Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Monika Ermert 49

Zweifel an der Notwendigkeit des Kryptostandards SHA3

Kurz vor der für den Sommer erwarteten Kür eines Nachfolgers für den Secure Hash Algorithm2 (SHA2) kommen Zweifel auf, ob wirklich schon ein neuer Kryptostandard gebraucht wird. Mittels der Hash-Funktionen werden kurze Zahlen für ganze Datensätze errechnet, um so deren Echtheit überprüfen zu können; sie sind die Grundlage vieler Sicherheitsmechanismen. Das für das Verfahren verantwortliche National Institute of Standards and Technogy (NIST) spricht bereits nicht mehr von einer "Nachfolge", sondern von einer "Ergänzung".

Die Suche nach SHA3 wurde initiiert, weil die erfolgreichen Angriffe auf SHA1 und MD5 prinzipiell auch auf deren Nachfolger SHA2 anwendbar sind und somit das Vertrauen in dessen Sicherheit angeschlagen war. Zwar erklärte Tim Polk, Computerwissenschaftler des NIST auf dem 83. Treffen der Internet Engineering Task Force (IETF), dass die bekannten Angriffe gegen MD5, SHA1 und SHA2 und deren gemeinsame Basis, das Merkle- Damgård-Verfahren keinen der fünf Finalisten betreffe. Allerdings habe der Wettbewerb und die in dessen Verlauf abgelieferten rund 400 wissenschaftlichen Aufsätze und Tests auch ergeben, dass SHA 2 für einige Aufgaben schneller ist als die fünf Finalisten Blake, Grøstl, JH, Keccak und Skein. Nur bei den kurzen Hash-basierten Message Authentication Codes (MACs) siege SHA3.

Jeder Finalist habe dabei durchaus eigene Stärken im Vergleich zu SHA2, aber keiner sei insgesamt besser als SHA2. Auch deshalb lautet aus Sicht des NIST die Frage nun, ob man den SHA3-Gewinner am Ende nicht zunächst als "Ergänzung" zu SHA2 propagieren solle, zumal es im Verlauf des Wettbewerbs neues Vertrauen in SHA2 gewonnen hat. "Wir dachten, SHA2 würde noch vor Abschluss des Wettbewerbs endgültig geknackt werden", erklärte Polk, aber aktuell fühle man sich mit SHA2 wieder sehr gut abgesichert.

Nicht zuletzt dieses Eingeständnis veranlasste die Sicherheitsexperten der IETF zu der Frage, ob die Ergänzung dann überhaupt notwendig sei. Allein um den Wettbewerb und die Arbeit zu würdigen, sei Anwendern die aufwändige Migration kaum zumutbar. Russ Housley, der Vorsitzende der IETF, warnte davor, die Einführung von SHA3 zu fordern, während in der Praxis viele Administratoren noch nicht einmal den Übergang von SHA1 zu SHA2 vollzogen hätten. Die Migrationskosten lägen um ein Vielfaches höher als Performanztests in zwei Jahren Wettbewerbsverfahren. Noch einen weiteren Algorithmus einzuführen, nur um ein Backup für den Fall der Fälle – die Kompromittierung von SHA2 – zu haben, lehnten viele Experten in Paris rundweg ab. (ju)

49 Kommentare

Themen:

Anzeige
  1. Todesstoß: Forscher zerschmettern SHA-1

    Forscher zerschmettern SHA-1

    Totgesagte sterben manchmal auch schneller. In einer Kooperation zwischen der CWI Amsterdam und Google gelang es, dem bereits angeschlagenen Hash-Verfahren SHA-1 mit einer echten Kollision den praktischen Todesstoß zu versetzen.

  2. Java: Das Ende von MD5 und SHA-1 naht

    Java: Das Ende von MD5 und SHA-1 naht

    Oracle hat angekündigt, dass mit seinem nächsten Quartalsupdate MD5 für die Signatur von JAR-Paketen ausgemustert wird. Ebenso soll das JDK nur noch in Ausnahmen SHA-1-Zertifikate anerkennen.

  3. Microsoft blockiert SHA-1 in Edge und Internet Explorer

    Microsoft blockiert SHA-1 in Edge und Internet Explorer

    Angekündigt war es schon länger, nun ist es soweit: Microsoft stellt seine Browser so um, dass sie auf HTTPS-Seiten, die SHA-1 für Signaturen verwenden, Fehlermeldungen anzeigen.

  4. Sicherheits-Updates: Angreifer können Dells SonicWALL Email Security kapern

    Sicherheits-Updates: Angreifer können Dells SonicWALL Email Security kapern

    Durch die Kombination von zwei Lücken lassen sich Passwörter abgreifen und eigene Kommandos ausführen.

  1. Warum SHAttered wichtig ist

    Warum SHAttered wichtig ist

    Die SHAttered benannten Kollisionen zum SHA-1-Verfahren sind ein wichtiger Meilenstein. Sie zeigen klar und deutlich, dass SHA-1 für den Einsatz als kryptographische Hash-Funktion nicht mehr geeignet ist.

  2. Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren

    Der Krypto-Wegweiser für Nicht-Kryptologen

    Kryptographie ist ein wichtiger Baustein moderner IT – Sicherheit, Vertraulichkeit und Privatsphäre hängen davon ab. Der folgende Krypto-Wegweiser gibt einen kompakten Überblick zu den aktuell relevanten Verfahren.

  3. Preisverleihung: Die besten "Innovatoren unter 35" in Berlin

    Preisverleihung: Die besten "Innovatoren unter 35" in Berlin

    In Berlin kürte Technology Review am 28. Juni 2017 die Gewinner des Wettbewerbs "Innovatoren unter 35". Unter den Preisträgern wurde außerdem Daniel Wiegand von Lilium als "Innovator of the Year" ausgezeichnet.

  1. "7 E-Books in 0,1 Sekunden": Vodafone startet 0,5 GBit/s-Anschlüsse in 100 deutschen Städten

    7 E-Books in 0,1 Sekunden: Vodafone startet 0,5 GBit/s-Anschlüsse in 100 deutschen Städten

    Rund 2,5 Millionen Kabel-Kunden können Vodafone-Internetanschlüsse mit bis zu 0,5 GBit/s buchen. Auch in Berlin startet der Ausbau.

  2. Gefährliche Hobby-Drohnen: Deutsche Flugsicherung bringt Wegweiser für Drohnen-Piloten

    Drohne und Flugzeug

    Private Drohnen können zur Gefahr für Flugzeuge werden. Mit einer App will die Deutsche Flugsicherung Hobbypiloten nun Orientierung bieten. Sie reagiert auf eine wachsende Zahl bedrohlicher Begegnungen.

  3. photokina: Neustart bei der weltgrößten Fotomesse

    Interview mit photokina-Manager Christoph Menke: Neustart bei der weltgrößten Fotomesse

    Die photokina wird modernisiert: U.a. soll die Fachmesse mit neuem Termin im Frühling, weniger Messetagen und jährlichem Turnus attraktiver werden. Für den Veranstalter steht viel auf dem Spiel. Ein Interview mit photokina-Manager Christoph Menke.

  4. 18-Jähriger meldet Fehler in Budapester E-Ticketing-System – und wird festgenommen

    18-Jähriger meldet Fehler in Budapester E-Ticketing-System – und wird festgenommen

    Das neue E-Ticketing-System für den Budapester ÖPNV war offenbar mit allzu heißer Nadel gestrickt. Ein 18-Jähriger Nutzer, der einen der Fehler entdeckte und dem Budapester Verkehrsunternehmen meldete, bekam daraufhin Besuch von der Polizei.

Anzeige