Anfang Februar wurden Sicherheitsexperten von der Meldung aufgeschreckt, dass der weit verbreitete Hash-Algorithmus SHA-1 geknackt sei. Dies soll einem chinesischen Forscherteam gelungen sein, das seine Ergebnisse umgehend, aber recht leise in Umlauf brachte – wirklich bekannt wurde die Nachricht, als sie Kryptopapst Bruce Schneier in seinem Weblog veröffentlichte. Dieser hält die Forschungen der Chinesen für so weitreichend, dass er sie als wichtigen Durchbruch in der Kryptoanalyse und als Todesstoss für den SHA-Einsatz im Bereich der digitalen Signaturen bezeichnet. Panik allerdings, so versichern Schneier und zahlreiche weitere Experten, sei deswegen nicht angebracht, schliesslich seien die möglichen Angriffsszenarien derzeit recht unrealistisch und nur mit hohem Aufwand durchführbar.
SHA-1 (Secure Hash Algorithm) ist derzeit die am weitesten verbreitete Hash-Funktion, die von vielen Anwendungen genutzt wird, um die Echtheit von Daten zu bestätigen. Der Algorithmus wird beispielsweise in S/MIME, IPSec, SSL und vielen weiteren Protokollen verwendet, in verschiedenen Verschlüsselungstools wie OpenPGP – selbst Passwörter werden heute nur noch als Hash-Wert gespeichert.
Dieser Hash, eigentlich eine kurze Zahl, die aus einem Datensatz erzeugt wird, ist vergleichbar mit einem Fingerabdruck. Ist der Hash einer Kopie mit dem abgespeicherten Wert eines Originals identisch, kann davon ausgegangen werden, dass die Daten in der Kopie unverändert sind.
SHA-1 gilt damit als eine der wichtigsten Grundlagen der heutigen Kryptographie. Immerhin bildet der Algorithmus Hash-Werte mit 160 Bit, es gibt also 2160 Möglichkeiten für verschiedene Werte. Wollte man für einen vorgegebenen Hash-Wert einen Datensatz mit einem identischen Wert finden (sogenannte Pre-Image-Attacke), ist die Chance dafür zwar relativ gross, dennoch würde der Angriff mit aktueller Hardware aber weit über 100 Millionen Jahre dauern. Einfacher wäre es, aus einem Pool mit 2160 zufällig ausgewählten Nachrichten zwei mit einem beliebigen, aber gleichen Hash-Wert zu finden – in diesem Fall (Kollisions-Attacke) würden bereits 280 Operationen genügen. Auch diese Variante eines Angriffs erforderte aber einen heute kaum realisierbaren Aufwand.
Die Sicherheit des SHA-1-Algorithmus beruht auf diesen mindestens 280 Operationen und damit der technischen Unmöglichkeit eines Angriffs. Wäre es aber möglich, mit deutlich weniger Versuchen eine Kollision (einen identischen Hash eines anderen Dateninhalts) zu finden, gälte der Algorithmus als geknackt und unsicher: Zumindest theoretisch könnten die Daten in der Kopie manipuliert werden, ohne dass dies über den Hash-Wert bemerkt werden könnte.
Genau dies ist nun den Chinesen gelungen: Sie haben ein Verfahren entwickelt, mit dem eine Kollision bereits mit 269 Versuchen gefunden werden kann, was die Zahl der notwendigen Versuche um den Faktor 2048 (211) verringert und so die Sicherheit von SHA-1 grundsätzlich in Frage stellt.
Kryptographie-Experten wie Schneier geben allerdings Entwarnung: Bis auf weiteres können die bestehenden Anwendungen mit dem SHA-1-Algorithmus gefahrlos weiterverwendet werden, bestehende Signaturen sind schon gar nicht gefährdet. Auch wenn die Anzahl der nötigen Versuche geschrumpft ist, benötigt ein potentieller Angreifer mit der Brute-Force-Methode noch immer einige tausend Jahre, um eine Kollision zu finden. Für Pre-Image-Attacken gibt es bisher noch gar keine bekannten Angriffspunkte. Kommt dazu, dass kaum eine der theoretisch gefährdeten Anwendung nur mit SHA-1 arbeitet, meist sind auch noch andere Sicherheitsalgorithmen implementiert.
Die Forschung der Chinesen zeigt aber, dass der nötige Aufwand für gewiefte Betrüger kleiner wird. Bereits in fünf bis zehn Jahren, so rechnen die Experten, werden die Verfahren der Angreifer verfeinert sein, und bis dann wird es auch erste Techniken für Pre-Image-Attacken geben.
