Ein Wettbewerb unter renommierten Kryptologen soll eine neue sichere Methode für digitale Fingerabdrücke hervorbringen.
Kryptologen aus der ganzen Welt haben ihre besten Ideen eingereicht, um an einem Wettbewerb teilzunehmen, der eine neue sichere Methode für digitale Fingerabdrücke im Internet hervorbringen soll. Der Algorithmus des Gewinners wird zum Baustein einer ganzen Reihe wichtiger Netz-Protokolle, darunter diejenigen, die sicherstellen, dass Nutzer beim Anwählen ihrer Online-Bank auch tatsächlich mit dem Geldinstitut kommunizieren. Der Wettbewerb wurde vom amerikanischen National Institute of Standards and Technology (NIST) ausgeschrieben. Eine erste Shortlist der besten Teilnehmer soll bis Ende November vorliegen. Doch das ist erst der Anfang eines langwierigen Prozesses: Danach beginnt eine auf vier Jahre angelegte Phase, in der mit Hilfe einer komplexen Kryptoanalyse der tatsächliche Gewinner ermittelt werden soll.
All diese Anstrengungen sind notwendig, weil der aktuelle Standard "Secure Hash Algorithm 2", kurz SHA-2, inzwischen erste Schwächen zeigt. 2005 fand Xiaoyun Wang, Professorin am "Center for Advanced Study" der chinesischen Tsinghua University, Angriffspunkte in mehreren mit SHA-2 verwandten Hash-Algorithmen. Seither bemühen sich zahlreiche Experten auf dem Gebiet darum, Lücken in diesen für die Absicherung von Verschlüsselung wichtigen Technologien zu finden. Die US-Regierung fürchtet deshalb, dass auch SHA-2 bald nachgeben könnte.
Originalnachricht verändert?
Ein Hash-Algorithmus macht aus einem gewöhnlichen Text einen digitalen Fingerabdruck, der dann verwendet werden kann, um die Integrität einer Botschaft nach der Übermittlung nachzuweisen. Über ihn lässt sich ermitteln, ob jemand die Originalnachricht verändert hat oder nicht. Eine solche Hash-Funktion ist aber nur dann sicher, wenn es keinen praktikablen Weg gibt, sie umgekehrt ablaufen zu lassen, also aus dem Fingerabdruck wieder die Originalnachricht zu machen oder die Originalnachricht irgendwie zu manipulieren. Genauso wichtig ist es, dass es keinen trivialen Weg gibt, zwei Botschaften zu generieren, die den genau gleichen Fingerabdruck besitzen. Die Schwächen, die Wang und andere gefunden haben, ergeben sich genau aus diesem Problem: Ein Phänomen, das Kryptologen eine "Kollision" nennen. Dies wird noch durch die Tatsache verkompliziert, dass es nahezu unmöglich ist, Kollisionen vollständig zu vermeiden. Der beste neue Algorithmus im Wettbewerb sollte also einer sein, der Kollisionen extrem schwer macht. "Es sollte einfach unmöglich sein, sie zu finden", sagt William Burr, Manager der "Security Technology Group" am NIST, "die dafür notwendige Rechenleistung dafür muss riesig sein".
Die Wettbewerbsteilnehmer müssen allerdings noch eine weitere große Herausforderung meistern. Während Verschlüsselungsalgorithmen darauf basieren, dass sie einen "Schlüssel" vor einem Angreifer geheim halten müssen, ohne den niemand an die Originalnachricht gelangt, enthalten Hash-Funktionen solche Geheimnisse erst gar nicht. Das ermöglicht dem Angreifer zahlreiche Wege, sich am Knacken einer Hash-Funktion zu versuchen, sagt Burr.
"Hash-Algorithmen sind die am häufigsten verwendeten kryptographischen Grundfunktionen, die gleichzeitig am schlechtesten verstanden werden", meint Wettbewerbsteilnehmer Bruce Schneier, selbst bekannter Kryptologe und Chief Security Technology Officer bei BT Counterpane. "Es ist möglich, dass sie völlig in sich zusammenbrechen, nur weil wir nicht wirklich verstehen, wie sie funktionieren."
Wasserdicht und anwendbar
Es dauert eine Zeit, einen neuen Algorithmus wasserdicht zu machen – und noch viel länger, dafür zu sorgen, dass er auch nahezu überall verwendet wird. Deshalb entschied man sich am NIST, nicht länger zu warten, bis SHA-2 schließlich geknackt wurde. Burr meint, SHA-1, eine ältere Hash-Funktion, die das NIST nicht länger empfiehlt, nachdem Wang Schwächen aufgezeigt hatte, sei ebenfalls "weniger zerstört als beschädigt", weil noch immer viel Rechenarbeit notwendig sei, um gute Kollisionen zu finden. "Wir entschieden uns trotzdem, dass wir die ganze Sache vollständig überdenken sollten. Wir lernen mehr und mehr, wie sich Hash-Funktionen angreifen lassen und viel davon erscheint uns sehr beunruhigend."
Neben der Behebung der Sicherheitsprobleme könnte ein neuer Algorithmus auch Vorteile neuer Trends in der IT nutzen wie etwa die Doppelkern-Prozessoren. Dadurch würde er schneller. "Hashes sind die Arbeitspferde in der Kryptographie", meint Schneier, "umso wichtiger ist ihre Geschwindigkeit".
Das NIST hat insgesamt 64 Wettbewerbsbeiträge erhalten und untersucht nun, wie diese Liste zu einer Shortlist eingedampft werden kann. Wenn diese Ende November veröffentlicht ist, werden Kryptologen auf der ganzen Welt jede einzelne neue Funktion analysieren. Das wird lange dauern. "Bei vielen der besseren Vorschläge werden die Diskussionen über ihre Sicherheit mehr mit Feinheiten zu tun haben als mit der Frage, ob sie geknackt wurden oder nicht", meint Christian Rechberger, Dozent für Kryptographie am IAIK der Uni Graz, der ebenfalls am Wettbewerb teilnimmt. Zur Diskussion sei die Zeit bis zur geplanten Entscheidung im Jahr 2012 also definitiv notwendig.
Liste beeindruckend
Brian Gladman, ein britischer Kryptologe, hält die Liste der Forscher, die neue Algorithmen im Wettbewerb vorgeschlagen hätten, für sehr beeindruckend. Dabei sind unter anderem solche Experten wie der MIT-Professor Ron Rivest, der selbst einige sehr einflussreiche Hash-Funktionen geschrieben hat sowie Joan Daemen, einer der Autoren des inzwischen weitläufig verwendeten aktuellen Verschlüsselungsstandards AES.
Rechberger ist einer der Betreiber der Website "SHA-3 Zoo", die die Wettbewerbsbeiträge und erste Analysen sammelt. Letztlich ist sei es sogar möglich, dass gleich mehrere Finalisten bis zum Schluss ungeknackt blieben, meint er. Am Ende würde dann aufgrund anderer Kriterien entschieden, zu denen auch die Geschwindigkeit gehört.
In den kommenden Monaten geht es nun darum, die Analyse voranzutreiben. Sie verspricht auch neues Wissen über die Funktionsweise von Hash-Algorithmen, das sich in den nächsten Jahren als nützlich erweisen könnte. Und natürlich werden die Kryptologen damit beginnen, zu versuchen, die Algorithmen ihrer Kollegen zu zerlegen.