Die Hashfunktion- Familie SHA und Angriffe darauf

Transkript

1 Die Hashfunktion- Familie SHA und Angriffe darauf Ruth Janning Juni 2007

2 Secure Hash Algorithm Das National Institude of Standards and Technology (NIST) entwickelte zusammen mit der National Security Agency (NSA) eine zum Signieren gedachte sichere Hash-Funktion als Bestandteil des Digital Signature Algorithms (DSA) für den Digital Signature Standard (DSS).

3 Geschichte von SHA 1993: Veröffentlichung des durch die NSA und das NIST entwickelten und standardisierten Hashfunktion SHA, die auf den Design-Prinzipien von MD4 beruht und MD5 sehr ähnlich ist. 1995: Änderung an SHA wegen einer Schwäche von SHA-0 neuer Algorithmus: SHA-1(zusätzliche Linksrotation in der Expansionstransformation) 2002: Veröffentlichung von SHA-2 für ein höheres Sicherheits-Niveau Heute: SHA-1 ist die meist benutzte Hashfunktion.

4 Anwendung von SHA-1 Digitale Signaturen Zertifikate Integritätschecks von Software Speichern von Passwörtern durch Betriebssysteme (diese speichern nur deren Hashwert) Pseudo-Zufallszahlen-Generatoren Konstruktion von MACs

5 Protokolle/Standards/Anwendungen, die SHA-1 verwenden Open PGP (Programme: PGP, GnuPG) S/MIME IPSec SSH SSL VPN

6 Der Algorithmus

7 Struktur Merkle-Damgård Hashfunktion = allgemeine Konstruktion einer kryptographischen Hashfunktion: Eingabe in Blöcke zerteilen und diese nacheinander mit der Kompressionsfunktion verarbeiten, wobei jedes Mal ein Block der Eingabe mit der Ausgabe der vorherigen Runde kombiniert wird

8 Vorbereitende Berechnungen 1. Auffüllen der Nachricht und Anhängen der Länge der Ursprungs-Nachricht (Auffüllen: Ein 1-Bit und entsprechend viele 0-Bits) 2. Zerlegen der aufgefüllten Nachricht in Blöcke 3. Initialisierung des Hashwerts mit fest vorgegebenen Werten

9 Vorbereitende Berechnungen Nachricht Algorithmus Länge Nach Auffüllen (Bit) Länge der angehängten Nachrichten- Länge Nach Auffüllen und Länge Anhängen Vielfaches von Größe der Blöcke Initialisierung des Hashwerts SHA * x Bit 512 Bit Bit Worte 5 32-Bit Worte SHA * x Bit 512 Bit Bit Worte 8 32-Bit Worte SHA * x Bit 512 Bit Bit Worte 8 32-Bit Worte (gewonnen aus Primzahlen) SHA * x Bit 1024 Bit Bit Worte 8 64-Bit Worte (gewonnen aus Primzahlen) SHA * x Bit 1024 Bit Bit Worte 8 64-Bit Worte (gewonnen aus Primzahlen)

10 Berechnung des Hashwerts (Message Digest) Für jeden Nachrichten-Block: 1. Expansionstransformation: aus den /64-Bit Worten 80 (bzw. bei SHA-224 & ) gewinnen 2. Variablen mit dem für den vorherigen Nachrichtenblock ermittelten Hashwert initialisieren 3. Für jedes der 64/80 Worte die Rundenfunktionen anwenden 4. Der Hashwert für diesen Nachrichtenblock ergibt sich aus der Addition der Werte der Variablen mit dem für den vorherigen Nachrichtenblock ermittelten Hashwert.

11 Berechnung des Hashwerts (Message Digest) Ergebnis: Hashwert, der für den letzten Nachrichten-Block ermittelt wurde Bei SHA-224 und SHA-384 werden jeweils entsprechend viele rechts stehende Bits weggelassen, um die richtige Länge für den Message Digest zu erreichen.

12 Anmerkung SHA-224 und SHA-256, sowie SHA-384 und SHA-512 unterscheiden sich jeweils nur durch abweichende initiale Hash- Werte und die unterschiedliche Länge des Message Digest.

