DVB-Cube <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: Jürgen am 18 Februar, 2005, 14:52
-
Der gemeldete Durchbruch der Kryptanalyse, dem offenbar das Standard-Hashverfahren SHA-1 zum Opfer fiel, löst allgemeines Erstaunen aus. "Niemand hat geglaubt, dass SHA-1 so schnell fallen würde", wundert sich Krypto-Experte Bruce Schneier in einer Stellungnahme gegenüber heise Security.
Aber er habe sich die Ergebnisse des Teams angeschaut und glaube, dass sie es tatsächlich geschafft haben, SHA-1 zu brechen. Das bisher nicht veröffentlichte Paper sei jetzt zur EuroyCrypt eingereicht worden. Dann werde man sehen, ob sie wirklich Recht haben. Allerdings relativiert er das Risiko: "Erst einmal besteht noch keine Gefahr. Niemand muss jetzt seine Zertifikate oder Keys wegwerfen." Nur für die nähere Zukunft sieht er einen Wechsel zu SHA-256 als ausreichend an: "Man wird sich aber über weitere Hash-Algorithmen Gedanken machen müssen."
Auch Burt Kaliski, einer der Pioniere der Public-Key-Verschlüsselung und Chef der Entwicklungsabteilung von RSA Security, kritisiert fehlende Vielfalt bei den eingesetzten Hash-Algorithmen: "Alle bauen aufeinander auf: MD4, MD5 sowie SHA-0, SHA-1 und der jetzt wohl präferierte SHA-256." Grund zur Panik sieht Kaliski zwar nicht, doch innerhalb der nächsten fünf bis zehn Jahre rechnet er mit ausgefeilteren Techniken, die es ermöglichen könnten, ein signiertes Dokument nachträglich so zu verändern, dass sich der Hash-Wert nicht ändert (so genannte Preimage-Attacken). Deshalb müsse man jetzt beginnen, nach neuen Verfahren zu suchen.
./.
(ju/c't)
Der ganze Artikel (http://www.heise.de/newsticker/meldung/56507) mit Links
Quelle: www.heise.de
-
Reale Gefahr durch neue Angriffe auf SHA-1
Bereits im Februar wurde bekannt, dass drei chinesische Forscher den Hash-Algorithmus SHA-1 geknackt haben. In einem weiteren Schritt gelang es nun Xiaoyun Wang, die schon an der Veröffentlichung aus dem Februar 2005 beteiligt war, mit zwei Mitstreitern die Komplexität der Angriffe auf SHA-1 weiter zu senken, auf ein Niveau, bei dem Angriffe mit aktueller Hardware möglich werden, erklärt der IT-Sicherheitsexperte Bruce Schneier.
Ein so genannter Brute-Force-Angriff auf SHA-1 hat eine Komplexität von 2^80, so Schneier, mit den im Februar 2005 unter anderem von Xiaoyun Wang vorgestellten Methoden zum Angriff auf SHA-1 sanken die Anforderungen aber auf 2^69. Mit den neuen Erkenntnissen nun soll das Niveau auf 2^63 sinken, so Schneier, es werde aber erwartet, dass sich die aktuellen Ergebnisse noch verbessern lassen und Angriffe auf SHA-1 noch einfacher werden.
Schneier merkt dabei an, dass mit den aktuellen Ergebnissen die wichtige Grenze von 2^64 überschritten werde, ein Niveau, auf dem man schon Angriffe mit massivem Computereinsatz durchgeführt habe. Damit sei die Suche nach Kollisionen in SHA-1 nahezu möglich und es werde sicher einige Forschergruppen geben, die die Ansätze praktisch testen werden, so Schneier, der dadurch mit einer weiteren Verbesserung der Methoden rechnet. Ein solche Software könnte zu ernsthaften Problemen führen.
Bereits im Februar 2005 forderten Sicherheisexperten eine Migration weg von SHA-1, Schneier macht sich dafür stark, Ausschau nach Alternativen zu halten.
SHA-1 produziert aus gegebenen Daten einen Hash-Wert von 160 Bit Länge. Zwar gibt es dabei prinzipbedingt eine unendliche Zahl unterschiedlicher Sätze von Ausgangsdaten, die zu gleichen Hash-Werten führen, da die Zahl der unterschiedlichen Hash-Werte aber sehr groß ist, ist die Wahrscheinlichkeit, dass sich zwei gleiche finden lassen, sehr gering. Mit den Arbeiten der chinesischen Forscher existieren nun aber Ansätze, mit dem sich gleiche Hash-Werte deutlich schneller finden lassen als mit einem "Brute-Force-Angriff".
