Skip to main content

WIE MAN: Was ist SHA-1? (Definition von SHA-1 und SHA-2) - 2020

SHA: Secure Hashing Algorithm - Computerphile (November 2020).

Anonim

SHA-1 (kurz für Sicherer Hash-Algorithmus 1 ) ist eine von mehreren kryptographischen Hashfunktionen.

SHA-1 wird am häufigsten verwendet, um zu überprüfen, ob eine Datei unverändert ist. Dazu wird eine Prüfsumme erstellt, bevor die Datei übertragen wurde, und dann erneut, wenn sie ihren Zielort erreicht.

Die übermittelte Datei kann nur dann als echt angesehen werden, wenn Beide Prüfsummen sind identisch.

Geschichte und Schwachstellen der SHA-Hash-Funktion

SHA-1 ist nur einer der vier Algorithmen der SHA-Familie (Secure Hash Algorithm). Die meisten wurden von der US-amerikanischen National Security Agency (NSA) entwickelt und vom National Institute of Standards and Technology (NIST) veröffentlicht.

SHA-0 hat eine 160-Bit-Message-Digest-Größe (Hashwert) und war die erste Version dieses Algorithmus. SHA-0-Hashwerte sind 40 Ziffern lang. Es wurde 1993 unter dem Namen "SHA" veröffentlicht, wurde jedoch in vielen Anwendungen nicht verwendet, da es 1995 aufgrund eines Sicherheitsfehlers schnell durch SHA-1 ersetzt wurde.

SHA-1 ist die zweite Iteration dieser kryptographischen Hash-Funktion. SHA-1 verfügt außerdem über einen Message-Digest von 160 Bits und versucht, die Sicherheit zu erhöhen, indem eine in SHA-0 festgestellte Schwäche behoben wird. Im Jahr 2005 wurde jedoch auch festgestellt, dass SHA-1 unsicher ist.

Nachdem in SHA-1 kryptografische Schwächen festgestellt wurden, gab NIST 2006 eine Erklärung ab, in der die Bundesbehörden aufgefordert wurden, die Verwendung von SHA-2 bis zum Jahr 2010 zu übernehmen. SHA-2 ist stärker als SHA-1 und Angriffe gegen SHA-2 sind unwahrscheinlich mit der aktuellen Rechenleistung passieren.

Nicht nur Bundesbehörden, sondern auch Unternehmen wie Google, Mozilla und Microsoft haben alle Pläne, SHA-1-SSL-Zertifikate nicht länger zu akzeptieren, oder haben das Laden dieser Seiten bereits blockiert.

Google verfügt über den Nachweis einer SHA-1-Kollision, durch die diese Methode für die Erzeugung eindeutiger Prüfsummen unzuverlässig wird, unabhängig davon, ob es sich um ein Kennwort, eine Datei oder andere Daten handelt. Sie können zwei einzigartige PDF-Dateien von SHAttered herunterladen, um zu sehen, wie dies funktioniert. Verwenden Sie einen SHA-1-Rechner am Ende dieser Seite, um die Prüfsumme für beide zu generieren, und Sie werden feststellen, dass der Wert derselbe ist, auch wenn er andere Daten enthält.

SHA-2 und SHA-3

SHA-2 wurde 2001 einige Jahre nach SHA-1 veröffentlicht. SHA-2 enthält sechs Hash-Funktionen mit unterschiedlichen Digest-Größen: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, und SHA-512/256 .

Von Nicht-NSA-Designern entwickelt und 2015 von NIST veröffentlicht, ist ein weiteres Mitglied der Secure-Hash-Algorithmus-Familie SHA-3 (vormals Keccak ).

SHA-3 ist nicht als Ersatz für SHA-2 gedacht, da die Vorgängerversionen frühere Versionen ersetzen sollten. Stattdessen wurde SHA-3 als Alternative zu SHA-0, SHA-1 und MD5 entwickelt.

Wie wird SHA-1 verwendet?

Ein reales Beispiel, in dem SHA-1 verwendet werden kann, ist die Eingabe Ihres Passworts auf der Anmeldeseite einer Website. Obwohl dies ohne Ihr Wissen im Hintergrund geschieht, kann dies eine Methode sein, mit der eine Website sicherstellt, dass Ihr Kennwort authentisch ist.

Stellen Sie sich in diesem Beispiel vor, Sie versuchen, sich bei einer Website anzumelden, die Sie häufig besuchen. Jedes Mal, wenn Sie sich anmelden, müssen Sie Ihren Benutzernamen und Ihr Kennwort eingeben.

Wenn die Website die kryptografische SHA-1-Hash-Funktion verwendet, bedeutet dies, dass Ihr Kennwort nach der Eingabe in eine Prüfsumme umgewandelt wird. Diese Prüfsumme wird dann mit der Prüfsumme verglichen, die auf der Website gespeichert ist und sich auf Ihr aktuelles Kennwort bezieht Sie haben Ihr Passwort nicht geändert, seit Sie sich angemeldet haben oder wenn Sie es gerade geändert haben. Wenn die beiden übereinstimmen, erhalten Sie Zugriff. Andernfalls wird Ihnen mitgeteilt, dass das Passwort falsch ist.

Ein weiteres Beispiel, in dem die SHA-1-Hashfunktion verwendet werden kann, ist die Dateiverifizierung. Einige Websites stellen die SHA-1-Prüfsumme der Datei auf der Downloadseite bereit. Wenn Sie die Datei herunterladen, können Sie die Prüfsumme selbst überprüfen, um sicherzustellen, dass die heruntergeladene Datei mit der Download-Datei identisch ist.

Sie werden sich vielleicht fragen, wo diese Art der Überprüfung tatsächlich zum Einsatz kommt. Stellen Sie sich ein Szenario vor, in dem Sie die SHA-1-Prüfsumme einer Datei von der Entwickler-Website kennen, Sie jedoch dieselbe Version von einer anderen Website herunterladen möchten. Sie können dann die SHA-1-Prüfsumme für Ihren Download generieren und mit der echten Prüfsumme auf der Download-Seite des Entwicklers vergleichen.

Wenn die beiden unterschiedlich sind, bedeutet dies nicht nur, dass der Inhalt der Datei nicht identisch ist, sondern auch der dortige könnte verborgene Malware in der Datei enthalten sein, die Daten könnten beschädigt sein und Ihre Computerdateien beschädigen, die Datei hat nichts mit der echten Datei zu tun usw.

Es könnte jedoch auch nur bedeuten, dass eine Datei eine ältere Version des Programms darstellt als die andere, da selbst eine kleine Änderung einen eindeutigen Prüfsummenwert erzeugt.

Sie können auch prüfen, ob die beiden Dateien identisch sind, wenn Sie ein Service Pack oder ein anderes Programm oder Update installieren, da Probleme auftreten, wenn einige Dateien während der Installation fehlen.

SHA-1 Checksum-Rechner

Mit einem speziellen Taschenrechner kann die Prüfsumme einer Datei oder Zeichengruppe bestimmt werden.

SHA1 Online und SHA1 Hash sind beispielsweise kostenlose Online-Tools, mit denen die SHA-1-Prüfsumme einer beliebigen Gruppe von Text, Symbolen und / oder Zahlen generiert werden kann.

Diese Websites generieren beispielsweise die SHA-1-Prüfsumme von bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba für den Text pAssw0rd! .