13

14 Die verschiedenen SHA-Algorithmen im Überblick (Security: Für die Geburtstagsattacke sind nur 2 m/2 zufällige Nachrichten erforderlich, wenn m die Länge des Message Digest ist.) Algorithmus Nachrichten- Block-Größe Wort-Länge Größe des Security (Bit) Länge (Bit) (Bit) (Bit) Message Digest (Bit) SHA-1 < SHA-224 < SHA-256 < SHA-384 < SHA-512 <

15 Beispiel SHA-0/-1 (Preprocessing) 1. Nachricht auffüllen: Ein 1-Bit und so viele 0-Bits anhängen, dass die Nachrichtenlänge in Bits bei der Division durch 512 den Rest 448 ergibt. Anhängen der Länge der Ursprungs-Nachricht: als Binärzahl der Länge 64 Bit. 2. Aufgefüllte Nachricht in 512-Bit Blöcke zerlegen (= Bit Worte) 3. Hashwert initialisieren: IV = (a 0, b 0, c 0, d 0, e 0 ) = (0x , 0xefcdab89, 0x98badcfe, 0x , 0xc3d2e1f0)

16 Beispiel SHA-0/-1 (Hash Computation) Für jeden Nachrichten-Block: 1. Expansionstransformation SHA-0: für i = 16,...,79: m i = (m i 3 XOR m i 8 XOR m i 14 XOR m i 16 ) Expansionstransformation SHA-1: für i = 16,...,79: m i = (m i 3 XOR m i 8 XOR m i 14 XOR m i 16 ) <<1 2. Variablen a, b, c, d, e mit dem für den vorherigen Nachrichtenblock ermittelten Hashwert initialisieren 3. Für jedes der 80 Worte die Schrittfunktion anwenden (4 Runden mit je 20 Schritten): für i = 0, 2,..., 79: a i = (a i 1 << 5) + f i (b i 1, c i 1, d i 1 ) + e i 1 + m i 1 + k i b i = a i 1 c i = b i 1 << 30 d i = c i 1 e i = d i 1 4. Hashwert H (i) des Blocks: H (i) 0 = a + H (i-1) 0 H (i) 1 = b + H (i-1) 1 H (i) 2 = c + H (i-1) 2 H (i) 3 = d + H (i-1) 3 H (i) 4 = e + H (i-1) Bit Message Digest (aus N Blöcken): H (N) 0 H (N) 1 H (N) 2 H (N) 3 H (N) 4

17 Beispiel SHA-0/-1: Rundenfunktionen Jede Runde benutzt eine eigene boolesche Funktion f i und Konstante k i. Runde Schritte Boolesche Funktion f i Konstante k i IF: ( x AND y) OR ( x AND z) 0x5a [wenn x = 1, dann Ergebnis = Wert von y wenn x = 0, dann Ergebnis = Wert von z] XOR: x XOR y XOR z 0x6ed6eba1 [Wird 1 wenn eine ungerade Anzahl der Variablen x, y, z den Wert 1 hat, sonst 0.] MAJ: (x AND y) OR (x AND z) OR (y AND z) 0x8fabbcdc [Ergibt den Wert, den die Mehrheit der Variablen x, y, z besitzt.] XOR: x XOR y XOR z 0xca62c1d6 [siehe oben]

18 Angriffe auf SHA-0 und SHA-1

19 Zwei Kategorien von Angriffen: Brute Force: Reines Ausprobieren aller möglichen Kombinationen ohne genaue Kenntnis des Algorithmus Der Aufwand hängt nicht von Algorithmus-Details ab, sondern von der Länge des Hashwerts. Beispiel: Passworte mit Hilfe sog. Rainbowtables aus deren Hashwerten erhalten (Gegenmaßnahme: Salt) Werden Angriffe gefunden, die deutlich weniger Aufwand benötigen, gilt das Verfahren als geknackt. Kryptoanalyse: Gewisse Eigenschaften der jeweiligen Funktion bzw. ihrer inneren Struktur werden ausgenutzt.

20 Wichtige Eigenschaften von kryptographischen Hashfunktionen (mit einem Hashwert der Länge n) Einweg-Funktion (preimage-resistance) Komplexität eines Brute-Force-Angriffs: 2 n Schwache Kollisonsresistenz (secondpreimageresistance) Komplexität eines Brute-Force-Angriffs: 2 n Starke Kollisonsresistenz (free-collision) Komplexität eines Brute-Force-Angriffs: 2 n/2 (Geburtstagsangriff, möglich durch Geburtstagsparadoxon)

