Bruce Schneier berichtet in seinem Blog, dass der bisher als sicher titulierte Hash Algorithmus SHA1 geknackt wurde.
Dies könnte weitreichende Konsequenzen haben, da ein Großteil der digitalen Signaturen im Netz mit eben jenem Algorithmus geschützt werden.
Details sind bisher noch keine bekannt, da das entsprechende Dokument noch unter Verschluss gehalten wird.
Quelle: /.
Was ist SHA1?
Vollständige Version anzeigen: SHA1 geknackt
Und was bedeutet das für den Endnutzer?
http://www.schneier.com/blog/archives/2005...n.html#comments
Steffen
http://www.schneier.com/blog/archives/2005...n.html#comments
Steffen
Wenn ich mir das anschaue, bedeutet das, dass ich eine stark verkürzte Zeitspanne brauche, um zwei identische SHA1 Hashes auszurechnen. Noch scheint die Zeitspanne zu gross zu sein, um z.B. einen Schlüssel auf einer EC Karten angreifbar zu machen, doch sollte das Problem bei einer digitalen Unterschrift schon erkannt werden. Denn es rückt in greifbare Nähe die digitale Unterschrift einer wichtigen Person zu knacken.
Ein anderer Anwendungsfall wäre die Speicherung von Passwörtern (die meistens so abläuft, dass man SHA1-Hashes abspeichert und von dem eingegebenen Passwort einen Hash erzeugt und diesen dann vergleicht). Dort könnte man mit einigem Aufwand (z.B. von Seiten einer Regierung) ein wichtiges Masterpasswort knacken um in ein wichtiges anderes System einzusteigen.
Und in letzter Konsequenz darf man nicht vergessen, dass sich die Rechenleistung jährlich verdoppelt. Und somit sollte spätestens in 5 Jahren eine Alternative zu SHA1 gefunden worden sein, da spätestens dann alle interessanten Hashes relativ schnell zu finden sind.
Ein anderer Anwendungsfall wäre die Speicherung von Passwörtern (die meistens so abläuft, dass man SHA1-Hashes abspeichert und von dem eingegebenen Passwort einen Hash erzeugt und diesen dann vergleicht). Dort könnte man mit einigem Aufwand (z.B. von Seiten einer Regierung) ein wichtiges Masterpasswort knacken um in ein wichtiges anderes System einzusteigen.
Und in letzter Konsequenz darf man nicht vergessen, dass sich die Rechenleistung jährlich verdoppelt. Und somit sollte spätestens in 5 Jahren eine Alternative zu SHA1 gefunden worden sein, da spätestens dann alle interessanten Hashes relativ schnell zu finden sind.
ich glaub es wird das getan werden, was fast immer getan wird, um was sicherer zu machen:
einfach den schlüssel verlängern
einfach den schlüssel verlängern
| QUOTE (Chris @ 16 Feb 2005, 19:00) |
| Wenn ich mir das anschaue, bedeutet das, dass ich eine stark verkürzte Zeitspanne brauche, um zwei identische SHA1 Hashes auszurechnen. Noch scheint die Zeitspanne zu gross zu sein, um z.B. einen Schlüssel auf einer EC Karten angreifbar zu machen, doch sollte das Problem bei einer digitalen Unterschrift schon erkannt werden. Denn es rückt in greifbare Nähe die digitale Unterschrift einer wichtigen Person zu knacken. |
Nur weil das Hashing-Verfahren nicht die Bedingungen erfüllt die man an es stellt werden keine digitalen Unterschriften geknackt. Denn was bedeutet Hashing überhaupt: Der Schlüsselraum eines Kryptosystems wird auf den Werteraum der Hashes abgebildet. Normalerweise ist der Hashraum viel kleiner als die Menge alles Schlüssel, das bedeutet also das mehrere Kryptoschlüssel auf den selben Hash abgebildet werden. Kollisonen sind also nicht vermeidbar. Aus Gründen der bequemlichkeit vergleicht man nun nicht komplette Schlüssel miteinander, sondern nur die Hashes. Bisher dachte man es ist schwer unterschiedliche Texte (Kryptoschlüssel) zu erzeugen die auf den selben Hash abgebildet werden, nun scheint es als ob es etwas einfacher geworden ist. Wer allerdings wirklich sicher sein will kann immernoch Texte direkt miteinander vergleichen. Denn zwei Texte sind dann und nur dann gleich wenn jeder ihrer Teiltexte zueinander gleich ist. (man muss also wirklich bitweise vergleichen) Mit der Knackbarkeit von Kryptoschlüssel oder chiffrierten Texten hat das erstmal nur peripher zu tun.
