Zwei verschiedene Dokumente – aber ein und derselbe SHA-1-Wert. Das sollte es eigentlich nicht geben. Mit einer gewaltigen Anstrengung haben Forscher von der CWI Amsterdam und Google zwei PDF-Dokumente erzeugt, die den endgültigen Todesstoß für das überalterte Hash-Verfahren bedeuten. Mehr als 6500 CPU-Jahre und nochmal 100 GPU-Jahre erforderte die Berechnung dieser Kollision; natürlich ist mit weiteren Optimierungen zu rechnen, die das deutlich reduzieren.

Hash-Verfahren wie SHA-1 und dessen designierter Nachfolger SHA-2 kommen immer dann zum Einsatz, wenn es darum geht, eine kompakte Darstellung großer Datenmengen zu finden, um deren Echtheit zu bestätigen. Also etwa bei Digitalen Unterschriften von Programmen, Updates, Krypto-Schlüsseln, Backups oder E-Mails. Die wichtigste Anforderung ist: Jede noch so kleine Änderung des Datensatzes führt zu einer Änderung des Hash-Wertes. Darüber hinaus muss es auch praktisch unmöglich sein, dass jemand zwei Datensätze erstellt, die den gleichen Hash-Wert produzieren.

Shattered: SHA-1 zerschmettert

Genau das gewährleistet SHA-1 jetzt definitiv nicht mehr, wie die Forscher jetzt mit zwei PDF-Dokumenten bewiesen, die den gleichen SHA-1-Wert ergeben. Sie könnten somit ein Opfer das blaue PDF unterschreiben lassen, die SHA-1-basierte Signatur abschneiden und unter das rote PDF setzen. Jedes Programm würde die Signatur als echt bestätigen.

Die beiden oben dargestellten PDF-Dateien ergeben tatsächlich den gleichen SHA1-Wert; bei SHA256 unterscheiden sie sich jedoch.

SHA-1 gilt bereits seit 2005 als geknackt. Damals stellten chinesische Kryptologen einen Angriff vor, der die Zahl der benötigten Berechnungen für das Auffinden einer Kollision deutlich reduzierte: "Statt der 280 Operationen, die das Ausprobieren aller Angriffsmöglichkeiten gegen SHA-1 erfordert, gelingt es den Chinesen bereits mit 269 Operationen eine Kollision zu finden", berichtete heise Security damals. Das war zwar immer noch weit von einer praktischen Realisierbarkeit entfernt. Doch Angriffe werden immer besser und CPUs immer schneller.

Nach dem jetzt von Marc Stevens und Kollegen vorgestellten Angriff auf SHA-1 kann man dieses Hash-Verfahren endgültig beerdigen. Wer es jetzt noch einsetzt, handelt grob fahrlässig. Der Nachfolger steht auch schon fest: In allen praktischen Belangen kann und sollte man stattdessen SHA256 oder SHA512 verwenden. Diese beiden SHA-2-Varianten gelten als ausreichend sicher, dass sie auch langfristig die Unterscheidbarkeit verschiedener Dokumente garantieren können. Auf jeden Fall ist eine SHA-2-Kollision eine würdige Herausforderung für Marc Stevens, der auch bereits am Todesstoß für MD5 beteiligt war.

Siehe dazu auch:

(ju)