21 Pseudokollisionen und Kompressionsfunktion-Attacken (V, V : IVs; V 0 : vorbestimmter IV; x, x : Eingaben; x 0 : vorbestimmte Eingabe; y 0 : vorbestimmte Ausgabe; *:frei wählbar; Für eine Attacke auf die Kompressionsfunktion: h (V 0, x) durch f (H i-1, x i ) ersetzen) Typ der Attacke V V x x y Finden: preimage V 0 * y 0 x : h (V 0, x) = y 0 pseudo-preimage * * y 0 x, V : h (V, x) = y 0 (IV frei wählbar) 2nd-preimage V 0 V 0 x 0 * h(v 0, x 0 ) x' : h (V 0, x 0 ) = h (V 0, x') Kollision V 0 V 0 * * x, x' : (fest vorgegebener IV) h (V 0, x) = h (V 0, x') Kollision * V * * x, x', V : (zufälliger IV) h (V, x) = h (V, x') Pseudo-Kollision (modifizierte Varianten von Hash-Funktionen, z.b. IV frei wählbar) * * * * x, x', V, V' : h (V, x) = h (V', x )

22 Chaining Attacks Sie basieren auf der iterativen Natur der Hashfunktion und konzentrieren sich auf die Kompressionsfunktion. 1. Correcting-block chaining attacks: Einen Block mit einem anderen ersetzen, ohne den Hash-Wert zu beeinflussen. 2. Meet-in-the-middle chaining attacks: Geburtstagsattacken, die aber Kollisionen bei Zwischenergebnissen suchen. 3. Fixed-point chaining attacks: Ein fixed point einer Kompressionsfunktion ist ein Paar (H i-1, x i ) mit f (H i-1, x i ) = H i-1. Damit kann man in eine Nachricht Blöcke einfügen, ohne dass sich der Hashwert dadurch verändert. 4. Differential chaining attacks: (Differentielle Kryptoanalyse) Es werden Eingabe-Differenzen und ihr Bezug zu den entsprechenden Ausgabe-Differenzen untersucht (Kollision: Ausgabe-Differenz = 0).

23 Daten der Angriffe auf SHA : Wang stellt eine Algebraische Methode vor, um eine Kollision für SHA-0 mit einer Wahrscheinlichkeit von 2-58 zu finden. 1998: Chabaud und Joux finden für SHA-0 eine Kollisions-Attacke mit einer Wahrscheinlichkeit von 2-61 (verbessert auf 2-45 durch Message Modification). 2004: Joux findet für SHA-0 eine 4-Block-Kollison mit Komplexität : Wang, Yu und Yin finden eine Kollision für SHA-0 mit einer Wahrscheinlichkeit von 2-39.

24 Daten der Angriffe auf SHA : Biham und Chen schätzen, dass Kollisionen für SHA-1, auf 53 Runden reduziert, mit einer Komplexität von 2 48 gefunden werden können. 2005: Wang, Yu und Yin finden Kollisionen für SHA-1, auf 53 Runden reduziert, in 2 33 Operationen. 2005: Wang, Yin und Yu finden eine Kollision für SHA-1 mit einer Wahrscheinlichkeit von 2-69 (verbessert auf 2-63 von Wang, Andrew Yao und Frances Yao). 2006: Angriff gegen eine auf 64 Schritte reduzierte Variante von SHA-1 von Christian Rechberger und Christophe De Cannière (Neu: Ein Teil der gefälschten Nachricht kann im Inhalt frei gewählt werden. Bisher wurden die Hash-Zwillinge lediglich mit sinnlosen Buchstabenkombinationen des Klartextes gebildet.)

25 Grundlegende Ideen bei Kollisionsattacken (Die Kryptoanalyse von Hashfunktionen konzentriert sich hauptsächlich auf das Finden von Kollisionen.) Allgemeine Strategie: Eine Nachrichten-Differenz zwischen zwei erweiterten Nachrichten finden, so dass die Wahrscheinlichkeit höher als erwartet ist, dass deren Hashwerte gleich sind. Dabei sollten während der Rundenberechnungen die Werte der Variablen a, b, c, d, e nie signifikant abweichen und mit hoher Wahrscheinlichkeit korrigiert werden können. Basis-Werkzeug: die lokale Kollision (eine Folge von ein paar Schritten, in denen kleine Unterschiede mit hoher Wahrscheinlichkeit absorbiert werden können)

26 Grundlegende Ideen bei Kollisionsattacken Störungsvektoren beschreiben, wie die lokalen Kollisionen miteinander verknüpft werden. Die vollständige Folge von Unterschieden in den Variablen wird differential path genannt. Die Erfolgswahrscheinlichkeit hängt von der Erfüllung einer Menge von Bedingungen für jede lokale Kollision ab.

