SHA-1 (kurz für Secure Hash Algorithm 1) ist eine von mehreren kryptographischen Hash-Funktionen.
Es wird am häufigsten verwendet, um zu überprüfen, ob eine Datei unverändert ist. Dazu wird eine Prüfsumme erstellt, bevor die Datei übertragen wurde, und dann erneut, sobald sie ihr Ziel erreicht hat.
Die übertragene Datei kann nur dann als echt angesehen werden, wenn beide Prüfsummen identisch sind.
Geschichte und Schwachstellen der SHA-Hash-Funktion
SHA-1 ist nur einer der vier Algorithmen in der Familie der Secure Hash Algorithms (SHA). Die meisten wurden von der US-amerikanischen National Security Agency (NSA) entwickelt und vom National Institute of Standards and Technology (NIST) veröffentlicht.
SHA-0 hat eine 160-Bit Message Digest (Hash-Wert) Größe und war die erste Version dieses Algorithmus. Seine Hash-Werte sind 40 Stellen lang. Es wurde 1993 unter dem Namen "SHA" veröffentlicht, aber in vielen Anwendungen nicht verwendet, da es aufgrund einer Sicherheitslücke 1995 schnell durch SHA-1 ersetzt wurde.
SHA-1 ist die zweite Iteration dieser kryptografischen Hash-Funktion. Dieser hat auch einen Nachrichten-Digest von 160 Bit und versuchte, die Sicherheit zu erhöhen, indem eine in SHA-0 gefundene Schwachstelle behoben wurde. 2005 wurde jedoch auch festgestellt, dass SHA-1 unsicher ist.
Sobald kryptografische Schwachstellen in SHA-1 gefunden wurden, gab NIST 2006 eine Erklärung ab, in der es Bundesbehörden ermutigte, die Verwendung von SHA-2 bis zum Jahr 2010 einzuführen. SHA-2 ist stärker als SHA-1 und es werden Angriffe durchgeführt gegen SHA-2 ist mit der aktuellen Rechenleistung unwahrscheinlich.
Nicht nur Bundesbehörden, sondern sogar Unternehmen wie Google, Mozilla und Microsoft haben entweder begonnen, keine SHA-1-SSL-Zertifikate mehr zu akzeptieren, oder das Laden dieser Art von Seiten bereits blockiert.
Google hat Beweise für eine SHA-1-Kollision, die diese Methode für die Generierung eindeutiger Prüfsummen unzuverlässig macht, unabhängig davon, ob es sich um ein Passwort, eine Datei oder andere Daten handelt. Sie können zwei einzigartige PDF-Dateien von SHAttered herunterladen, um zu sehen, wie das funktioniert. Verwenden Sie einen SHA-1-Rechner unten auf dieser Seite, um die Prüfsumme für beide zu generieren, und Sie werden feststellen, dass der Wert genau gleich ist, obwohl sie unterschiedliche Daten enth alten.
SHA-2 und SHA-3
SHA-2 wurde 2001 veröffentlicht, einige Jahre nach SHA-1. Es enthält sechs Hash-Funktionen mit unterschiedlichen Digest-Größen: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 und SHA-512/256.
Entwickelt von Nicht-NSA-Designern und veröffentlicht von NIST im Jahr 2015, ist ein weiteres Mitglied der Familie der sicheren Hash-Algorithmen mit dem Namen SHA-3 (ehemals Keccak).
SHA-3 ist nicht dazu gedacht, SHA-2 zu ersetzen, wie die vorherigen Versionen dazu gedacht waren, frühere zu ersetzen. Stattdessen wurde es nur als eine weitere Alternative zu SHA-0, SHA-1 und MD5 entwickelt.
Wie wird SHA-1 verwendet?
Ein reales Beispiel, bei dem SHA-1 verwendet werden kann, ist, wenn Sie Ihr Passwort auf der Anmeldeseite einer Website eingeben. Obwohl dies ohne Ihr Wissen im Hintergrund geschieht, kann dies die Methode sein, die eine Website verwendet, um sicher zu überprüfen, ob Ihr Passwort authentisch ist.
Stellen Sie sich in diesem Beispiel vor, Sie versuchen, sich bei einer Website anzumelden, die Sie häufig besuchen. Jedes Mal, wenn Sie sich anmelden möchten, müssen Sie Ihren Benutzernamen und Ihr Passwort eingeben.
Wenn die Website die kryptografische Hash-Funktion SHA-1 verwendet, bedeutet dies, dass Ihr Passwort in eine Prüfsumme umgewandelt wird, nachdem Sie es eingegeben haben. Diese Prüfsumme wird dann mit der Prüfsumme verglichen, die auf der Website gespeichert ist, die sich auf Ihr aktuelles Passwort bezieht Passwort, ob Sie Ihr Passwort seit Ihrer Anmeldung nicht geändert haben oder ob Sie es gerade vor wenigen Augenblicken geändert haben. Wenn die beiden übereinstimmen, erh alten Sie Zugriff; Ist dies nicht der Fall, wird Ihnen mitgeteilt, dass das Passwort falsch ist.
Ein weiteres Beispiel, wo diese Hash-Funktion verwendet werden kann, ist die Dateiüberprüfung. Einige Websites stellen die SHA-1-Prüfsumme der Datei auf der Download-Seite bereit, sodass Sie beim Herunterladen der Datei die Prüfsumme selbst überprüfen können, um sicherzustellen, dass die heruntergeladene Datei mit der Datei übereinstimmt, die Sie herunterladen wollten.
Sie fragen sich vielleicht, wo ein wirklicher Nutzen in dieser Art der Verifizierung liegt. Stellen Sie sich ein Szenario vor, in dem Sie die SHA-1-Prüfsumme einer Datei von der Website des Entwicklers kennen, aber dieselbe Version von einer anderen Website herunterladen möchten. Sie könnten dann die SHA-1-Prüfsumme für Ihren Download generieren und mit der echten Prüfsumme von der Download-Seite des Entwicklers vergleichen.
Wenn die beiden unterschiedlich sind, bedeutet dies nicht nur, dass der Inh alt der Datei nicht identisch ist, sondern dass möglicherweise Malware in der Datei versteckt ist, die Daten könnten beschädigt sein und Ihre Computerdateien beschädigen, die Datei ist es nicht alles, was mit der echten Datei zu tun hat, etc.
Es könnte aber auch nur bedeuten, dass eine Datei eine ältere Version des Programms darstellt als die andere, da selbst diese kleine Änderung einen eindeutigen Prüfsummenwert erzeugt.
Sie sollten auch überprüfen, ob die beiden Dateien identisch sind, wenn Sie ein Service Pack oder ein anderes Programm oder Update installieren, da Probleme auftreten, wenn einige der Dateien während der Installation fehlen.
SHA-1 Prüfsummenrechner
Ein spezieller Taschenrechner kann verwendet werden, um die Prüfsumme einer Datei oder Zeichengruppe zu ermitteln.
Zum Beispiel sind SHA1 Online und SHA1 Hash Generator kostenlose Online-Tools, die die SHA-1-Prüfsumme einer beliebigen Gruppe von Text, Symbolen und/oder Zahlen generieren können.
Diese Websites generieren beispielsweise dieses Paar:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