Alternativen stehen unter anderem mit SHA-224, SHA-256, SHA-384 und SHA-512 zur Verfügung. Experten wie Jon Callas, CTO & CSO der PGP Corporation oder Bruce Schneier fordern aber auch echte Alternativen, denn die meisten heute genutzten Hash-Algorithmen basieren auf den Grundprinzipien von MD4.
Im Oktober 2005 hält das National Institute of Standards and Technology (NIST) einen Workshop rund um Hash-Algorithmen. Die Auswirkungen der Angriffe auf S/MIME, TLS und IPsec diskutieren unter anderem Steven Bellovin und Eric Rescorla in ihrem Paper Deploying a New Hash Algorithm.
Quelle und Links : http://www.golem.de/0508/39951.html
-
Kryptoexperten haben auf der Konferenz Crypto 2006 eine erweiterte Angriffsmethode gegen eine reduzierte Variante des Hash-Algorithmus SHA-1 demonstriert. Bei der neuen Methode handelt es sich nun erstmals um einen Angriff, bei dem zumindest ein Teil der Nachricht beispielsweise als Klartext frei wählbar ist. Bisherige Ansätze, etwa der aufsehenerregende Kollisionsangriff von Xiaoyun Wang und ihren Mitarbeitern, konnten lediglich nahezu vollständig verschiedene Hash-Zwillinge gleicher Länge produzieren, die aus sinnlosem Kauderwelsch bestehen.
Die Demonstration beschränkte sich zwar lediglich auf die reduzierte SHA-1-Variante mit 64 Schritten, lässt sich jedoch nach Einschätzung der Experten auch auf die reguläre 80-Schritt-Variante verallgemeinern. Damit müsste auch SHA-1 als grundsätzlich geknackt angesehen werden. Christian Rechberger, der den neuen Angriff zusammen mit seinem Kollegen Christophe De Cannière entwickelte, erklärte gegenüber heise Security, dass sich in ihren Versuchen bis zu einem Viertel der Nachricht frei wählen ließ. Die restlichen 75 Prozent sind nach wie vor durch den Angriff vorgegeben. Rechberger vermutet jedoch, dass sich der frei wählbare Anteil durch weitere Optimierung des Angriffs noch steigern lässt.
Mit dem neuesten Vorstoß erreichen nun zumindest die Angriffe gegen schrittreduzierte SHA-1-Varianten dasselbe Niveau wie beispielsweise die Angriffe gegen den älteren MD5-Algorithmus. Der bisher erfolgreichste SHA-1-Angriff nach Wang blieb für die Praxis bislang folgenlos, da die produzierten Hash-Zwillinge stets völlig unleserlich waren. Mit der nun vorgestellten Methode ließen sich jedoch beispielsweise zwei HTML-Dokumente mit einem langen Kauderwelsch-Teil nach dem abschließenden </html>-Tag produzieren, die trotz leicht unterschiedlichem HTML-Teil dank des angepassten Anhängsels den gleichen Hash-Wert besitzen.
Der SHA-1-Algorithmus ist immer noch der am weitesten verbreitete Hash-Algorithmus überhaupt, obwohl sich nun schon länger rasante Fortschritte bei den SHA-1-Angriffen abzeichnen. Noch steht die erfolgreiche Verallgemeinerung der neuen Angriffsmethode auf das unreduzierte Standard-SHA-1 aus, doch nun ist es höchste Zeit, einen geeigneten Nachfolger zu finden. Ein möglicher Weg besteht in einer öffentlichen Ausschreibung, wie sie 1997 beim Nachfolger des schwächelnden Verschlüsselungsalgorithmus DES erfolgreich praktiziert wurde. Bis ein neuer Standard gefunden wurde, können sicherere Alternativen wie SHA-256 oder SHA-512 zumindest die Latte für Angriffe höher legen. Durch die längeren Hash-Werte sind die eigentlichen Kollisionsberechnungen ungleich aufwendiger als beim 160-bittigen Vorgänger.
Siehe dazu auch:
* Hash mich, Konsequenzen der erfolgreichen Angriffe auf SHA-1, Know-how-Artikel von heise Security zu den Angriffen von Wang et al.
Quelle und Links : http://www.heise.de/newsticker/meldung/77235
-
Das National Institute of Standards and Technology (NIST) hat sich nach langem Zögern dazu entschlossen, einen öffentlichen Wettbewerb für den Nachfolger des Hash-Algorithmus SHA-1 auszuschreiben. Im Februar 2005 hatte ein chinesisches Forscherteam einen Weg aufgezeigt, wesentlich schneller Kollisionen zu berechnen, als bis dato vermutet wurde. SHA wird als so genannte Hash-Funktion von vielen Applikationen eingesetzt, um die Echtheit von Daten zu bestätigen. Insbesondere viele Verfahren zur digitalen Signatur setzen unter anderem SHA ein.
