Hashverfahren SHA-1 ausgehebelt

Forscher von Google und aus den Niederlanden präsentieren erstmals einen Kollisionsangriff. Sie erzeugen zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash. Dafür benötigen sie mehr als 9 Trillionen SHA-1-Berechnungen.

Forscher von Google und des Centrum Wiskunde & Informatica in Amsterdam haben das Hashverfahren SHA-1 ausgehebelt. Ihnen gelang erstmals ein sogenannter Kollisionsangriff. Er erlaubt es, beispielsweise per SHA-1 signierte Dateien gegen schädliche Dateien auszutauschen.

Von einer Kollision spricht man im Zusammenhang mit kryptologischen Hashfunktionen, wenn zwei unterschiedliche Daten – Dokumente, Binärdateien oder auch Sicherheitszertifikate – denselben Hashwert ergeben. Damit eine Hashfunktion als sicher gelten darf, muss ausgeschlossen sein, dass sich eine solche Kollision ergibt. Den Forschern ist aber genau das nun gelungen.

Bei einer Kollision haben zwei unterschiedliche Dateien denselben SHA-1-Wert (Bild: Google).Bei einer Kollision haben zwei unterschiedliche Dateien denselben SHA-1-Wert (Bild: Google).Bei einem Kollisionsangriff wird ausgehend vom Hashwert einer Datei eine weitere Datei erzeugt, die denselben Hashwert hat. Für einen erfolgreichen Angriff muss es zudem möglich sein, den Inhalt der gefälschten Datei zumindest teilweise zu bestimmen. Nur so kann beispielsweise eine signierte ausführbare Datei durch eine schädliche und ebenfalls signierte ausführbare Datei ausgetauscht werden.

Theoretische Ansätze für einen Kollisionsangriff auf SHA-1 gibt es schon länger, weswegen unter anderem Google auch schon länger zu einem Wechsel zu anderen Hashfunktionen wie SHA-2 drängt. „Wir haben mit einem PDF-Präfix angefangen, der es uns erlaubt, zwei Dokumente mit beliebigen eindeutigen visuellen Inhalten zu generieren, die gehasht jedoch denselben SHA-1-Wert ergeben“, heißt es in einem Eintrag um Google Security Blog. Der Angriff sei dann mithilfe von Googles technischer Expertise und Cloud-Infrastruktur umgesetzt worden. Die Berechnung der Kollision sei eine der größten jemals abgeschlossenen Berechnungen gewesen.

Der Angriff betrifft unter anderem auch HTTPS-Zertifikate (Bild: Google).Der Angriff betrifft unter anderem auch HTTPS-Zertifikate (Bild: Google).„Hier sind einige Zahlen, die einen Eindruck von der Größe dieser Berechnung vermitteln: mehr als neun Trillionen SHA-1-Berechnungen, 6500 Jahre CPU-Rechenzeit für den Abschluss der ersten Angriffsphase, 110 Jahre GPU-Rechenzeit für die zweite Phase“, heißt es weiter in dem Blogeintrag. „Obwohl diese Zahlen sehr groß erscheinen, ist der Kollisionsangriff immer noch mehr als 100.000-mal schneller als ein Brute-Force-Angriff, der weiterhin nicht umsetzbar ist.“

Die Details zu dem Kollisionsangriff finden sich in einem Whitepaper (PDF). Den Code, der es jedem erlaubt, zwei PDF-Dateien mit demselben SHA-1-Hashwert zu erstellen, hält Google jedoch noch 90 Tage zurück. „Um eine aktive Nutzung des Angriffs zu verhindern, haben wir Gmail und die GSuite um Schutzmaßnahmen erweitert, die unsere PDF-Kollision erkennen. Zudem stellen wir der Öffentlichkeit ein kostenloses Erkennungssystem zur Verfügung.“

Google weist zudem darauf hin, dass die Standardisierungsorganisation NIST SHA-1 schon seit 2011 als veraltet einstuft. Zudem sei es nicht mehr erlaubt, Websites mit SHA-1-Zertifikaten zu signieren. Chrome warne seit Version 56, die im Januar 2017 veröffentlicht sei, vor solchen Zertifikaten. Firefox habe das Feature für Frühjahr 2017 angekündigt. SHA-1 werde aber weiterhin auch für Prüfsummen und Signaturen für digitale Zertifikate, E-Mail-Verschlüsselung und Software-Updates eingesetzt.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Themenseiten: Google, Security, Sicherheit, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Hashverfahren SHA-1 ausgehebelt

Kommentar hinzufügen
  • Am 25. Februar 2017 um 2:17 von Hermann Matthes

    „Damit eine Hashfunktion als sicher gelten darf, muss ausgeschlossen sein, dass sich eine solche Kollision ergibt.“ ist absoluter Blödsinn. Dateien mit beliebiger Größe kann es unendlich viele verschiedene geben. Da eine Hash-Funktion aber eine Bitfolge endlicher Länge liefert (bei SHA1 z.B. 160 bit), gibt es auch nur eine endliche Anzahl Schlüssel (bei SHA1 also 2^160 ~ 10^16). Die Schlüssel müssen sich zwangsläufig irgendwann wiederholen. Es sollte nur sehr unwahrscheinlich sein.

    • Am 27. Februar 2017 um 7:12 von ckOne

      Das ist natürlich richtig, deshalb gibt es ja auch keine 100 Prozentige Sicherheit, man kann nur den zum knacken nötigen Aufwand (leider auch die Kosten) gegen unendlich gehen lassen !!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *