Digitaler Schlüssel offenbar eine Gefahrenquelle

EnterpriseSicherheit

Der in verschlüsselten Dokumenten weit verbreitete Kryptographie-Standard ‘Secure Hashing Algorhythm’, SHA-1, hat offenbar ein Leck.

Der in verschlüsselten Dokumenten weit verbreitete Kryptographie-Standard ‘Secure Hashing Algorhythm’, SHA-1, hat offenbar ein Leck. Drei in Security-Kreisen bekannte chinesische Wissenschaftler haben eine Möglichkeit entdeckt, wie die Funktion des Hashing-Standards umgekehrt und für kriminelle Zwecke benutzt werden kann.

Unter ‘Hashing’ versteht man eine Verschlüsselungsmethode, bei der ein digital zu sicherndes Dokument zunächst in eine reduzierte Datenform gebracht und diese dann digital signiert wird. Das so genannte Hash wird dann zusammen mit der Signatur – meist in PHP – und dem Originaldokument digital abgelegt und kann so verifiziert, aber nicht verändert werden. Das Leck, das die drei Chinesen jetzt entdeckt haben, erlaubt es aber im Ernstfall, von zwei Dokumenten dieselbe Hash-Signatur anzulegen. Dadurch kann ein Dokument nicht mehr eindeutig verifiziert werden, schreiben US-Medien, die am Rande der RSA Konferenz mit den Forschern gesprochen haben.

SHA-1 ist bereits eine verbesserte Version des Standards. Für SHA-0 war bekannt, dass der Algorithmus leicht zu knacken ist. Sollten die Probleme, die SHA-1 hat, sich als real herausstellen, dann müssten die Behörden und Regierungsorganisationen, die den Standard einsetzen, sich um eine neue Version bemühen.

Diese Gefahr besteht allerdings laut Paul Kocher nicht. Der Spezialist und President von Cryptography Research sagt, dass solch ein Leck nur dann gefährlich sei, wenn es sich für den Angreifer lohne. Und es lohne sich nur für jemanden, der auf Tausende von Rechnern mit Zugang zu unzähligen Dokumenten zugreifen könne. Nur dann könne eine unsichere Quelle das Hash erstellen. Nach Ansicht von Experten wird bereits nach einer Lösung dieses Problems gefahndet. Die Lage ist ihrer Ansicht nach ernst, aber nicht verzweifelt.