Steffen
Entweder das oder auf SHA2 umstellen?
Da hast du natürlich recht, aber es im Falle der Digitalen Unterschrift ist das echt ein Problem. Digitale Unterschriften funktionieren so, dass man aus dem geheimen Schlüssel und dem Text einen Hashwert errechnet, der mit dem öffentlichen Schlüssel überprüft werden kann.
Kann ich aber Kollisionen bei den Hashwerten erzeugen, so kann ich zu einem beliebigen Text einen Hashwert erzeugen, der sich mit dem öffentlichen Schlüssel verifizieren lässt. So könnte ich zum Beispiel einen elektronisch verschickten Auftrag fälschen, ohne dass der Empfänger es bemerkt. Schlimmer noch, der Empfänger würde diesen Auftrag auch noch einer bestimmten Person zuordnen.
Kann ich aber Kollisionen bei den Hashwerten erzeugen, so kann ich zu einem beliebigen Text einen Hashwert erzeugen, der sich mit dem öffentlichen Schlüssel verifizieren lässt. So könnte ich zum Beispiel einen elektronisch verschickten Auftrag fälschen, ohne dass der Empfänger es bemerkt. Schlimmer noch, der Empfänger würde diesen Auftrag auch noch einer bestimmten Person zuordnen.
Im Untertitel dieses Themas steht was von Online-banking.. damit hat das hier wenig zu tun, wenigstens für den Moment. Denn die Kollisionen betreffen nur das Hashing aber nicht PRF oder HMAC, auf gut deutsch: SSH und SSL/TLS sind nicht betroffen. Zudem:
1. Es geht in dem (offiziell unveröffentlichten, aber *psst*) Paper nur um die Kompression (bei der es wesentlich einfacher ist, ein Kollision zu finden) und nicht um die eigentliche Hash-Funktion
2. Es ist um den Faktor 2^11 einfacher geworden, eine Kollision zu finden, Faktor 2^69 ist trotzdem noch eine Menge...
3. Man arbeitet bei PKIX schon an einer Lösung, damit dieses Phänomen bei x.509-Zertifikaten nicht auftritt.
Nichtsdestotrotz: SHA-1 kann man als kryptographisch gebrochen einstufen, so Experten.
Lustig daran: Just diese Woche (DI) hat die RegTP den Algorithmenkatalog 2005 herausgegeben, der die Konformität gemäß SigG bis 2010 festlegt
dumm gelaufen, oder wie war das mit Murphy?
#äbaddon, unsigned.
1. Es geht in dem (offiziell unveröffentlichten, aber *psst*) Paper nur um die Kompression (bei der es wesentlich einfacher ist, ein Kollision zu finden) und nicht um die eigentliche Hash-Funktion
2. Es ist um den Faktor 2^11 einfacher geworden, eine Kollision zu finden, Faktor 2^69 ist trotzdem noch eine Menge...
3. Man arbeitet bei PKIX schon an einer Lösung, damit dieses Phänomen bei x.509-Zertifikaten nicht auftritt.
Nichtsdestotrotz: SHA-1 kann man als kryptographisch gebrochen einstufen, so Experten.
Lustig daran: Just diese Woche (DI) hat die RegTP den Algorithmenkatalog 2005 herausgegeben, der die Konformität gemäß SigG bis 2010 festlegt
dumm gelaufen, oder wie war das mit Murphy?#äbaddon, unsigned.
jo... kenn mich nicht so richtig aus aber diverse kreditinstitute lassen
sich ihre seiten doch per VeriSign signieren und diese zertifikate haben einen
SHA1 fingerprint.
wenn sich solch ein zertifikat kopieren lässt dann ist der weg doch nicht mehr weit
bis man auf der falschen seite seine PIN / TAN eingibt.. den diverse browser bugs
lassen ja auch noch die richtige url in der location anzeigen...
... wenn man das böswillige ändern der hosts datei unter windows als schlimmsten
fall mal ausser acht lässt.
sich ihre seiten doch per VeriSign signieren und diese zertifikate haben einen
SHA1 fingerprint.
wenn sich solch ein zertifikat kopieren lässt dann ist der weg doch nicht mehr weit
bis man auf der falschen seite seine PIN / TAN eingibt.. den diverse browser bugs
lassen ja auch noch die richtige url in der location anzeigen...
... wenn man das böswillige ändern der hosts datei unter windows als schlimmsten
fall mal ausser acht lässt.