Cryptography Reference
In-Depth Information
Jahren entdeckt wurden, ist es inzwischen selbst mit geringen Mitteln möglich,
Kollisionen zu finden. MD4 sollten Sie daher nicht mehr verwenden.
14.2.4
MD5
Die Mängel an MD4 veranlassten Rivest bereits 1991, eine überarbeitete Version
des Verfahrens zu veröffentlichen. Das Ergebnis hieß
MD5
und wurde vorüberge-
hend zur meistverwendeten kryptografischen Hashfunktion überhaupt. MD5
wurde inzwischen von der IETF standardisiert und ist in [RFC1321] beschrieben.
Da sowohl MD5 als auch SHA-1 Weiterentwicklungen von MD4 sind, sind sich
die beiden Verfahren sehr ähnlich. Beide Verfahren verwenden 512-Bit-Blöcke,
Kettenvariablen der Länge 32 Bit und vier Runden in der Kompressionsfunktion.
Die Funktionsweise von MD5 ist daher am einfachsten zu beschreiben, wenn wir
uns die Unterschiede zu SHA-1 anschauen:
■
MD5 liefert einen Hashwert der Länge 128 Bit (bei SHA-1 sind es 160 Bit).
Deshalb gibt es auch nur vier Kettenvariablen.
■
MD5 begnügt sich mit 16 Operationen pro Runde. Bei SHA-1 sind es 20.
■
Die Bit-Operationen bei MD5 sind etwas anders aufgebaut als bei SHA-1.
MD5 ist zwar aus historischen Gründen immer noch weit verbreitet, doch in neu-
eren Implementierungen wird das Verfahren kaum noch verwendet. Schuld daran
ist zum einen die Länge des Hashwerts: 128 Bit gelten heutzutage als untere
Grenze, wünschenswert sind mindestens 160 Bit. Darüber hinaus gibt es inzwi-
schen mehrere beunruhigende Kryptoanalyse-Ergebnisse. So fand 1996 der deut-
sche Kryptograf Hans Dobbertin vom Bundesamt für Sicherheit in der Informati-
onstechnik (BSI) eine Angriffsmethode gegen MD5 [Dobber]. Es gelang ihm, bei
einer MD5-Variante Kollisionen zu finden, die sich nur durch geänderte Initiali-
sierungswerte der Kettenvariablen vom Original unterschieden. In den Jahren
nach 2004 ging es dann Schlag auf Schlag. Zunächst gelang es der chinesischen
Kryptografin Xiaoyun Wang, die auch SHA-1 gebrochen hatte, zusammen mit
einigen Kollegen, erstmals MD-5-Kollisionen zu generieren [WaFeLY]. Inzwi-
schen ist es sogar möglich, Kollisionen auf einem gewöhnlichen PC innerhalb
von Stunden zu berechnen [Klima]. MD5 ist damit endgültig tot.
14.2.5
RIPEMD-160
Die lange Zeit wichtigste Alternative zu SHA-1 war eine in Europa entwickelte
Hashfunktion namens
RIPEMD-160
[BoDoPr]. Diese ist unter Mitwirkung des
deutschen Kryptografen Hans Dobbertin entstanden, der auch den beschriebenen
Angriff auf MD5 entdeckte. RIPEMD-160 ist die Weiterentwicklung einer Hash-
funktion namens RIPEMD, die von einem gänzlich anderen Kryptografen-Team
entwickelt wurde. RIPEMD wiederum ist wie SHA-1 und MD5 eine Weiterent-
wicklung von MD4.
