Cryptography Reference
In-Depth Information
Code (MDC), sichere Hashfunktion oder Message Integrity Code (MIC) genauso
gebräuchlich wie kryptografisches Prüfsummenverfahren oder Einweg-Hashfunk-
tion. Gemeint ist damit in aller Regel das Gleiche. Entsprechend gibt es auch für
den kryptografischen Hashwert unzählige Zweitnamen wie etwa Footprint, digi-
taler Fingerabdruck, Message Digest (MD) oder kryptografische Prüfsumme. Ein-
facher ist die Sache bei der Nachricht, die mit einer kryptografischen Hashfunk-
tion bearbeitet wird. Diese wird (wie bereits erwähnt) als Urbild bezeichnet.
Alle gängigen kryptografischen Hashfunktionen verwenden Techniken, die
Sie bereits aus der symmetrischen Kryptografie kennen. Sie teilen eine Nachricht
in Blöcke auf und bearbeiten jeden Block in mehreren Runden. Dabei werden
stets nur vergleichsweise einfache Bit-Operationen wie die Exklusiv-oder-Ver-
knüpfung oder die Modulo-Addition verwendet. Wie bei einem symmetrischen
Verschlüsselungsverfahren spielen lineare Bestandteile (für die Diffusion) sowie
nichtlineare (für die Konfusion) eine zentrale Rolle. Typische Hashwert-Längen
liegen zwischen 128 und 512 Bit. Das Urbild kann beliebig lang sein oder ist auf
ein sehr großes Maximum begrenzt.
Wichtig ist die Tatsache, dass bei kryptografischen Hashfunktionen nichts
verschlüsselt wird und dass es deshalb keine Schlüssel gibt. Jeder (auch Mallory)
kann also den kryptografischen Hashwert zu einer gegebenen Nachricht berech-
nen. Es gibt allerdings einige Ausnahmen zu dieser Regel, die Sie in Abschnitt
14.5 kennenlernen werden.
14.1.3
Angriffe auf kryptografische Hashfunktionen
Schauen wir uns nun an, wie ein Angriff auf eine kryptografische Hashfunktion
aussehen kann. Ziel von Angreifer Mallory ist es dabei stets, Kollisionen zu finden.
Ähnlich wie man Angriffe auf ein Verschlüsselungsverfahren in Ciphertext-Only-,
Known-Plaintext- und Chosen-Plaintext-Attacken einteilen kann, gibt es auch bei
Angriffen auf kryptografische Hashfunktionen verschiedene Abstufungen:
■
Kollision
: Am einfachsten ist es für Mallory, eine Kollision zweier beliebiger
Nachrichten zu finden. Dabei bedeutet »beliebig«, dass keine der beiden
Nachrichten einen Sinn hat oder sonst irgendwelche Vorgaben erfüllen muss.
Kryptografische Hashfunktionen, bei denen das Finden beliebiger Kollisionen
nach aktuellem Kenntnisstand nicht möglich ist, werden
stark kollisionssicher
genannt.
■
Zweites Urbild
: Schwieriger wird es, wenn Mallory eine Kollision finden
muss, bei der eine der beiden Nachrichten (oder ein Hashwert) vorgegeben
ist. Einen solchen Fall bezeichnet man als
zweites Urbild
. Eine kryptografi-
sche Hashfunktion wird
schwach kollisionssicher
genannt, wenn sie das Auf-
finden zweiter Urbilder nach aktuellem Kenntnisstand nicht zulässt.
