„Secure Hash Algorithm“ – Versionsunterschied
[ungesichtete Version] | [gesichtete Version] |
Inhalt gelöscht Inhalt hinzugefügt
Markierungen: Zurückgesetzt Visuelle Bearbeitung |
Die letzte Textänderung von 2A02:8070:2A82:6300:AEF3:C152:9BD:ECE7 wurde verworfen und die Version 249402820 von Farin12 wiederhergestellt. Markierung: Manuelle Zurücksetzung |
||
Zeile 10:
Die Nachricht wird mit einem Endstück [[Padding (Informatik)|erweitert]], das die Länge der ursprünglichen Nachricht codiert. Dann wird sie in 512 Bit lange Blöcke geteilt, welche nacheinander verarbeitet werden. Dazu wird ein interner Datenblock von 160 Bit mittels einer [[Blockverschlüsselung]] verschlüsselt, mit dem Nachrichtenblock als Schlüssel. Zum Schlüsseltext wird dann der Klartext wortweise [[Division mit Rest#Modulo|modulo]] <math>2^{32}</math> addiert. Der so berechnete Datenblock wird nun mit dem nächsten Nachrichtenblock verschlüsselt oder nach dem Einarbeiten des letzten Nachrichtenblocks als Hashwert ausgegeben.
== SHA-1 ==
[[Datei:SHA-1.svg|mini|Aufbau einer Runde von SHA-0 und SHA-1]]
Der ursprüngliche SHA wurde wegen eines „Konstruktionsfehlers“ schon 1995 korrigiert und spielte deswegen in der Praxis kaum eine Rolle. Er ist heute als '''SHA-0''' bekannt, die korrigierte Variante als '''SHA-1'''.
Zeile 20 ⟶ 22:
Kurze Zeit später, am 17. August 2005, wurde von Xiaoyun Wang, [[Andrew Yao]] und [[Frances Yao]] auf der Konferenz [[CRYPTO (Veranstaltung)|CRYPTO 2005]] ein weiterer, effizienterer Kollisionsangriff auf SHA-1 vorgestellt, welcher den Berechnungsaufwand auf 2<sup>63</sup> reduziert.
Im August 2006 wurde auf der CRYPTO 2006 ein weit schwerwiegenderer Angriff gegen SHA-1 präsentiert. Dabei sind bis zu 25 % der gefälschten Nachricht frei wählbar. Bei bisherigen [[Kollisionsangriff]]en wurden die so genannten Hash-Zwillinge nur mit sinnlosen Buchstabenkombinationen des Klartextes gebildet. Diese waren leicht erkennbar.
Ein kritisches Angriffsszenario erfordert, dass Angreifer eine zweite, in Teilen sinnvolle Variante eines Dokuments erzeugen, die den gleichen SHA-1-Wert und damit die gleiche Signatur ergibt. Die beim Angriff verbleibenden 75 % sinnloser Zeichen (also Datenmüll) können vor ungeschulten Betrachtern ggf. technisch verborgen werden. Der Angreifer kann behaupten, die gefälschte Variante sei anstatt der originalen Variante signiert worden.
|