Über den Wert der MD4-Kollisionen gab es jedoch geteilte Meinungen. Ein britischer Kryptologe meinte, man brauche sich keine großen Sorgen zu machen, da die mit Dobbertins Methode aufspürbaren Kollisionen keine Nachrichten mit sinnvollem Inhalt beträfen. Doch Hans Dobbertin bewies das Gegenteil: Er konstruierte zwei fiktive Kaufverträge, die sich nur durch die Kaufsumme unterschieden, und schickte sie in digitaler Form an seinen britischen Kollegen. Zu dessen Überraschung ergaben beide den gleichen Hashwert.
Der MD5-Angriff
Nach MD4 knöpfte sich Hans Dobbertin dessen Nachfolger MD5 vor – die damals meistverwendete kryptografische Hashfunktion. MD5 liefert einen Hashwert der Länge 128 Bit, wobei das Verfahren mit einem ebenfalls 128 Bit langen Wert initialisiert wird. Dieser Initialisierungswert ist in der Spezifikation des Verfahrens festgelegt, er lautet in Hexadezimalschreibweise 01234567 89ABCDEF FEDCBA98 76543210.
Hans Dobbertin fand Kollisionen bei einer MD5-Variante mit geändertem Initialisierungswert. Damit war MD5 zwar noch nicht wirklich geknackt, da Dobbertins Methode bei einem korrekten Initialisierungswert nicht funktionierte. In der Kryptologie ist es jedoch üblich, Verfahren nur dann zu akzeptieren, wenn sie einen komfortablen Sicherheitspuffer beinhalten, und dieser war mit Dobbertins Arbeit aufgebraucht. Außerdem hinterlässt es generell ein schlechtes Gefühl, wenn die Sicherheit eines Verfahrens in einem vorgegebenen Wert liegt – wer weiß schließlich, ob der Entwickler bei der Wahl dieses Werts nicht irgendwelche Hintergedanken hatte (siehe meinen Blog-Artikel über Leerer-Ärmel-Zahlen). Experten rieten daher nun von der weiteren Verwendung von MD5 ab.
Eine neue Hashfunktion entsteht
Die Schwächen von RIPE-MD, MD4 und MD5 hatte Hans Dobbertin nun eindrücklich bewiesen. Software-Entwickler und IT-Berater in aller Welt mussten sich nun Gedanken darüber machen, welche kryptografische Hashfunktion sie überhaupt noch empfehlen konnten. Das einzige zu diesem Zeitpunkt unbeschädigte Verfahren war SHA-1, doch dieser von der NSA entwickelten Methode trauten viele schon allein wegen ihrer Herkunft nicht über den Weg.
Hans Dobbertin erkannte diese Lücke und machte sich kurzerhand daran, sie zu schließen. Zusammen mit den beiden Belgiern Bart Preneel und Antoon Bosselaers entwickelte er eine verbesserte Version von RIPE-MD, die als RIPEMD-160 bezeichnet wird. Da sich RIPE-MD-160 bis heute gegenüber allen Versuchen, Kollisionen zu finden, behauptet hat, wurde das Verfahren zur zweitwichtigsten kryptografischen Hashfunktion neben SHA-1.
Die Entwicklung im Bereich der kryptografischen Hashfunktionen ging derweil weiter. Noch zu Lebzeiten Dobbertins entdeckte eine chinesische Kryptologin eine Methode, mit der sich auch für SHA-1 Kollisionen erzeugen ließen. Dobbertins Entwicklung RIPEMD-160, die gegenüber dieser Methode nicht anfällig ist, wurde dadurch weiter aufgewertet. Gut untersuchte krypotografische Hashfunktionen ohne bekannte Sicherheitslücken wurden derweil zur Mangelware. Die US-Standardisierungsbehörde NIST führte daraufhin einen Wettbewerb durch, das eine neue kryptografische Hashfunktion hervorbringen sollte. Der Sieger war ein neu entwickeltes Verfahren namens Keccak. Schade, dass Dobbertin bei diesem Wettbewerb nicht mehr mitmischen konnte.
Follow @KlausSchmeh
Zum Weiterlesen: LCS35-Kryptogramm: Ein Verschlüsselungsrätsel, dessen Lösung 35 Jahre dauert
Letzte Kommentare