Mehr bei Bruce Schneier.
wow.
WM_FYI
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
xafford 
thomas woelfer „SHA1 ist geknackt“
Naja, unschön, aber von Mißbrauch im Hausgebrauch trotzdem noch weit entfernt. Im ernsthaft sicherheitskritischen Umfeld ist es zwar schon relevant, daß man statt 2^80 Versuchen nun nur noch 2^69 braucht, für den hausgebrauch sote dies aber noch auf ein paar Jahre hin genug sein, da nicht jeder potentielle Angreifer über einen Cluster mit 8000 CPUs verfügt. Zumal eine Kollision in vielen Anwendungsfällen noch nicht unbedingt ißbrauchsfähig ist, wenn es z.B. um die Kompromittierung von durch SHA-1 Hash gesicherten Quellcode geht, der Kollisionsext sollte schon auch zu kompilieren sein und Sinn ergeben.
Trotzdem wird es Zeit, daß die Entwicklung von Kryptoalgorithmen sich Gedanken über Alternaiven macht.
thomas woelfer xafford „Antwort“
... wuerde ich mit einigen kommentaren in bruce blog konf_orm gehen: wir reden hier von einer reduktion von einem jahr/einigen jahren auf eine woche/einige (wenige) wochen.
sicher: kein problem fuer den hausgebrauch; ich denke man kann aber sicher davon ausgehen das das neue paper der chinesen nur der erste stein sein wird - egal ob heute oder in einem jahr: sha1 ist tot.
WM_MY0.02$
xafford thomas woelfer „soweit es die nsa betrifft“
Naja, ich sehe es ähnlich, aber eben nicht genau so ;o)...
Die Zeitreduktion ist definitiv im Sicherheitsrelevanten Bereich mehr als kritisch, sogar fatal, aber wie gesagt, die Wochen braucht man (zumindest meiner Überschlagsrechnung nach) nicht mit einem PC, sondern mit einem echten Numbercruncher, den es derzeit im Sortiment von Aldi noch nicht gibt ;o)...
Wenn man es nüchtern betrachtet, dann muß man auch sehen, daß die 2^69 Möglichkeiten, die es jetzt bei SHA-1 braucht ca. 2^64 gegenüber stehen, die man regulär für MD5 braucht und MD5 ist trotz dieser Tatsache noch am Leben. Bei RC4 sind es noch weniger, selbst ohne Implementierungsfehler.
Deswegen würde ich das Paper relativieren insofern, daß SHA-1 massiv an Sicherheit eingebüßt hat in vielen Bereichen (Paßworthashes und Signaturen z.B.), für die Authentifizierung von Code sollte es jedoch noch lange Zeit (was in der IT auch immer "lange Zeit" bedeutet) ausreichend sein, schließlich muß die Kollision auch sinnvollen Code ergeben.
Aber wie gesagt, im wirklich sicherheitskritischen Bereich (hochsicherheit) sollte man sich ernsthaft über Alternativen Gedanken machen, dazu ACK.
xafford thomas woelfer „soweit es die nsa betrifft“
Heise hat sich des Themas mal angenommen:
http://www.heise.de/security/artikel/56555
Tyrfing thomas woelfer „SHA1 ist geknackt“
Nicht sonderlich gut, aber eine wirkliche Katastrophe ist es noch nicht.
Auch wenn eine Reduzierung von ca. 1 208 926*10^18 auf 590*10^18 Versuche ein ordentlicher Fortschritt ist, ist es keine unmittelbar nutzbare Lücke...590 Trillionen Versuche, um zwei Buchstaben zu verdrehen, sind immer noch ein bisschen Rechenaufwand