27 Bedeutendster Angriff auf SHA-0 und SHA-1 durch Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu (größtenteils von der Shangdong Universität, China) in 2005

28 Angriff auf SHA-0 Beobachtung: In SHA-0 (und SHA-1) gibt es eine lokale Kollision innerhalb von 6 Schritten, die bei jedem beliebigen Schritt starten kann. Genauer: Ein Unterschied von einem Bit zwischen zwei Nachrichten beeinflusst die Variablen a, b, c, d, e nacheinander in den nächsten 5 Schritten (b i = a i 1, c i = b i 1 << 30, ).

29 Angriff auf SHA-0 Um diese Differenzen auszugleichen und eine lokale Kollision herbeizuführen, werden in den folgenden Worten noch mehr unterschiedliche Bits eingeführt. Die Wahrscheinlichkeit für eine solche Kollision hängt von der booleschen Funktion, der Bitposition der Differenz und Bedingungen an die Nachrichten-Bits ab. Idee: Einen differential path finden, der aus bestimmten lokalen 6-Schritt-Kollisionen zusammengesetzt ist.

30 Methode (Angriff auf SHA-0)

31 1. Störungsvektor Störungsvektor mit geringem Hamming-Gewicht finden (eine Menge von Startpunkten für jede lokale Kollision). Er muss der Expansionsfunktion genügen 16 aufeinanderfolgende Variablen bestimmen den Rest der 80 Variablen des Vektors. Damit der Störungsvektor zu einer Kollision führen kann, müssen einige Bedingungen für ihn aufgestellt werden. Das Hamming-Gewicht des Störungsvektors hängt eng zusammen mit der Komplexität des Angriffs.

32 1. Störungsvektor Neue Technik von Wang: Es werden ein paar der Bedingungen nicht beachtet. Das vergrößert den Suchraum und erlaubt Vektoren mit geringerem Hamming Gewicht zu finden. Der Preis dafür sind kompliziertere differential paths in der ersten Runde. Da modification techniques benutzt werden können, um alle Bedingungen in der ersten Runde zu erfüllen, konzentriert man sich auf Vektoren mit geringem Hamming-Gewicht in den Runden 2-4.

33 2. Differential path Differential path mit einigen wenigen lokalen Kollisionen in den Runden 2-4 und einigen aufeinander folgenden lokalen Kollisionen in Runde 1 finden (noch kein gültiger path, da der Störungsvektor nicht alle Bedingungen erfüllte). Um einen gültigen differential path zu konstruieren, ist es wichtig die Ausbreitung der Differenzen in den Variablen a, b, c, d, e zu kontrollieren (zum Teil werden Differenzen absorbiert oder müssen durch neu eingeführte Differenzen beseitigt werden).

34 3. Bedingungen Eine Menge von Bedingungen für die Nachrichten-Worte und die Variablen a i festlegen, so dass der gewählte differential path eingehalten werden kann (die Differenzen in den Variablen a, b, c, d, e werden durch die Differenzen in a bestimmt).

35 4. Message modification Um alle nicht erfüllten Bedingungen in der ersten Runde zu korrigieren. Basis-Technik: Die Schrittfunktion F hat die Form: a i = F (Eingabevariablen, m i-1 ) Bedingungen (siehe 3.) für a i : a i, j = v (v = 0, 1 oder Wert eines Bits einer Variable aus einer vorherigen Runde) Idee: a i, j durch Modifizieren des entsprechenden Bits in m i-1 auf den richtigen Wert setzen. Kann für die ersten 16 Schritte angewendet werden. Fortgeschrittenere Techniken werden benutzt, um Bedingungen nach Schritt 16 zu korrigieren.

