Zweifel um Authentifizierungsmethoden

15. März 2005, 10:05
  • security
image

Chinesische Forscher haben ein Problem in einer grundlegenden Sicherheitstechnologie gefunden.

Chinesische Forscher haben ein Problem in einer grundlegenden Sicherheitstechnologie gefunden.
Wie das "Wall Street Journal" heute berichtet, haben chinesische Forscher ein Problem bei der sogenannten "Hashing"-Technologie entdeckt, einer Technologie, die als Grundlage für viele Authentifizierungs- und Zertifizierungsmethoden benutzt wird.
Beim Hashing wird durch mathematische Methoden zu Datenkombinationen oder Files ein "Hash-Code" errechnet. Dieser kann zum Beispiel dazu verwendet werden, um ein digitales Dokuments zu verifizieren, Hash-Codes sind aber auch die Grundlage vieler Verschlüsselungstechnologien und digitaler Zertifikate.
Um seinen Zweck zu erfüllen, sollte der Hash-Code einerseits keine Rückschlüsse auf den Inhalt der ursprünglichen Daten zulassen. Andererseits sollte die Wahrscheinlichkeit, aus verschiedenen Daten den gleichen Hash zu erzeugen unendlich gering sein. Die Chinesen haben nun gezeigt, dass SHA-1, eine der heute am weitesten verbreiteten Methoden zum Hashing, diese zweite Voraussetzung nicht völlig erfüllt. Die Forscher konnten aus verschiedenen Files ohne übertriebenen Computeraufwand identische Hashes erzeugen.
Theoretisch könnten dadurch Betrüger die Zertifikate von Websites oder auch digital unterzeichnete Dokumente fälschen.
Praktisch dürfte es aber heute noch kaum möglich sein, das Problem böswillig auszunützen. Trotzdem überlegen sich bereits Unternehmen wie RSA Security oder PGP, wie sie SHA-1 ersetzen können.
Bereits früher wurden ähnliche Probleme in den Vorgängermethoden MD4 und MD5 gefunden. Trotzdem scheint die Entdeckung der chinesischen Forscher die Security-Gemeinde überrascht zu haben – und schürt nun Zweifel an den theoretischen Grundlagen der Hashing-Methode an sich. "Noch ist uns etwas schwindlig", meinte dazu Jon Callas, Cheftechnologe von PGP gegenüber dem Wall Street Journal. "Alles ist auf den Kopf gestellt worden." (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023