Kryptografische Hashfunktionen - Kryptografie

Cryptography Reference

In-Depth Information

Bewertung von SHA-1

Ende der neunziger Jahre entwickelte sich SHA-1 zur bedeutendsten kryptografi-

schen Hashfunktion überhaupt. Sie kommt unter anderem in den gängigen Web-

browsern, in PGP sowie in den Netzwerkprotokollen SSL, IPsec und S/MIME zur

Anwendung. Bis zum Jahr 2004 konnte man sich bei der Verwendung von SHA-

1 auf der sicheren Seite fühlen. Dann kamen jedoch erstaunliche Nachrichten aus

China. Dort war es der Kryptografin Xiaoyun Wang zusammen mit zwei Kolle-

gen gelungen, eine Methode zur Generierung von SHA-1-Kollisionen zu entwi-

ckeln, die schneller funktionierte als ein Geburtstagsangriff [WaYiYu]. Statt 2 80

benötigte dieser Angriff »nur« 2 69 Funktionsaufrufe. Noch im selben Jahr ver-

besserten Xiaoyun Wang, Andrew Yao und Frances Yao diesen Wert auf 2 63

[WaYaYa]. Krypto-Papst Bruce Schneier bezeichnete SHA-1 bereits nach der ersten

Veröffentlichung als gebrochen [Schn05]. In der Tat liegen 2 63 Funktionsaufrufe

gerade noch im Bereich des Möglichen. SHA-1 hat also einige ernsthafte Kratzer

abbekommen. Noch ist zwar kein konkreter Fall einer Kollisionsberechnung

bekannt, und der Aufwand für ein solches Unterfangen ist mit den derzeit verfüg-

baren Mitteln gewaltig. Schon die nächste Verbesserung des besagten Angriffs

könnte die Situation jedoch ändern. SHA-1 sollte man daher in neuen Entwick-

lungen vermeiden.

14.2.2

Neue SHA-Varianten

Schon vor den Angriffen durch die chinesischen Kryptografen veröffentlichte die

US-Standardisierungsbehörde NIST im Jahr 2000 vier neue SHA-Versionen:

SHA-224, SHA-256, SHA-384 und SHA-512 (die Zahl im Namen steht jeweils

für die Länge des Hashwerts). Die vier neuen SHA-Funktionen unterscheiden

sich nicht nur in der Hashwert-Länge von SHA-1, sondern weisen auch eine

ganze Reihe funktionaler Unterschiede auf [FIPS-180, RFC4634].

SHA-224 und SHA-256

SHA-256 unterscheidet sich wie folgt von SHA-1:

■

Die Initialisierungswerte für die Kettenvariablen wurden geändert.

■

Es gibt nur noch 16 statt 20 Teilrunden pro Runde.

■

Für jede Teilrunde wird eine andere Konstante verwendet.

■

Die Formel für die Funktion g wurde geändert und enthält nun einige zusätz-

liche Rotationen.

■

Die Expansionsformel wurde geändert und enthält nun ebenfalls zusätzliche

Rotationen sowie zwei Schiebeoperationen.

SHA-224 hat denselben Ablauf wie SHA-256, nur dass am Ende 32 Bit des Hash-

werts abgeschnitten werden. SHA-224 und SHA-256 sind von dem aus China

stammenden Angriff auf SHA-1 nicht betroffen.

Kryptografie

Search WWH ::

Custom Search

Home