Cryptography Reference
In-Depth Information
grafischen Finessen und sind daher nur zu empfehlen, wenn eine Hashfunktion
mit mehr Ausgabe-Bits benötigt wird.
Bewertung von RIPEMD-160
RIPEMD-160 ist zweifellos eine gute Alternative zu SHA-2. Das Verfahren ist
vergleichsweise gut untersucht und hat bisher keine Schwächen offenbart. Auch
die aus China stammenden Angriffe auf SHA-1 und MD5 lassen sich bisher nicht
auf RIPEMD-160 ausdehnen. Darüber hinaus bietet das Verfahren einen Daten-
durchsatz, der nur etwa 15 Prozent unter dem von SHA-1 liegt, was in der Praxis
hinnehmbar ist. Allerdings wird RIPEMD-160 zweifellos an Bedeutung verlieren,
wenn sich SHA-3 (Keccak) in den kommenden Jahren durchsetzen wird.
14.3
SHA-3 (Keccak)
Als im Jahr 2004 der oben beschriebene Angriff auf SHA-1 bekannt wurde, zeig-
ten sich viele IT-Sicherheitsexperten besorgt. Zwar gab es mit den SHA-2-Algo-
rithmen und RIPEMD-160 einige als sicher geltende Alternativen, doch diese
ähnelten SHA-1 in vielerlei Hinsicht, weshalb man damit rechnen musste, dass
auch sie Schwächen offenbaren würden. Andere Verfahren, wie Tiger oder
WHIRLPOOL (von diesen wird noch die Rede sein), waren noch zu wenig unter-
sucht, um als sicher zu gelten. Weitere Alternativen gab es kaum. Viele forderten
daher die US-Standardisierungsbehörde NIST dazu auf, einen Wettbewerb nach
Vorbild des AES-Wettbewerbs zu veranstalten, um eine neue, vertrauenswürdige
kryptografische Hashfunktion zu finden. Tatsächlich kam das NIST diesem
Wunsch nach. Der Wettbewerb begann im Jahr 2008. Gefordert war ein Verfah-
ren, das Hashwerte der Länge 224, 256, 384 und 512 Bit liefert - eine Hashwert-
Länge von 160 Bit, wie sie von SHA-1 unterstützt wird, war optional. Das Sieger-
verfahren sollte unter dem Namen
SHA-3
standardisiert werden.
Das Interesse am SHA-3-Wettbewerb war groß. Bis zum Ende der Einrei-
chungsfrist am 31. Oktober 2008 gingen beim NIST nicht weniger als 64 Algo-
rithmen ein (beim AES-Wettbewerb waren es nur 15 gewesen). Im Vorfeld des
SHA-3-Wettbewerbs wurden damit mehr kryptografische Hashfunktionen veröf-
fentlicht als in der gesamten vorherigen Geschichte dieser Verfahren zusammen.
Auch zwei Kandidaten aus dem deutschsprachigen Raum waren dabei:
Twi st er
,
das von Studenten der Universität Weimar entwickelt wurde, und
MeshHash
des
Gießeners Björn Fay. Zudem waren einige Kryptografen aus Deutschland, Öster-
reich und der Schweiz als Mitglieder internationaler Teams mit dabei. Dazu
gehörte insbesondere der Weimarer Professor Stefan Lucks, der zusammen mit
Bruce Schneier und anderen das Verfahren
Skein
einreichte (siehe Abschnitt
14.4.5).
Von den 64 Einreichungen ließ das NIST nur 51 zur ersten Wettbewerbs-
runde zu - die anderen hatten offensichtliche Mängel. Von diesen 51 Kandidaten