36 5. Analyse Es sind 42 Bedingungen übrig eine Implementierung würde eine Komplexität von 2 42 Hash-Operationen hervorbringen. Verbesserung (nur eine kleine Zahl von Schritten der 80- Schritt-Hash-Operation berechnen): Eine Menge von guten Nachrichten-Worten vorberechnen (Worte, die alle Bedingungen in den ersten 14 Schritten erfüllen und nur die beiden letzen Worte als freie Variablen lassen). Early stopping Technik (nur bis zu einem bestimmten Schritt rechnen, dann für die folgenden Schritte für Nachrichten testen, ob diese die Bedingungen erfüllen) Komplexität des Kollisionsangriffs: höchstens 2 39 Hash-Operationen

37 6. Schlussfolgerung Diese Analyse demonstriert eine Schwäche in der Schritt-Funktion von SHA-0 und SHA-1. Insbesondere wegen der simplen Struktur der Schritt-Operation, bestimmten Eigenschaften der Booleschen Funktion IF: ( x AND y) OR ( x AND z) kombiniert mit dem Carry Effect werden Differentielle Attacken eher erleichtert als erschwert.

38 Angriff auf SHA-1 Der erste Angriff auf den vollen 80-Schritt SHA-1 mit einer Komplexität kleiner als die theoretische Grenze 2 80 (Brute-Force- Angriff).

39 Methode (Angriff auf SHA-1)

40 1. Störungsvektor und nearcollision differential path Near-collision differential path mit geringem Hamming-Gewicht im Störungsvektor finden. Near-collision (Beinahe-Kollision): Wenn zwei Nachrichten zwar nicht den selben aber einen sehr ähnlichen Hashwert besitzen. Das Hamming-Gewicht des Störungsvektors (HW(sv)) ist ein wichtiger Faktor bei der Bestimmung des Erfolgs der Kollisionsattacke. Komplexität einer Attacke auf SHA-1: ca. 2 3HW(sv)

41 1. Störungsvektor und nearcollision differential path Idee: Es werden keine Bedingungen an den Störungsvektor gestellt, außer dass die Expansionsfunktion erfüllt sein muss das erlaubt, Störungsvektoren zu finden, deren Hamming-Gewicht viel kleiner ist, als bei existierenden Attacken. Da der Suchraum nun sehr groß ist, werden für die Suche nach guten Vektoren Heuristiken benutzt. Für den vollen SHA-1 ist das Hamming-Gewicht von Vektoren für 1-Block Kollisionen jedoch immer noch zu hoch. Daher sucht man nach guten Störungsvektoren für Beinahe-Kollisionen und 2-Block Kollisionen.

42 2. 2-Block collision differential path Mit der Idee der Multi-Block-Kollisionen kann man 2-Block-Kollisionen mit Beinahe-Kollisionen konstruieren. Zwei 1-Block near-collision differential paths werden in einen 2-Block collision differential path mit dem Zweifachen der Such-Komplexität umgewandelt. (Die Beinahe-Kollision für den zweiten Nachrichten-Block kann mit derselben Komplexität gefunden werden wie die für den ersten Block.)

43 3. Bedingungen Bedingungen für die Variablen: wie bei dem Angriff auf SHA-0 Bei den Bedingungen für die Nachrichten- Worte muss wegen der extra Shift- Operation in der Expansionsfunktion eine aufwendigere Technik benutzt werden.

44 4. Message modification Durch die Basis-Technik kann man eine Eingabe-Nachricht so modifizieren, dass alle Bedingungen an die Variablen in den ersten 16 Schritten eingehalten werden können. Mit etwas zusätzlichem Aufwand kann man die Nachricht so modifizieren, dass auch alle Bedingungen in Schritt 17 bis 22 eingehalten werden.

45 5. Komplexitäts-Analyse Man kann die Komplexität bestimmen, indem man die verbleibende Anzahl der Bedingungen in den Runden 2 bis 4 zählt. Die Regeln für das Zählen hängen von der booleschen Funktion und den Stellen, an denen die Differenzen in jeder Runde auftreten, ab.

46 5. Komplexitäts-Analyse Das Auswahlkriterium für Störungsvektoren für Beinahe-Kollisionen ist die minimale Anzahl an Bedingungen. Verbesserung: Precomputation Early stopping Technik Komplexität für eine Beinahe-Kollision: 2 68 Berechnungen Komplexität für die Kollision: 2 69

47 5. Komplexitäts-Analyse Kollisionen für SHA-1, reduziert auf 58 Schritte, können mit einer Komplexität kleiner als 2 33 gefunden werden.

48 6. Schlussfolgerung Die Expansionstransformation für SHA-1 scheint nicht genug avalanche effect (Lawinen-Effekt) für die Verbreitung der Eingabe-Differenzen zu bieten. Außerdem scheint es eine gewisse unerwartete Schwäche in der Struktur der Schrittfunktionen zu geben. Insbesondere wegen der einfachen Schritt-Operation, bestimmten Eigenschaften von einigen booleschen Funktionen kombiniert mit dem Carry Effekt werden Differentielle Attacken eher erleichtert, als verhindert.

