Eine Hashfunktion verwandelt beliebige Daten in einen Fingerabdruck fester L\u00e4nge. Egal ob Sie ein einzelnes Zeichen, ein Passwort oder ein mehrere Gigabyte gro\u00dfes Festplatten-Image hineingeben: Heraus kommt immer eine Zeichenkette derselben Gr\u00f6\u00dfe, der sogenannte Hashwert oder Digest. Dieses Prinzip steckt unsichtbar hinter dem Schloss-Symbol im Browser, hinter der Pr\u00fcfsumme neben einem Download und hinter jedem Block einer Blockchain. Dieser Artikel erkl\u00e4rt, was eine Hashfunktion ausmacht und wodurch sie sich von Verschl\u00fcsselung und Kodierung unterscheidet.<\/p>\n
Eine Hashfunktion ist ein Algorithmus, der eine Eingabe beliebiger L\u00e4nge auf eine Ausgabe fester L\u00e4nge abbildet. Die Eingabe nennt man auch Urbild (englisch: Preimage), die Ausgabe hei\u00dft Hashwert, Digest oder schlicht Hash. \u00dcblicherweise wird der Hashwert als Folge hexadezimaler Zeichen dargestellt, etwa als 64 Zeichen bei einem 256-Bit-Hash.<\/p>\n
Wichtig ist die Unterscheidung zwischen einer einfachen und einer kryptografischen Hashfunktion. Einfache Hashfunktionen, wie sie in Hashtabellen einer Programmiersprache stecken, verteilen Daten nur schnell und gleichm\u00e4\u00dfig auf Speicherpl\u00e4tze. Eine kryptografische Hashfunktion muss zus\u00e4tzlich strenge Sicherheitsgarantien erf\u00fcllen. Wenn in der IT-Sicherheit von Hashfunktionen die Rede ist, sind fast immer die kryptografischen gemeint, und um die geht es hier.<\/p>\n
Einen breiteren \u00dcberblick \u00fcber das Themengebiet gibt unser Kryptografie-Pillar<\/a>. Dort ordnen wir Hashing in das gr\u00f6\u00dfere Bild aus Verschl\u00fcsselung, Signaturen und Schl\u00fcsselverfahren ein.<\/p>\n Eine Hashfunktion ist nur dann brauchbar, wenn sie eine Reihe klar definierter Garantien einh\u00e4lt. F\u00e4llt auch nur eine davon, gilt das Verfahren als gebrochen.<\/p>\n Dieselbe Eingabe liefert stets dieselbe Ausgabe. Hashen Sie das Wort Die L\u00e4nge des Hashwerts \u00e4ndert sich nie, ganz gleich wie gro\u00df die Eingabe ist. Eine leere Zeichenkette und ein kompletter Roman ergeben bei SHA-256 beide exakt 256 Bit. Diese Konstanz macht Hashwerte g\u00fcnstig zu speichern, zu vergleichen und zu \u00fcbertragen.<\/p>\n Aus einem gegebenen Hashwert l\u00e4sst sich die urspr\u00fcngliche Eingabe nicht mit vertretbarem Aufwand zur\u00fcckrechnen. Die Funktion wirft beim Verarbeiten Struktur weg, sodass eine Umkehrung das Durchsuchen eines astronomisch gro\u00dfen Raums bedeuten w\u00fcrde. Diese Einwegeigenschaft erlaubt es, einen Fingerabdruck sensibler Daten zu speichern, ohne die Daten selbst aufzubewahren. Genau das passiert bei der Passwortspeicherung.<\/p>\n Zwei eng verwandte Garantien erg\u00e4nzen die Einwegeigenschaft. Bei der Zweite-Preimage-Resistenz gilt: Zu einer bekannten Eingabe darf sich keine zweite, andere Eingabe finden lassen, die denselben Hashwert erzeugt. Die Kollisionsresistenz geht noch weiter und verlangt, dass es generell unm\u00f6glich ist, irgendein Paar verschiedener Eingaben mit identischem Hashwert zu finden. Der Unterschied ist subtil, aber bedeutsam: Bei der zweiten Preimage ist die erste Eingabe vorgegeben, bei einer Kollision darf der Angreifer beide frei w\u00e4hlen.<\/p>\n Kollisionen existieren mathematisch zwangsl\u00e4ufig, da unendlich viele Eingaben auf endlich viele Ausgaben treffen. Das Sicherheitsversprechen lautet nicht, dass es keine Kollisionen gibt, sondern dass niemand sie in praktikabler Zeit finden kann.<\/p>\n \u00c4ndert sich auch nur ein einziges Bit der Eingabe, kippt im Schnitt die H\u00e4lfte aller Ausgabebits. Es gibt kein allm\u00e4hliches Abdriften: Eine winzige \u00c4nderung erzeugt einen Digest, der mit dem urspr\u00fcnglichen nichts mehr gemein hat. Diesen Lawineneffekt kann man an einem kurzen Beispiel beobachten.<\/p>\n Beide Eingaben sind neun Zeichen lang und unterscheiden sich um ein einziges Bit. Dennoch \u00e4hneln sich die Digests in keiner Weise, und beide bleiben exakt 64 Hexzeichen lang. Genau diese Empfindlichkeit macht den Hash zum verl\u00e4sslichen W\u00e4chter gegen Manipulation: Jede noch so kleine \u00c4nderung wird laut.