Bruce Schneier berichtet in seinem Blog, dass der bisher als sicher titulierte Hash Algorithmus SHA1 geknackt wurde.
Dies könnte weitreichende Konsequenzen haben, da ein Großteil der digitalen Signaturen im Netz mit eben jenem Algorithmus geschützt werden.
Details sind bisher noch keine bekannt, da das entsprechende Dokument noch unter Verschluss gehalten wird.

Quelle: /.

Was ist SHA1?

Im Untertitel dieses Themas steht was von Online-banking.. damit hat das hier wenig zu tun, wenigstens für den Moment. Denn die Kollisionen betreffen nur das Hashing aber nicht PRF oder HMAC, auf gut deutsch: SSH und SSL/TLS sind nicht betroffen. Zudem:
1. Es geht in dem (offiziell unveröffentlichten, aber *psst*) Paper nur um die Kompression (bei der es wesentlich einfacher ist, ein Kollision zu finden) und nicht um die eigentliche Hash-Funktion
2. Es ist um den Faktor 2^11 einfacher geworden, eine Kollision zu finden, Faktor 2^69 ist trotzdem noch eine Menge...
3. Man arbeitet bei PKIX schon an einer Lösung, damit dieses Phänomen bei x.509-Zertifikaten nicht auftritt.

Nichtsdestotrotz: SHA-1 kann man als kryptographisch gebrochen einstufen, so Experten.

Lustig daran: Just diese Woche (DI) hat die RegTP den Algorithmenkatalog 2005 herausgegeben, der die Konformität gemäß SigG bis 2010 festlegt dumm gelaufen, oder wie war das mit Murphy?

#äbaddon, unsigned.