Eine Hash-Funktion erzeugt aus einem Datensatz eine vergleichsweise kurze Zahl, den Hash-Wert, der als eine Art Fingerabdruck benutzt wird. Stimmt der abgespeicherte Hash-Wert des Originals mit dem der vorliegenden Kopie überein, geht man davon aus, dass die Daten gleich, beziehungsweise unverändert sind. Gelingt es jedoch, gezielt einen zweiten Datensatz zu erstellen, der den gleichen Hash-Wert erzeugt, dann ist das Verfahren geknackt. Gleiche Hash-Werte aus unterschiedlichen Ausgangsdaten nennt man auch Kollisionen. Angreifer könnten Daten manipulieren, ohne dass dieses über den Hash-Wert bemerkt würde.
Grundsätzlich ist SHA-1 zwar immer noch nicht direkt geknackt, doch machte man sich bereits 2005 auf die Suche nach einem Nachfolger. Vorgeschlagen wurden Algorithmen der SHA-2-Familie (SHA-224, SHA-256, SHA-384, and SHA-512), die allerdings im Wesentlichen auf dem gleichen Algorithmus wie SHA-1 beruhen und nur längere Hash-Werte aufweisen. Somit sind sie wahrscheinlich für dieselben Attacken anfällig. Wohl weil die SHA-Algorithmen im Rahmen des Federal Information Processing Standard (FIPS) für den Einsatz bei Regierungsbehörden zugelassen sind, wollte das NIST eigentlich an SHA festhalten – und präferiert immer noch die Migration auf SHA-2.
Parallel dazu will das NIST aber die Entwicklung eines neuen Verfahrens anstoßen, ähnlich wie vor einigen Jahren beim DES-Nachfolger AES. Internationale Kryptologen hatten dies immer wieder gefordert. Deshalb hat das NIST nun einen Anforderungskatalog veröffentlicht, zu dem nun bis zum 27. April 2007 Kommentare eingereicht werden können. Auf einer RSA-Konferenz und der FSE 2007 sollen die minimalen finalen Anforderungen dann präsentiert werden. Anschließend nimmt man bis Ende 2008 Entwürfe für ein neues Verfahren entgegen. Der Sieger des Auswahlverfahren geht dann in den Secure Hashing Standard SHS über – dies soll allerdings bis 2012 dauern.
Quelle : www.heise.de
-
Australische Forscher haben einen neuen Weg beschrieben, um beim Hash-Algorithmus SHA-1 schneller als bisher Kollisionen provozieren zu können. Demnach lässt sich eine Kollision schon bei 252 Versuchen finden. Damit kommen praktikable Angriff auf SHA-1 in Reichweite, was Auswirkungen auf den weiteren mittelfristigen Einsatz des Algorithmus bei digitalen Signaturen haben könnte.
SHA-1 wird von vielen Applikationen eingesetzt, um die Echtheit von Daten zu bestätigen. Die Forscher nutzten zur Beschleunigung eine Kombination aus einer Bumerang Attacke und der Suche nach sogenannten Differentiellen Pfaden.
Ende des Jahres 2008 demonstrierten Forscher, wie sich mit 200 Playstation-3-Spielkonsolen Kollision bei MD5-Hashes finden ließen, um damit eigene Herausgeberzwischenzertifikate für SSL erstellen zu können. Etwas ähnliches könnte bei SHA-1 demnächst ebenfalls eintreten. Bei den Angriffen ist es aber weiterhin notwendig, die Kontrolle über beide zu hashende Nachrichten zu haben. So genannte Pre-Image-Attacken, bei denen ein Angreifer versucht, eine neue sinnvolle Nachricht mit dem gleichen Hash wie eine bereits vorhandene Nachricht zu erzeugen, funktionieren weiterhin nicht.
Ein erstes Verfahren zum schnelleren Finden von Kollisionen gab es bereits Anfang 2005, bei dem chinesische Forscher nur 269 statt 280 Versuchen benötigten, um zwei verschiedene Datensätze mit gleichem Hash-Wert zu finden. Wenige Monate später reduzierte sich die Komplexität sogar auf 263 Versuche.
Bereits 2005 machte man sich auf die Suche nach einem Nachfolger von SHA-1. Vorgeschlagen wurden Algorithmen der SHA-2-Familie (SHA-224, SHA-256, SHA-384, and SHA-512), die allerdings im Wesentlichen auf dem gleichen Algorithmus wie SHA-1 beruhen und nur längere Hash-Werte aufweisen. Somit sind sie wahrscheinlich für dieselben Attacken anfällig.