49 Konsequenzen

50 Konsequenzen Hauptsächlich betroffen durch die bekannten Angriffe sind Signaturen (sie benötigen Kollisionsresistenz). Bei Anwendungen, die keine Kollisionsresistenz benötigen, ist es unwahrscheinlich, dass sie wegen der bekannten Angriffe in naher Zukunft Änderungen unterliegen müssen.

51 Konsequenzen Das BSI rät: SHA-1 sollte möglichst bald (Frist: Ende 2007) nicht mehr allgemein für qualifizierte elektronische Signaturen verwendet werden. Da ein Angreifer den Inhalt eines gemäß SigG/SigV ausgestellten qualifizierten Zertifikates nur in beschränktem Maße beeinflussen kann, kann von einer Eignung von SHA-1 für solche Zertifikate bis auf weiteres noch bis Ende 2009 ausgegangen werden. Grundsätzlich sollte für neue Produkte keine 160-Bit Hashfunktion mehr verwendet werden.

52 Konsequenzen BSI: Innerhalb der SHA-2-Familie ist es für langfristige Zwecke sinnvoll, statt SHA-224 eher SHA-256 (oder höher) zu verwenden. Die Sicherheit bereits erstellter Signaturen wird durch den Kollisionsangriff [von Wang] nicht gefährdet.

53 Mögliche Reaktionen Die Hashfunktion wechseln (führender Kandidat: die SHA-2-Familie) Die Protokolle selber neu entwerfen (ein Vorschlag ist z.b. randomized hashing) Vorschläge von Michael Szydlo und Yiqun Lisa Yin: Message Pre-processing Techniques

54 Message Pre-processing Techniques Idee: Die Nachricht wird vorbehandelt, bevor ihr Hashwert berechnet wird. Die zugrundeliegende Hashfunktion selbst wird nicht verändert.

55 Message Pre-processing Techniques Local Expansion Verfahren Message Whitening: Die Nachricht wird durch Einfügen von festgelegten Zeichen in regelmäßigen Abständen geändert. Message Self Interleaving: Jedes Nachrichten-Wort wird verdoppelt. verhindert das Finden guter differential paths und verringert die Effektivität von Message Modification.

56 Message Pre-processing Techniques IV Message Dependence Verfahren Es wird sichergestellt, dass der Initialisierungs-Vector (IV) abhängig von der Eingabe-Nachricht ist. Beispiel: Message Dublication (Die Nachricht wird mit sich selbst verknüpft, bevor der Hashwert berechnet wird. Der Wert des IV für die Verarbeitung der zweiten Nachricht ist eine Funktion der Nachricht selbst.) Die bekannten Angriffsstrategien können nicht angewandt werden.

57 NIST-Ausschreibung Das NIST hat einen öffentlichen Wettbewerb für den Nachfolger des Hash- Algorithmus SHA-1 ausgeschrieben. Man wird bis Ende 2008 Entwürfe für ein neues Verfahren entgegennehmen. Der Sieger des Auswahl-Verfahrens geht in den Secure Hashing Standard SHS über, was bis 2012 dauern soll.

58 Quellen NIST. Federal Information Processing Standards Publication (+ Change Notice to include SHA-224).1.August 2002 Xiaoyun Wang, Hongbo Yu, Yiqun Lisa Yin. Efficient Collision Search Attacks on SHA Xiaoyun Wang, Hongbo Yu, Yiqun Lisa Yin. Finding Collisions in the Full SHA Xiaoyun Wang. What s the Potential Danger behind the collisions of Hash Functions. Juni 2005, Hash Function Workshop Michael Szydlo, Yiqun Lisa Yin. Collision-Resistant usage of MD5 and SHA-1 via Message Preprocessing Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone. Handbook of Applied Cryptography. CRC Press, 1996 William Stallings. Cryptography and Network Security. Pearson, 2006 Bruce Schneier. Angewandte Kryptographie. Amerikanische Originalausgabe:1996, Übersetzung: Pearson, 2006 Stephan Wohlfeil. Sicherheit im Internet (Kurs 1866 der Fernuniversität in Hagen). Überarbeitet im SS 05 Reinhard Wobst, Jürgen Schmidt. Hash mich. Februar