Unsicherer Hash-Algorithmus: Forscher demonstrieren Angriffe auf SHA-1 in der Praxis
Ein 2019 vorgestellter Chosen-Prefix-Angriff auf SHA-1 wurde nun in die Praxis umgesetzt. Ein Grund mehr, endlich zu sicheren Hashfunktionen zu wechseln.
(Bild: Carlos Amarillo / Shutterstock)
Im Mai 2019 stellten die Forscher Gaëtan Leurent und Thomas Peyrin einen Kollisionsangriff auf die Hashfunktion SHA-1 vor. Dabei handelte es sich um den ersten Angriff mit so genanntem "Chosen Prefix". Nun haben sie auch dessen praktische Durchführbarkeit demonstriert. Dazu optimierten Sie den Angriff hinsichtlich Zeitaufwand und Kosten und wandten ihn erfolgreich auf das "Web of Trust" von PGP/GnuPG an. Die Legacy-Version 1.4 von GnuPG nutzt zum Signieren von Schlüsseln standardmäßig SHA-1, obwohl der Algorithmus bereits seit 2005 als unsicher gilt.
Für ihre Demonstration des Angriffs investierten die Forscher nach eigenen Angaben insgesamt 75.000 US-Dollar. Unter Verwendung von 900 GPUs (Nvidia GTX 1060) nahmen die Berechnungen der Kollision zwei Monate Zeit in Anspruch. Allerdings gehen sie davon aus, dass ihr Angriff in wenigen Jahren nur noch wenige Tausend US-Dollar kosten wird. In diesem Zusammenhang raten sie auf der Website zum "Chosen-Prefix"-Kollisionsangriff ("SHA-1 is a Shambles") dringend zum Umstieg auf sichere Hashfunktionen wie SHA-256 oder SHA-3.
Erster Chosen-Prefix-Kollisionsangriff
Bei einem herkömmlichen Kollisionsangriff werden zwei Dateien so mit zuvor berechneten Daten befüllt, dass beim Hashen ein identischer Wert entsteht. Für SHA-1 gelang eine solche Kollision bereits 2005; allerdings blieb es damals aufgrund des hohen Ressourcenaufwands zunächst beim theoretischen Knacken des Algorithmus. 2017 folgte mit einem "Shattered" genannten Angriff die praktische Umsetzung eines Kollisionsangriffs durch Forscher von der CWI Amsterdam.
Im Unterschied zu den früheren Angriffen können Leurent und Peyrin bei ihrem Chosen-Prefix-Angriff einen Teil des Inhalts, das "Präfix" der Datensätze frei bestimmen. Sie nutzten diese Möglichkeit, um zwei unterschiedliche PGP-Keys mit identischer (kollidierender) Signatur zu erzeugen.
Falsches Vertrauen: Eve wird zu Alice
Für ihre Angriffsdemonstration nutzten die Forscher die Vertrauensbasis des Web of Trust. Dort kann jeder einen beliebigen Schlüssel unterschreiben und die signierte Version auf den Keyserver hochladen , nachdem er sich zuvor von der Echtheit überzeugt hat. Die Idee ist, dass Jede Jeden über ein paar Ecken kennt und dass, indem die Schlüssel von Bekannten beglaubigt werden, irgendwann ein Zustand erreicht wird, in dem man den Schlüsseln auf dem zentralen Keyserver vertrauen kann.
Die Forscher berechneten eine "kollidierende" SHA-1-Signatur, die nicht nur für einen PGP-Schlüssel, sondern auch für einen zweiten PGP-Schlüssel mit abweichender Nutzer-ID gültig war. Den damit signierten Schlüssel 1 (Alice) luden sie auf den Keyserver des Web of Trust. Der fiktive Besitzer von Schlüssel 2 (Eve) hätte anschließend dieselbe Signatur missbrauchen können, um in Alices Namen beliebige Dokumente zu signieren.
CVE-2019-14855: GnuPG-Version 2.2.18 abgesichert
Angesichts dieses neuerlichen, hinsichtlich Zeitaufwand, Kosten und Steuerbarkeit (Chosen Prefix) optimierten Beweises der Knackbarkeit von SHA-1 sollte man dem Rat der Forscher, auf sichere Hashfunktionen umzusteigen, folgen.
Die GnuPG-Entwickler, die von den Forschern Anfang Oktober 2019 über den erfolgreichen Angriff informiert wurden, haben bereits reagiert: Die GnuPG-Version 2.2.18 weist SHA-1-basierte Signaturen, die nach dem 19.01.2019 erstellt wurden, grundsätzlich als ungültig zurück. Dem Chosen-Prefix-Kollisionsangriff wurde die CVE-Nummer CVE-2019-14855 zugewiesen. (ovw)