Das US-amerikanische National Institute of Standards and Technology (NIST) schrieb deshalb 2007 einen Wettbewerb für einen neuen HAsh-Algorithmus aus, bei dem bis Ende 2008 zahlreiche Entwicklerteams ihre Vorschläge einreichten. Ein Gewinner darf sich dann SHA-3 nennen und ab 2012 als offizieller Standard für mehr Sicherheit sorgen.
Quelle : www.heise.de
-
Der vom amerikanischen National Institute of Standards and Technology (NIST) ausgeschriebene Wettbewerb um die nächste Generation kryptografischer Hash-Funktionen geht in die zweite Runde. 14 Algorithmen dürfen weiter darum wetteifern, im Jahr 2012 zum nächsten Standard für kryptografische Hash-Funktionen gekrönt zu werden, SHA-3 (Secure Hash Algorithm).
Hash-Funktionen sind einer der Grundpfeiler für die Sicherheit elektronischer Kommunikation. Eine Hash-Funktion errechnet aus einer Nachricht beliebiger Länge einen Hash-Wert fester Länge, der keine Rückschlüsse auf die ursprüngliche Nachricht erlaubt. Eine gute kryptografische Hash-Funktion zeichnet sich also dadurch aus, dass es praktisch unmöglich ist, zu einem gegebenen Wert eine Nachricht zu konstruieren, deren Hash diesen Wert ergibt.
Die Anwendungsmöglichkeiten für Hash-Funktionen sind vielfältig. Zum Beispiel lässt sich mit einem Hash die Unverfälschtheit einer Datei überprüfen – nicht umsonst hat Microsoft dieser Tage SHA-1-Hashes der endgültigen Windows-7-Images veröffentlicht. Webserver können mittels Hash-Funktionen Passwörter überprüfen, ohne sie dazu im Klartext zu speichern: In die Datenbank wandern lediglich ein Hash-Werte, aus denen sich die ursprünglichen Passwörter nicht rekonstruieren lassen.
Leider altern Hash-Funktionen in gewissem Sinne: Ständig suchen Forscher nach Wegen, sie zu knacken, und außerdem werden die Rechner immer schneller, sodass sich ältere Hashes inzwischen mit roher Rechenleistung umkehren lassen. So gilt der beliebte Hash-Algorithmus MD5 als nicht mehr sicher, und wo er noch eingesetzt wird, gibt es inzwischen auch reale Angriffe. Auch bei SHA-1 rücken durch neue Forschungsergebnisse praktische Angriffe allmählich in Reichweite. Wenn es dann dazu kommt, hat man ja noch SHA-2 in petto, aber weil kryptografische Hash-Funktionen eine so extrem knifflige Angelegenheit sind, hat das NIST schon 2008 den Wettbewerb um die nächste Generation ins Leben gerufen. Er soll nach bisherigem Zeitplan bis 2012 dauern. So lange werden die Kryptografen also gegenseitig versuchen, ihre Algorithmen zu knacken, bis sich am Ende einer SHA-3 nennen darf und dann total sicher ist – bis auf Weiteres.
Quelle : http://www.heise.de/newsticker/SHA-3-Zweite-Runde-in-der-Olympiade-der-Kryptografen--/meldung/142569 (http://www.heise.de/newsticker/SHA-3-Zweite-Runde-in-der-Olympiade-der-Kryptografen--/meldung/142569)
-
Der Kölner Blogger Thomas Roth hat mit Unterstützung von Amazons Service Elastic Compute Cloud (EC2) und der seit kurzem angebotenen "Cluster GPU Instances" (GPU-Modul Tesla M2050 von Nvidia) eine Textdatei mit 14 SHA1-Hashes in 49 Minuten per Bruteforce geknackt. Die Passwörter hatten eine Länge von 1-6 Zeichen. Die Details beschreibt Roth in seinem Blog.
Durch Amazons EC2 kann jedermann kurzfristig und für kleines Geld Rechnerkapazitäten anmieten, ohne zunächst in die Anschaffung der Hardware investieren zu müssen. Eine Stunde Rechenzeit hätte in der Konfiguration des Bloggers mit lediglich 2,10 US-Dollar zu Buche geschlagen. Bereits vor Einführung der GPU-Option war EC2 als effizientes Werkzeug für Passwortknacker bekannt.
