Zweifel um Authentifizierungsmethoden

15. März 2005 um 10:05
  • security
image

Chinesische Forscher haben ein Problem in einer grundlegenden Sicherheitstechnologie gefunden.

Chinesische Forscher haben ein Problem in einer grundlegenden Sicherheitstechnologie gefunden.
Wie das "Wall Street Journal" heute berichtet, haben chinesische Forscher ein Problem bei der sogenannten "Hashing"-Technologie entdeckt, einer Technologie, die als Grundlage für viele Authentifizierungs- und Zertifizierungsmethoden benutzt wird.
Beim Hashing wird durch mathematische Methoden zu Datenkombinationen oder Files ein "Hash-Code" errechnet. Dieser kann zum Beispiel dazu verwendet werden, um ein digitales Dokuments zu verifizieren, Hash-Codes sind aber auch die Grundlage vieler Verschlüsselungstechnologien und digitaler Zertifikate.
Um seinen Zweck zu erfüllen, sollte der Hash-Code einerseits keine Rückschlüsse auf den Inhalt der ursprünglichen Daten zulassen. Andererseits sollte die Wahrscheinlichkeit, aus verschiedenen Daten den gleichen Hash zu erzeugen unendlich gering sein. Die Chinesen haben nun gezeigt, dass SHA-1, eine der heute am weitesten verbreiteten Methoden zum Hashing, diese zweite Voraussetzung nicht völlig erfüllt. Die Forscher konnten aus verschiedenen Files ohne übertriebenen Computeraufwand identische Hashes erzeugen.
Theoretisch könnten dadurch Betrüger die Zertifikate von Websites oder auch digital unterzeichnete Dokumente fälschen.
Praktisch dürfte es aber heute noch kaum möglich sein, das Problem böswillig auszunützen. Trotzdem überlegen sich bereits Unternehmen wie RSA Security oder PGP, wie sie SHA-1 ersetzen können.
Bereits früher wurden ähnliche Probleme in den Vorgängermethoden MD4 und MD5 gefunden. Trotzdem scheint die Entdeckung der chinesischen Forscher die Security-Gemeinde überrascht zu haben – und schürt nun Zweifel an den theoretischen Grundlagen der Hashing-Methode an sich. "Noch ist uns etwas schwindlig", meinte dazu Jon Callas, Cheftechnologe von PGP gegenüber dem Wall Street Journal. "Alles ist auf den Kopf gestellt worden." (Hans Jörg Maron)

Loading

Mehr erfahren

Mehr zum Thema

image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024
image

Podcast: Das Gesundheitswesen und die Cybersicherheit

Das Bundesamt für Gesundheit ist auf der Suche nach einem Dienstleister, der Unterstützung im Bereich Cybersicherheit bietet. In einer Ausschreibung haben wir mehrere Mängel festgestellt. In der aktuellen Podcast-Episode reden wir unter anderem darüber.

publiziert am 12.4.2024