SHA1 wurde auch gebrochen

Posted by Jens Kubieziel on Wednesday, 16. February 2005

Es ist noch gar nicht so lange her, da berichtete Dan Kaminsky darüber, dass MD5 nicht mehr sicher sei. Eine der Alternativen, die er in seinem Vortrag empfahl und nutzte, war SHA-1. Vor ein paar Tagen gab dann das NIST bekannt, dass die Unterstützung für SHA-1 auslaufen soll. Heute nun berichtet Bruce Schneier, dass die drei chinesischen Wissenschaftler Xiaoyun Wang (War er nicht auch schon bei MD5 beteiligt?), Yiqun Lisa Yin, and Hongbo Yu ein Papier in Umlauf gebracht haben, in dem sie ihre Ergebnisse beschreiben. Dazu gehören:

Kollisionen in SHA-1 in 2**69 Hashingoperationen
Kollisionen in SHA-0 in 2**39 Operationen
Kollisionen in 58-rundigem SHA-1 in 2**33 Operationen

Diese Attacke stellt einen Riesenfortschritt bei der Kryptoanalyse von Hashalgorithmen dar. Bisher ist das Papier leider nicht öffetnlich zugänglich. Aber ich hoffe, dass sich das bald ändern wird. Offensichtlich gehen die vertrauenswürdigen Hashalgorithmen zur Neige. Es bleiben IMHO noch SHA256, SHA384 und SHA512. Diese arbeiten aber nach demselben Prinzip wie SHA-1 und könnten eventuell auch von der Attacke betroffen sein. Weiterhin gibt es noch RIPE-MD160. Dieser ist allerdings weniger populär und damit auch weniger untersucht.

Trackbacks

Trackback specific URI for this entry

Qbi's Weblog on Friday, 26. August 2005: Welchen Hash brechen wir morgen?

Show preview

Es ist nun fast ein halbes Jahr her, da schrieb ich in einem Beitrag hier &uuml;ber die aktuellen Schw&auml;chen von SHA-1. Heute berichtet Bruce Schneier, dass SHA-1 weiter in Bedr&auml;ngnis kommt. Der Angriff wurde weiter verbessert und kann nun mit ei

Comments

Display comments as Linear | Threaded

Qbi's Weblog on Monday, 20. June 2005:

Neue Hashes braucht das Land

Cryptographic Hash Workshop des NIST

...

Qbi's Weblog on Thursday, 18. August 2005:

Welchen Hash brechen wir morgen?

SHA-1 ist tod.

...

Add Comment

Name

Homepage

Comment

In reply to

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.

Standard emoticons like :-) and ;-) are converted to images.

BBCode format allowed

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Enter the string from the spam-prevention image above:

Phone*

What is six plus four?

You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.

Form options

Remember Information?

Subscribe to this entry