Roths Demonstration ist eindrucksvoll, doch über seine Aussage, nach der man SHA1 nicht länger nutzen will, kann man trefflich streiten. So hat er lediglich relativ kurze Passwörter zurückberechnet, von denen man in der Praxis ohnehin Abstand nehmen sollte. Mit jedem zusätzlichen Zeichen schießt der Aufwand zum Brechen des Hashes exponentiell in die Höhe. Grundsätzlich sind längere Passwörter mit einer Mindestlänge von 12 Zeichen zu empfehlen.
Quelle : www.heise.de
-
Poul-Henning Kamp, der Entwickler des populären Hash-Algorithmus MD5, erklärte seine Software am gestrigen Donnerstag offiziell für veraltet. MD5 solle nicht mehr im professionellen Umfeld eingesetzt werden, da sie "nicht mehr als sicher zu betrachten" sei, so Kamp.
Als Begründung für seine Einschätzung nannte der dänische Kryptographie-Experte Limitierungen des von ihm entwickelten Algorithmus sowie den in den letzten Jahren erfolgten Anstieg der Rechenleistung gängiger Computer, der die Verwendung komplexerer und sicherer Algorithmen ohne unzumutbare Wartezeiten erlaubt.
Bedenken über die Sicherheit von MD5 gibt es schon seit längerem. Im Jahr 2004 deckten Wissenschaftler erste Schwächen in mehreren gängigen Hash-Algorithmen, darunter MD5, auf. Der bekannte Kryptographie- und IT-Sicherheits-Experte Bruce Schneier bezeichnete den Algorithmus bereits im Jahr 2005 als "kaputt".
Quelle : www.gulli.com
-
Ein erster praktikabler Angriff von Sicherheitsforschern auf SHA-1 verschärft die Aussage, dass die Hashfunktion nicht mehr zum Einsatz kommen sollte.
Sicherheitsforscher haben die seit einem Jahrzehnt als unsicher geltende kryptologische Hashfunktion SHA-1 erfolgreich attackiert. Dafür haben sie ein 64-GPU-Cluster zehn Tage lang rechnen lassen. In einem ausführlichen Bericht erläutern sie ihre Vorgehensweise (PDF-Download (https://eprint.iacr.org/2015/967.pdf)).
Die sogenannte SHA-1-Kollision bricht den Sicherheitsforschern zufolge die Hashfunktion aber noch nicht komplett auf. Der Ansatz gebe aber einen Ausblick, wann es soweit sein könnte und die Sicherheitsforscher gehen von einer baldigen Kompromittierung aus. Frühere Berichte prophezeiten das für das Jahr 2017.
SHA-1 kostengünstiger und schneller knacken
Schon seit 2005 existieren theoretische Kollisionsattacken auf SHA-1, die die Sicherheitsforscher ausgebaut haben. Ihr Ansatz zeigt auf, dass Grafikkarten die Berechnungen besonders effizient stemmen können. Das geht nicht nur schneller als mit CPUs, sondern senkt auch die Kosten.
Aufgrund ihrer Erkenntnisse raten die Sicherheitsforscher dringlich dazu, SHA-1 zeitnah nicht mehr einzusetzen. Zudem sprechen sie sich gegen das Vorhaben des CA/Browser Forums aus, die Verteilung von SHA-1-Zertifikaten bis zum Ende des Jahres 2016 zu verlängern.
Der beteiligte Sicherheitsforscher Marc Stevens war auch Teil des Teams, das bereits MD5 den Todesstoß versetzt hat. Dabei nutzten die Forscher eine Kollision mit MD5, um sich selbst ein CA-Zertifikat zu erstellen, das von allen Browsern akzeptiert wurde.
Quelle : www.heise.de
-
Totgesagte sterben manchmal auch schneller. In einer Kooperation zwischen der CWI Amsterdam und Google gelang es, dem bereits angeschlagenen Hash-Verfahren SHA-1 mit einer echten Kollision den praktischen Todesstoß zu versetzen.
Zwei verschiedene Dokumente – aber ein und derselbe SHA-1-Wert. Das sollte es eigentlich nicht geben. Mit einer gewaltigen Anstrengung haben Forscher von der CWI Amsterdam und Google zwei PDF-Dokumente erzeugt, die den endgültigen Todesstoß für das überalterte Hash-Verfahren bedeuten. Mehr als 6500 CPU-Jahre und nochmal 100 GPU-Jahre erforderte die Berechnung dieser Kollision; natürlich ist mit weiteren Optimierungen zu rechnen, die das deutlich reduzieren.
Der ganze Artikel (https://www.heise.de/newsticker/meldung/Todesstoss-Forscher-zerschmettern-SHA-1-3633589.html)
Quelle : www.heise.de