Löcher in der Verschlüsselung machen digitale Signatur schlüpfrig
Die Krypto-Gemeinde ist zum Auftakt der Sicherheitsmesse ‘Crypto’ ganz schön erschrocken.
Die Krypto-Gemeinde ist zum Auftakt der Sicherheitsmesse ‘Crypto’ ganz schön erschrocken. Verschlüsselungsexperten haben unabhängig voneinander herausgefunden, dass so mancher Algorithmus mit Unsicherheiten kämpft.
Konkret geht es um die Algorithmen ‘MD5’ und ‘SHA-0’. Der Secure-Hash-Algorithm-1, Nachfolger der 0-Version gilt bisher als sicher. Und trotzdem haben Forscher des Israel Institute of Technology SHA-1 in die Mangel genommen und könnten ersten Erkenntnissen zufolge möglicherweise auch hier Probleme aufdecken.
Die Kodierungsalgorithmen werden unter anderem als Grundlage für die digitale Signatur hergenommen. SHA-1 ist zudem in den Verschlüsselungsmethoden PGP (Pretty Good Privacy) und SSL (Secure Socket Layer) eingebettet. Er wurde als neue, sichere Spezifikation gepriesen und ist zertifiziert beim ‘National Institute of Standards and Technology’, einem anerkannten Forschungslabor. Immerhin verfügt SHA-1 über einen 160-Bit-Schlüssel. Zum Vergleich: MD5 verschlüsselt mit 128 Bit.
SHA-0 und MD5 sind so genannte Hash-Algorithmen. Ein Hash-Wert wird aus einer komplexen Datenstruktur wie einer Zeichenkette mittels einer speziellen Funktion berechnet. Weil die Zuordnung weitestgehend eindeutig ist, können errechnete Hash-Werte als Schlüssel für beispielsweise PGP dienen. Ziel muss es sein, eine so genannte Kollision zu vermeiden, die dann auftritt, wenn zwei verschiedenen Datenstrukturen derselbe Schlüssel zugeordnet wird. In der Praxis heißt das, ein Hacker kann eine Hash-Kollision erzeugen und generiert so einen zweiten Schlüssel, der aussieht wie das Original. In Wirklichkeit handelt es sich aber um einen Klon.
Zwar weiß die Branche, dass die Algorithmen nie absolut sicher sein werden, mit dem Bekannt werden der Lücken aber raten sie, von den Genannten abzurücken, berichtet die US-Presse. Jetzt, da jeder die Unsicherheit kenne, sei es Zeit zu wechseln. MD5 beispielsweise wird vom Apache Open-Source-Webserver eingesetzt, um den Source-Code vor unerlaubten Veränderungen zu schützen.