SHA-1-Kollisionsangriff: kein Grund zur Panik sondern für regelmäßige Reviews

Originalbeitrag von Mark Nunnikhoven, Vice President, Cloud Research


Forscher haben mit einem erfolgreichen Kollisionsangriff auf die SHA-1 Hash-Funktion praktisch gezeigt, dass sie zu knacken ist. Die Nachricht hat hohe Wellen geschlagen, und IT-Teams, Journalisten und Anwender versuchen, die möglichen Konsequenzen davon zu verstehen. Dabei darf man nicht vergessen, dass „praktisch“ im Sinne der Kryptographieterminologie verwendet wird, das heißt, ohne sofortige Auswirkung auf die tägliche Arbeit.

Es geht um eine hochtechnische Kombination von Mathemathik und Computerwissenschaft, die Kryptographie zu einem Grundpfeiler der digitalen Sicherheit macht, und zugleich um eine ihrer größten Herausforderungen.

Der SHA-1-Algorithmus ist eine von vielen verschiedenen Hash-Funktionen. Eine solche Funktion stellt eine Einbahn-Straße dar, die ein beliebiges Daten-Set auf eine feste Größe reduziert, die man Hash nennt. In gewisser Weise lässt sich dieser Hash mit einer DNA-Sequenz vergleichen, die eine ganze Person repräsentiert.

Der Hauptvorteil eines Hash besteht darin, dass er einzigartig ist. Werden die ursprünglichen Daten in irgendeiner Weise verändert, so sollte auch der Hash sich ändern. Dies stimmt nun für SHA-1 nicht mehr. Das ist insoweit wichtig, weil Hash-Funktionen für sehr verschiedene Dinge verwendet werden:

  • Prüfen, ob die Datei, die jemand herunterlädt auch tatsächlich die angeforderte ist,
  • Sicherstellen, dass ein Sicherheitszertifikat (etwa auf einer sicheren Website) gültig ist,
  • Einsatz als digitale Signatur sowie
  • Verifizierung von Passwörtern.

Deshalb ist es immer beunruhigend, wenn es ein Sicherheitsproblem mit einer Hash-Funktion gibt.

Begrenzte Lebensdauer

Es war schon lang bekannt, dass ein solcher Angriff passieren würde, doch wusste man nicht wann. Brute Force-Angriffe (die jede mögliche Kombination ausprobieren, bis die richtige gefunden wird), waren eine vorhersehbare Methode. Doch weil sie so viel Zeit benötigten ((12.000.000+ Jahre auf einer einzelnen GPU), wurden sie nicht weiter beachtet.

Der neue Angriff von Google und CWI aber zeigt, dass es auch 100.000-mal schneller möglich ist. Damit reduziert sich die Angriffsdauer auf 9.223.372.036.854.775.808 Rechenoperationen oder 110 Jahre für eine GPU. Es ist jedoch vorstellbar, dass über den Zugriff auf entsprechende Cloud-Ressourcen der Angriff auch viel schneller funktioniert.

Die Forscher-Teams schätzen, es würde 110.000 $ kosten, um einen solchen Angriff erfolgreich durchzuführen. Dieser Preis aber schränkt die Zahl der Angreifer ein, die diese Technik auch nutzen wollen. Für die meisten Organisationen ändert sich demnach am Bedrohungsmodell nichts. Die Ankündigung könnte auf nationaler Ebene mehr Auswirkungen haben, denn hier spielen die Ressourcen keine so große Rolle. Doch hier weiß man um die Lebensdauer von Standards und die fallenden Preise für Rechenleistung.

Seit 2002 gibt es die SHA-2-Familie der Algorithmen (SHA-256, SHA-384 und SHA-512), die in den meisten Sicherheitsprodukten verfügbar ist. 2015 wurde SHA-3 veröffentlicht. Dies ist kein direkter Nachfolger von SHA-2, sondern eher eine Absicherung gegen einen neu entdeckten Angriffsvektor.

Starkes Signal

Die Ankündigung erinnert daran, dass die Grundlagen digitaler Sicherheit nicht zeitlos sind. Sie müssen regelmäßig erneuert und überprüft werden, vor allem bei Hashing-Algorithmen, die in den Standardprozess eingebaut sind. Die Herausforderung hier liegt in der Infrastruktur und Tools, die auf SHA-1 bauen. Denn nur weil ein neuer Standard verfügbar ist, wurde dieser nicht unbedingt auch implementiert.

Es gibt trotz der Aufregung rund um die Ankündigung keine direkten Probleme, die Nutzer in Panik versetzen müssten. Das am häufigsten zitierte Tool, das auf SHA-1 beruht ist git, ein beliebtes Source Control-Tool. Der Autor Linus Torvalds aber betont, dass es nur geringe Chancen gebe, einen erfolgreichen Angriff auf das git-Repository zu starten. Dennoch sollte eine Migration in Betracht gezogen werden, denn die Kosten für einen Angriff werden wahrscheinlich fallen.

Für Computerwissenschaftler, Mathematiker und Kryptographen sind die Details der Ankündigung hochinteressant. Doch für den Rest der Welt, sollte sie lediglich ein Anstoß für regelmäßige Reviews und Updates sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*