<\/p>\n Diese drei Begriffe werden oft verwechselt, obwohl sie v\u00f6llig unterschiedliche Aufgaben l\u00f6sen.<\/p>\n Hashing<\/strong> ist eine Einbahnstra\u00dfe. Es erzeugt einen Fingerabdruck, der sich nicht zur\u00fcckrechnen l\u00e4sst, und kommt ohne Schl\u00fcssel aus. Man setzt es ein, um etwas zu \u00fcberpr\u00fcfen, ohne die Sache selbst zu speichern.<\/p>\n Verschl\u00fcsselung<\/strong> ist umkehrbar. Daten werden mit einem Schl\u00fcssel verschleiert, und wer den passenden Schl\u00fcssel besitzt, stellt das Original wieder her. Der ganze Zweck besteht darin, die Nachricht sp\u00e4ter wieder lesbar zu machen. Eine Merkhilfe: Verschl\u00fcsselung h\u00fctet ein Geheimnis, das man sp\u00e4ter enth\u00fcllen will, w\u00e4hrend Hashing einen Fingerabdruck schafft, den man nie umkehren m\u00f6chte.<\/p>\n Kodierung<\/strong> schlie\u00dflich hat mit Sicherheit nichts zu tun. Verfahren wie Base64 wandeln Daten lediglich in ein anderes Format um, damit sie sich speichern oder \u00fcbertragen lassen. Jeder kann eine Kodierung ohne Schl\u00fcssel und ohne Geheimnis r\u00fcckg\u00e4ngig machen. Wer glaubt, mit Base64 etwas zu sch\u00fctzen, irrt: Es verschleiert nichts.<\/p>\n Die meisten Hashfunktionen, denen man in freier Wildbahn begegnet, geh\u00f6ren zu einer Handvoll bekannter Designs. Ihr Sicherheitsstatus unterscheidet sich allerdings drastisch.<\/p>\n MD5<\/strong> erzeugt einen 128-Bit-Digest und war einst \u00fcberall im Einsatz. Heute gilt es als vollst\u00e4ndig gebrochen, denn Kollisionen lassen sich in Sekunden auf einem Laptop erzeugen. MD5 taucht noch als reine Pr\u00fcfsumme gegen zuf\u00e4llige \u00dcbertragungsfehler auf, darf aber nie dort verwendet werden, wo ein Angreifer von einer gef\u00e4lschten \u00dcbereinstimmung profitieren k\u00f6nnte.<\/p>\n SHA-1<\/strong> liefert einen 160-Bit-Digest und war \u00fcber Jahre das Arbeitspferd des Webs. Theoretische Schw\u00e4chen zeigten sich bereits 2005, der entscheidende Schlag fiel jedoch 2017 mit der ersten praktischen Kollision. Mehr dazu im Abschnitt zum Kollisionsangriff und in unserer Analyse der SHA-1-Kollision<\/a>.<\/p>\n SHA-256<\/strong> geh\u00f6rt zur SHA-2-Familie und ist heute der Standard f\u00fcr die meisten Anwendungen. Mit 256 Bit Ausgabe und ohne bekannten praktischen Angriff sichert es TLS-Zertifikate, Software-Signaturen und das Bitcoin-Netzwerk. Wie das Verfahren intern aufgebaut ist, erkl\u00e4rt unser SHA-256-Artikel<\/a> im Detail.<\/p>\n SHA-3<\/strong> ist ein neuerer Standard, der 2015 vom NIST verabschiedet wurde. Es beruht nicht auf der Merkle-Damg\u00e5rd-Konstruktion der \u00e4lteren Verfahren, sondern auf einer Schwammkonstruktion (englisch: Sponge) namens Keccak. SHA-3 wurde bewusst als strukturelle Reserve gew\u00e4hlt, damit eine k\u00fcnftige Schw\u00e4che in SHA-2 nicht die gesamte Welt ohne Alternative zur\u00fcckl\u00e4sst.<\/p>\nDie Kerneigenschaften einer kryptografischen Hashfunktion<\/h2>\n
Deterministisch und schnell<\/h3>\n
kryptografie<\/code> heute, n\u00e4chstes Jahr oder auf einem anderen Rechner, erhalten Sie jedes Mal denselben Digest. Ohne diese Eigenschaft w\u00e4re kein Vergleich m\u00f6glich, denn der Sinn eines Hashs liegt im Wiedererkennen. Zugleich muss die Berechnung schnell gehen. Ein Server, der Millionen von Integrit\u00e4tspr\u00fcfungen pro Sekunde durchf\u00fchrt, kann sich keine langsame Funktion leisten. Bei der Passwortspeicherung dreht man dieses Argument bewusst um, dazu sp\u00e4ter mehr.<\/p>\nFeste Ausgabel\u00e4nge<\/h3>\n
Einwegfunktion und Preimage-Resistenz<\/h3>\n
Zweite-Preimage- und Kollisionsresistenz<\/h3>\n
Lawineneffekt<\/h3>\n
Eingabe: "shattered"\nSHA-256: 4c9c8f3b... (ein fester 64-Zeichen-Hex-Digest)\n\nEingabe: "shattereD" (nur der letzte Buchstabe wechselt die Gro\u00dfschreibung)\nSHA-256: e1b7a402... (ein v\u00f6llig anderer 64-Zeichen-Digest)\n<\/code><\/pre>\nHashing, Verschl\u00fcsselung und Kodierung: drei verschiedene Dinge<\/h2>\n
G\u00e4ngige Hashfunktionen und ihr Status<\/h2>\n