Hashverfahren SHA-1 ausgehebelt

Forscher von Google und des Centrum Wiskunde & Informatica in Amsterdam haben das Hashverfahren SHA-1 ausgehebelt. Ihnen gelang erstmals ein sogenannter Kollisionsangriff. Er erlaubt es, beispielsweise per SHA-1 signierte Dateien gegen schädliche Dateien auszutauschen.

Von einer Kollision spricht man im Zusammenhang mit kryptologischen Hashfunktionen, wenn zwei unterschiedliche Daten – Dokumente, Binärdateien oder auch Sicherheitszertifikate – denselben Hashwert ergeben. Damit eine Hashfunktion als sicher gelten darf, muss ausgeschlossen sein, dass sich eine solche Kollision ergibt. Den Forschern ist aber genau das nun gelungen.

Bei einer Kollision haben zwei unterschiedliche Dateien denselben SHA-1-Wert (Bild: Google).Bei einem Kollisionsangriff wird ausgehend vom Hashwert einer Datei eine weitere Datei erzeugt, die denselben Hashwert hat. Für einen erfolgreichen Angriff muss es zudem möglich sein, den Inhalt der gefälschten Datei zumindest teilweise zu bestimmen. Nur so kann beispielsweise eine signierte ausführbare Datei durch eine schädliche und ebenfalls signierte ausführbare Datei ausgetauscht werden.

Theoretische Ansätze für einen Kollisionsangriff auf SHA-1 gibt es schon länger, weswegen unter anderem Google auch schon länger zu einem Wechsel zu anderen Hashfunktionen wie SHA-2 drängt. „Wir haben mit einem PDF-Präfix angefangen, der es uns erlaubt, zwei Dokumente mit beliebigen eindeutigen visuellen Inhalten zu generieren, die gehasht jedoch denselben SHA-1-Wert ergeben“, heißt es in einem Eintrag um Google Security Blog. Der Angriff sei dann mithilfe von Googles technischer Expertise und Cloud-Infrastruktur umgesetzt worden. Die Berechnung der Kollision sei eine der größten jemals abgeschlossenen Berechnungen gewesen.

Der Angriff betrifft unter anderem auch HTTPS-Zertifikate (Bild: Google).„Hier sind einige Zahlen, die einen Eindruck von der Größe dieser Berechnung vermitteln: mehr als neun Trillionen SHA-1-Berechnungen, 6500 Jahre CPU-Rechenzeit für den Abschluss der ersten Angriffsphase, 110 Jahre GPU-Rechenzeit für die zweite Phase“, heißt es weiter in dem Blogeintrag. „Obwohl diese Zahlen sehr groß erscheinen, ist der Kollisionsangriff immer noch mehr als 100.000-mal schneller als ein Brute-Force-Angriff, der weiterhin nicht umsetzbar ist.“

Die Details zu dem Kollisionsangriff finden sich in einem Whitepaper (PDF). Den Code, der es jedem erlaubt, zwei PDF-Dateien mit demselben SHA-1-Hashwert zu erstellen, hält Google jedoch noch 90 Tage zurück. „Um eine aktive Nutzung des Angriffs zu verhindern, haben wir Gmail und die GSuite um Schutzmaßnahmen erweitert, die unsere PDF-Kollision erkennen. Zudem stellen wir der Öffentlichkeit ein kostenloses Erkennungssystem zur Verfügung.“

Google weist zudem darauf hin, dass die Standardisierungsorganisation NIST SHA-1 schon seit 2011 als veraltet einstuft. Zudem sei es nicht mehr erlaubt, Websites mit SHA-1-Zertifikaten zu signieren. Chrome warne seit Version 56, die im Januar 2017 veröffentlicht sei, vor solchen Zertifikaten. Firefox habe das Feature für Frühjahr 2017 angekündigt. SHA-1 werde aber weiterhin auch für Prüfsummen und Signaturen für digitale Zertifikate, E-Mail-Verschlüsselung und Software-Updates eingesetzt.