Cryptography Reference
In-Depth Information
Ihnen ist sicherlich klar, dass es Mallory meist nicht reicht, beliebige Kollisionen
zu finden, denn in der Praxis ist ja ein Urbild vorgegeben (zum Beispiel die sig-
nierte Nachricht, die Mallory von Alice abgefangen hat). Im Normalfall sind
daher schwach kollisionssichere Hashfunktionen zur Bildung von Hashwerten
für Signaturen ausreichend. Trotzdem gibt sich in der Praxis niemand mit einer
schwach kollisionssicheren Hashfunktion zufrieden. Dies liegt zum einen daran,
dass Kryptografen immer einen Sicherheitspuffer haben wollen, und ein solcher
ist bei starker Kollisionsresistenz zweifellos gegeben. Es hat aber auch damit zu
tun, dass mehrere gute, stark kollisionssichere kryptografische Hashfunktionen
verfügbar sind - weshalb sollte man dann etwas Schwächeres einsetzen? Davon
abgesehen kann man noch einen weiteren Grund ins Feld führen: Es gibt Anwen-
dungen für kryptografische Hashfunktionen, bei denen Kollisionen grundsätzlich
nicht möglich sein dürfen (in diesem Buch spielen solche Anwendungen jedoch
keine Rolle).
Nimmt man es genau, dann reicht die Aufteilung in Kollisionen und zweite
Urbilder nicht aus. In der Praxis genügt es Mallory nämlich nicht,
irgendein
zwei-
tes Urbild zu finden. Es muss vielmehr ein zweites Urbild sein, das einen sinnvol-
len Inhalt hat und Mallory einen Vorteil verschafft (etwa die Bestellung eines
Staubsaugers). Diese Unterscheidung lässt sich jedoch nicht genau definieren -
was ist ein sinnvoller Inhalt? - und wird von Kryptografen daher meist nicht
näher erörtert.
Sehr wohl interessant ist jedoch eine andere Anforderung, die Kryptografen
gemeinhin stellen. Diese lautet: Eine kryptografische Hashfunktion sollte ein
Zufallsorakel bilden. Zwischen Urbild und Hashwert darf es also keinen erkenn-
baren Zusammenhang geben. Dies bedeutet insbesondere, dass auch für krypto-
grafische Hashfunktionen der Avalanche-Effekt gelten muss - ändert sich ein Bit
im Urbild, dann muss sich im Schnitt die Hälfte der Bits im Hashwert ändern.
Substitutionsattacke
Überraschenderweise gibt es einen sehr einfachen Angriff auf kryptografische
Hashfunktionen, mit dem Mallory ein zweites Urbild findet, dessen Inhalt er
sogar weitgehend bestimmen kann. Dieser Angriff funktioniert grundsätzlich bei
jeder kryptografischen Hashfunktion. Er wird als
Substitutionsattacke
bezeich-
net. Um zu verstehen, wie eine Substitutionsattacke abläuft, nehmen wir an, Mal-
lory habe eine Nachricht von Alice mit signiertem kryptografischen Hashwert
abgefangen. Mallory sucht nun nach einem Text mit gleichem Hashwert, in dem
ein Staubsauger bestellt wird. Dazu setzt er folgenden Text auf:
Ich bestelle hiermit einen Staubsauger vom Typ Cryptosaug Plus.
Bitte liefern Sie bis Samstag 16 Uhr.
Alice Onliner
