein, denn zu einer kryptographisch sicheren Hash-Funktion gehört, dass keinesfalls zwei unterschiedliche Datensätze mit demselben Hash-Wert erzeugt werden können dürften. Die Forscher warnten, dass mit der von ihnen praktizierten Technik schon jetzt für 110.000 US-Dollar per Amazons Cloud-Plattform Kollisionen in Git-Dateien oder digitalen Zertifikaten herbeigeführt werden könnten. Und diese Kosten dürften in den kommenden Monaten weiter sinken.

SHA-1 zerschmettert: 6.500 CPU-Jahre benötigt

Um den Kollisionsangriff erfolgreich zu entwickeln, haben Google-Forscher und deren niederländische Kollegen zwei Jahre zusammengearbeitet. Die benötigte Rechenkapazität belief sich auf 6.500 CPU-Jahre und 110 GPU-Jahre. Das sogenannte Zerschmettern („Shatter“) von SHA-1 geht Google zufolge damit immer noch schneller als eine Brute-Force-Attacke auf die Hash-Funktion. Die nehme zwölf Millionen GPU-Jahre Rechenkapazität in Anspruch.

Google will eigenen Angaben nach in 90 Tagen eine Software freigeben, mit der jeder selbst SHA-1-Kollisionen erzeugen können soll. Spätestens dann sollte SHA-1 aus allen Anwendungen verschwunden sein. Darüber hinaus stellen die Forscher auf dieser Webseite einen Test zur Verfügung, mit dem man überprüfen kann, ob eigene Dateien kompromittiert worden sind.

via arstechnica.com

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst