Kryptologen stecken in einer tiefen Krise. Die so genannten Hash-Funktionen, die in vielen Sicherheitsanwendungen stecken, sind unsicher geworden. Eine der am weitesten verbreiteten Hash-Funktionen heißt MD5, eingesetzt zum Beispiel in Betriebssystemen wie Windows.
MD5 habe Sicherheitsprobleme, sagt der Kryptologe Bart Preneel. Er entwickelt Hash-Funktionen. Hash-Funktionen errechnen aus mega- oder gar gigabytegroßen Daten einen kurzen Code, vergleichbar mit der Quersumme einer Zahl. Für jede ursprüngliche Datei ergibt sich ein anderer Code. Dieser Hashwert ist deshalb eine Art Fingerabdruck einer Datei. Ändert sich die Datei, ändert sich auch der Hash-Fingerabdruck. Um also festzustellen, ob sich die Datei geändert hat, genügt ein Blick auf den kurzen Hash. Das nutzen zum Beispiel Computer-Programme, die sich Updates aus dem Internet herunterladen. Anhand des Hashs können sie erkennen, ob die Datei manipuliert wurde. Das funktioniert aber nur, solange es nicht zwei Dateien gibt, die denselben Hash haben. Kryptologen nennen das eine Kollision. Das Problem: Es gibt keine Hash-Funktion ohne Kollisionen. Wer lange genug sucht, wird immer zwei Dateien finden, die einen identischen Hash haben. Je schwieriger solche Kollisions-Fälle zu finden sind, desto besser die Hash-Funktion. Mit reiner Mathematik ist das nicht zu machen, sagt der Kryptologe Bart Preneel:
"Die Funktionen basieren teils auf Intuition. Und wir hoffen, dass niemand eine Kollision finden wird. Leider lagen Wissenschaftler, sogar Turing-Preis-Gewinner, ziemlich daneben mit ihrer Intuition. In den frühen Neunzigern gab es eine Funktion namens MD4. Dafür können wir mittlerweile innerhalb von Millisekunden Kollisionen finden."
Nachfolger von MD4 ist MD5. Auch bei diesem ist es ein großer Aufwand mehr, Kollisionen zu finden. Und auch dem ebenfalls vielfach eingesetzten SHA-Algorithmus vertrauen Kryptologen nicht mehr uneingeschränkt. Zwei der am weitesten verbreiteten Hashfunktionen, MD5 und SHA, sind damit für viele Anwendungen unbrauchbar geworden. Helfen soll ein Wettbewerb der amerikanischen Regierung. Sie hat Kryptologen aufgerufen, Vorschläge für eine neue Standard-Hash-Funktion einzureichen. Die Forscher um Bart Preneel haben einen ähnlichen Wettbewerb schon einmal gewonnen. Als die Amerikaner einen Standard zur Datei-Verschlüsselung suchten, entwickelten sie das Verfahren AES. Seit dem Jahr 2000 ist das im Einsatz und weit verbreitet. Bei ihrem Beitrag zum aktuellen Hashing-Wettbewerb bleiben sich die Belgier treu:
"Unsere Idee basiert auf AES. AES ermöglicht sehr effiziente Kryptografie und deshalb wollten wir darauf aufbauen. Der zweite Grund ist, dass Intel AES Ende 2009 in seine Prozessoren integrieren will. Das wird AES rund zehn Mal schneller machen. Wir rechnen damit, dass auch unsere Hash-Funktionen dann – Ende dieses Jahres – zehn Mal schneller läuft."
Die Leuvener Forscher müssen sich im Wettbewerb um die neue Standard-Hash-Funktion gegen 64 andere Forschergruppen durchsetzen. Der Wettbewerb hat die Arbeit in diesem Bereich der Kryptologie regelrecht beflügelt. Der Auswahlprozess der amerikanischen Behörde wird deshalb einige Zeit dauern.
"Der Nachteil des Wettbewerbs ist, dass wir unseren Vorschlag schon 2008 einreichen mussten, der Gewinner aber erst 2012 feststeht. Während dieser Zeit lernen wir viel dazu. Man kann zwar kleine Änderungen am Algorithmus vornehmen, aber man kann ihn nicht ganz neu schreiben. Der Gewinner wird also den Stand der Wissenschaft von vor vier Jahren widerspiegeln."
In dieser Zeit machen auch die Kryptologen - und Hacker - Fortschritte, die versuchen, Hash-Funktionen zu brechen, also Kollisionen zu finden. Holen sie den Vorsprung auf, wäre das fatal: Ohne verlässlich sichere Hash-Methoden sind viele Sicherheitsfunktionen von Software, im Internet oder im Finanzsektor angreifbar.
MD5 habe Sicherheitsprobleme, sagt der Kryptologe Bart Preneel. Er entwickelt Hash-Funktionen. Hash-Funktionen errechnen aus mega- oder gar gigabytegroßen Daten einen kurzen Code, vergleichbar mit der Quersumme einer Zahl. Für jede ursprüngliche Datei ergibt sich ein anderer Code. Dieser Hashwert ist deshalb eine Art Fingerabdruck einer Datei. Ändert sich die Datei, ändert sich auch der Hash-Fingerabdruck. Um also festzustellen, ob sich die Datei geändert hat, genügt ein Blick auf den kurzen Hash. Das nutzen zum Beispiel Computer-Programme, die sich Updates aus dem Internet herunterladen. Anhand des Hashs können sie erkennen, ob die Datei manipuliert wurde. Das funktioniert aber nur, solange es nicht zwei Dateien gibt, die denselben Hash haben. Kryptologen nennen das eine Kollision. Das Problem: Es gibt keine Hash-Funktion ohne Kollisionen. Wer lange genug sucht, wird immer zwei Dateien finden, die einen identischen Hash haben. Je schwieriger solche Kollisions-Fälle zu finden sind, desto besser die Hash-Funktion. Mit reiner Mathematik ist das nicht zu machen, sagt der Kryptologe Bart Preneel:
"Die Funktionen basieren teils auf Intuition. Und wir hoffen, dass niemand eine Kollision finden wird. Leider lagen Wissenschaftler, sogar Turing-Preis-Gewinner, ziemlich daneben mit ihrer Intuition. In den frühen Neunzigern gab es eine Funktion namens MD4. Dafür können wir mittlerweile innerhalb von Millisekunden Kollisionen finden."
Nachfolger von MD4 ist MD5. Auch bei diesem ist es ein großer Aufwand mehr, Kollisionen zu finden. Und auch dem ebenfalls vielfach eingesetzten SHA-Algorithmus vertrauen Kryptologen nicht mehr uneingeschränkt. Zwei der am weitesten verbreiteten Hashfunktionen, MD5 und SHA, sind damit für viele Anwendungen unbrauchbar geworden. Helfen soll ein Wettbewerb der amerikanischen Regierung. Sie hat Kryptologen aufgerufen, Vorschläge für eine neue Standard-Hash-Funktion einzureichen. Die Forscher um Bart Preneel haben einen ähnlichen Wettbewerb schon einmal gewonnen. Als die Amerikaner einen Standard zur Datei-Verschlüsselung suchten, entwickelten sie das Verfahren AES. Seit dem Jahr 2000 ist das im Einsatz und weit verbreitet. Bei ihrem Beitrag zum aktuellen Hashing-Wettbewerb bleiben sich die Belgier treu:
"Unsere Idee basiert auf AES. AES ermöglicht sehr effiziente Kryptografie und deshalb wollten wir darauf aufbauen. Der zweite Grund ist, dass Intel AES Ende 2009 in seine Prozessoren integrieren will. Das wird AES rund zehn Mal schneller machen. Wir rechnen damit, dass auch unsere Hash-Funktionen dann – Ende dieses Jahres – zehn Mal schneller läuft."
Die Leuvener Forscher müssen sich im Wettbewerb um die neue Standard-Hash-Funktion gegen 64 andere Forschergruppen durchsetzen. Der Wettbewerb hat die Arbeit in diesem Bereich der Kryptologie regelrecht beflügelt. Der Auswahlprozess der amerikanischen Behörde wird deshalb einige Zeit dauern.
"Der Nachteil des Wettbewerbs ist, dass wir unseren Vorschlag schon 2008 einreichen mussten, der Gewinner aber erst 2012 feststeht. Während dieser Zeit lernen wir viel dazu. Man kann zwar kleine Änderungen am Algorithmus vornehmen, aber man kann ihn nicht ganz neu schreiben. Der Gewinner wird also den Stand der Wissenschaft von vor vier Jahren widerspiegeln."
In dieser Zeit machen auch die Kryptologen - und Hacker - Fortschritte, die versuchen, Hash-Funktionen zu brechen, also Kollisionen zu finden. Holen sie den Vorsprung auf, wäre das fatal: Ohne verlässlich sichere Hash-Methoden sind viele Sicherheitsfunktionen von Software, im Internet oder im Finanzsektor angreifbar.