Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware

Michael Pachter: Preis der neuen PSP Go ist
World Copyright Summit: Tausende für legales P2P-Musik

SHA-1: Lücke im Hash-Algorithmus entdeckt

IT-Sicherheitsforscher haben im Hash-Algorithmus SHA-1 eine weitere Lücke entdeckt, die erfolgreiche Angriffe in den Bereich des realistischerweise Machbaren rückt.

Hash-Funktionen werden benutzt, um die Integrität von Daten sicherzustellen. Man verwendet sie beispielsweise, um heruntergeladene Dateien mit dem Original abzugleichen, oder für das Signieren von E-Mails. Damit diese Aufgaben zuverlässig erfüllt werden, darf ein Algorithmus keine sogenannten Kollisionen zulassen, das heißt, es darf nicht möglich sein, andere Daten zu erzeugen, die denselben Hash-Wert ergeben. Im Falle von SHA-1 ist dies nicht mehr in jedem Fall gegeben.

Es war bereits seit einer Weile vermutet worden, dass SHA-1 nicht mehr lange sicher sein wird. Bisherige Angriffe bewegten sich zwar im rein wissenschaftlichen Bereich und waren nicht unter realen Bedingungen absehbar; jedoch gingen viele Experten davon aus, dass auch der Durchbruch, der unter realen Bedingungen Angriffe ermöglichen würde, nur noch eine Frage der Zeit sei. Aus diesem Grund wurde bereits ein Wettbewerb gestartet, bei dem ein Nachfolger für die Hash-Funktion gesucht wird (gulli:news berichtete).

Nun sieht es so aus, als sei der Untergang von SHA-1 endgültig besiegelt. Einem Forscherteam von der Macquarie University in Sydney gelang es, die Anzahl der Versuche, die für die Erzeugung einer Kollision benötigt wird, von 2 hoch 63 auf 2 hoch 52 zu verringern. Dies ist im Bereich der Kryptographie ein erheblicher Unterschied. Es bedeutet praktisch, dass Angriffe auf SHA-1 für Behörden oder Unternehmen mit großen technischen Ressourcen (oder Projekte, die per Distributed Computing arbeiten, die Arbeit also zwischen hunderten oder tausenden von Rechnern aufteilen) in den Bereich des Möglichen rücken.

"Ich erwarte, dass wir SHA-1-Kollisionen schon vor dem Ende dieses Jahres, wenn nicht eher, sehen werden," sagt Paul Kocher, Leiter und Chefwissenschaftler der in San Francisco ansässigen Beraterfirma Cryptography Research. Er fügte hinzu, bei Anwendungen, die aufgrund von Kollisionen kompromittiert werden können "muss man sich wirklich Sorgen machen." In der Tat war es eine ähnliche Schwäche im Hash-Algorithmus MD5, die vor einiger Zeit zahlreiche Attacken auf SSL-Zertifikate ermöglichte.

Wem es also auf maximale Sicherheit ankommt, der sollte von der Verwendung von SHA-1 spätestens jetzt Abstand nehmen. (Annika Kremer)

(via The Register, thx!)

News Redaktion am Donnerstag, 11.06.2009 17:12 Uhr

tagsTags: it-sicherheit hash hash-algorithmus kryptografie verschlüsselung sha-1

Bookmark and Share
Auf Facebook teilen
 
Weitere interessante News
24 Reaktionen zu dieser Nachricht
  • Shadow27374 am 13.06.2009 01:05:55

    Wenn man schonmal beim Thema ist, ich habe eine ganz kurze und simple Frage dazu: Ist AES noch als sicher einzustufen? AES ist ein Verschlüsselungsalgorithmus zum Zurückrechnen konzipiert. Mit einem Hashalgorithmus wie dem SHA1 soll so etwas nicht möglich sein. Es wur ...

  • lolwas am 12.06.2009 23:29:08

    Der AES-Algorithmus ist ziemlich sicher (Gibt aber auch deutlich sichere...). Ein Verschlüsselung wird aber meistens über den Hash gebrochen, du ein 6 Stelliges Passwort hast, welches als MD5 gespeichert wird, dann hab ich dein Passwort in unter 3 Minuten. Bei 8 stelligen benötige ich dagegen sc ...

  • Dracul_X am 12.06.2009 16:50:50

    AES ist auf jedn Fall noch sicher. ...

  • Karlsruher_SC am 12.06.2009 16:47:31

    Wenn man schonmal beim Thema ist, ich habe eine ganz kurze und simple Frage dazu: Ist AES noch als sicher einzustufen? ...

  • pampeyi am 12.06.2009 16:40:37

    @Abbreviatus: Im Prinzip ja, es geht darum, dass einen "sinnvollen" Inhalt mit gleichem Hash zu erzeugen nicht (auch nicht mit großem Rechenaufwand / Distributed Computing etc) wirklich (realistisch) möglich wird. Hier brauchten die Forscher 2^52 Versuche, um IRGENDEINEN Wert erzeugen der einen id ...

weitere Kommentare lesen     Nachricht kommentieren

 
News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

befreit: ipad 3 & iphone 4s

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...

Browsergames
Gondal World

TOPTIPP: Gondal World

Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! Escaria spielen

Escaria

Escaria

Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! Escaria spielen

Artyria

Artyria

Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. Artyria spielen

Gondal

Gondal

Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. Gondal spielen

Last Emperor

Last Emperor

Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. Last Emperor spielen

Nightcreeps

Nightcreeps

Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. Nightcreeps spielen

gulli:picsArtikel empfehlengulli RSS News Feedsgulli RSS NewsPresso Feedsgulli:Newslettergulli twittertgulli bei facebookgulli:news im AppStoreSeitenanfang

© 1998-2012 InQnet GmbH

Hardwareclips