{"id":8,"date":"2026-06-10T07:45:12","date_gmt":"2026-06-10T07:45:12","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/10\/sha1-kollision\/"},"modified":"2026-06-10T12:32:39","modified_gmt":"2026-06-10T12:32:39","slug":"sha1-kollision","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/cryptography\/sha1-kollision\/","title":{"rendered":"Die SHAttered SHA-1-Kollision erkl\u00e4rt"},"content":{"rendered":"

Am 23. Februar 2017 endete eine \u00fcber zwei Jahrzehnte alte Diskussion mit einem konkreten Beweis. Forscher der Cryptology Group des CWI Amsterdam und von Google Research zeigten die erste praktische Kollision f\u00fcr das vollst\u00e4ndige SHA-1. Das Ergebnis trug den Namen SHAttered, und es bestand aus etwas erstaunlich Greifbarem: zwei verschiedenen PDF-Dateien, die denselben SHA-1-Hash besitzen. Beide Dateien tragen den Fingerabdruck 38762cf7f55934b34d179ae6a4c80cadccbb7f0a<\/code>, obwohl ihr Inhalt sich unterscheidet. Sie k\u00f6nnen sich davon selbst \u00fcberzeugen: shattered-1.pdf<\/a> und shattered-2.pdf<\/a> liegen direkt auf dieser Seite, ebenso wie das vollst\u00e4ndige wissenschaftliche Paper<\/a>.<\/p>\n

Hinter dem Projekt standen unter anderem Marc Stevens, Pierre Karpman, Elie Bursztein, Ange Albertini und Yarik Markov. Ihre Arbeit verwandelte eine theoretische Schw\u00e4che in ein reproduzierbares Artefakt und gab der weltweiten Abkehr von SHA-1 einen kr\u00e4ftigen Schub.<\/p>\n

Was ist eine Hash-Kollision?<\/h2>\n

Eine kryptografische Hashfunktion nimmt eine Eingabe beliebiger L\u00e4nge und erzeugt daraus einen Wert fester L\u00e4nge, den sogenannten Hash oder Digest. Bei SHA-1 ist dieser Wert 160 Bit lang. Eine gut konzipierte Hashfunktion soll mehrere Eigenschaften erf\u00fcllen, und eine davon ist Kollisionsresistenz: Es soll praktisch unm\u00f6glich sein, zwei unterschiedliche Eingaben zu finden, die denselben Hash ergeben. Genau diese Eigenschaft hat SHAttered gebrochen. Wenn Sie tiefer einsteigen m\u00f6chten, was eine Hashfunktion leisten muss, hilft die \u00dcbersicht zur Hashfunktion<\/a>.<\/p>\n

Warum ist eine Kollision gef\u00e4hrlich? Hashes dienen als digitaler Fingerabdruck. Software-Verteiler ver\u00f6ffentlichen den Hash einer Datei, damit Sie pr\u00fcfen k\u00f6nnen, ob Ihre heruntergeladene Kopie unver\u00e4ndert ist. Digitale Signaturen signieren nicht das gesamte Dokument, sondern dessen Hash. Versionskontrollsysteme identifizieren Inhalte \u00fcber ihren Hash. In all diesen F\u00e4llen gilt eine stillschweigende Annahme: Gleicher Hash bedeutet gleicher Inhalt.<\/p>\n

Bricht diese Annahme, lassen sich Angriffe konstruieren. Ein Angreifer k\u00f6nnte ein harmloses Dokument vorlegen, sich eine Signatur dar\u00fcber besorgen und diese Signatur anschlie\u00dfend auf eine b\u00f6sartige Variante mit identischem Hash \u00fcbertragen. Die beiden SHAttered-PDFs zeigen dieses Szenario in seiner reinsten Form: zwei Dateien, ein Fingerabdruck, jede Pr\u00fcfung \u00fcber den SHA-1-Wert wird get\u00e4uscht.<\/p>\n

Warum SHA-1 verwundbar war<\/h2>\n

SHA-1 wurde 1995 von der NSA entworfen und von NIST standardisiert. \u00dcber Jahre galt der Algorithmus als zuverl\u00e4ssig, doch die Kryptoanalyse holte ihn ein. Den entscheidenden Wendepunkt brachte 2005 die Arbeit von Xiaoyun Wang und ihrem Team. Sie zeigten, dass sich eine Kollision theoretisch deutlich schneller finden l\u00e4sst, als ein simpler Zufallsangriff vermuten w\u00fcrde. Ab diesem Moment galt SHA-1 als gebrochen, allerdings nur auf dem Papier. Niemand hatte die Rechenleistung aufgebracht, um eine echte Kollision tats\u00e4chlich zu produzieren.<\/p>\n

Die strukturelle Schw\u00e4che liegt in der internen Konstruktion. SHA-1 verarbeitet Nachrichten blockweise und mischt die Bits \u00fcber 80 Runden. Forscher fanden Wege, sogenannte Differentialpfade durch diese Rundenstruktur zu legen. Vereinfacht gesagt: Man f\u00fchrt an zwei Eingaben gezielt kleine Unterschiede ein, die sich \u00fcber die Runden hinweg gegenseitig aufheben, sodass am Ende derselbe interne Zustand entsteht. Jede Verbesserung dieser Analyse senkte den n\u00f6tigen Aufwand weiter.<\/p>\n

Hinzu kommt die kurze Ausgabel\u00e4nge. Mit 160 Bit liegt der Aufwand f\u00fcr einen generischen Geburtstagsangriff bei etwa 2^80 Operationen. Das ist viel, lag aber bereits in Reichweite gut ausgestatteter Angreifer, und die strukturellen Abk\u00fcrzungen dr\u00fcckten die Zahl noch weiter nach unten.<\/p>\n

Was das Team tat<\/h2>\n

Die Forscher kombinierten jahrelange Kryptoanalyse mit massiver Rechenleistung. Ihr Angriff war eine sogenannte Identical-Prefix-Kollision: Beide Dateien beginnen mit demselben Pr\u00e4fix, danach folgt f\u00fcr jede Datei ein sorgf\u00e4ltig berechneter Kollisionsblock, der die internen Zust\u00e4nde wieder zusammenf\u00fchrt. Nach diesem gemeinsamen Punkt kann beiden Dateien identischer Inhalt angeh\u00e4ngt werden, ohne den Hash zu ver\u00e4ndern.<\/p>\n

Das PDF-Format diente als ideale B\u00fchne. PDFs erlauben es, Bytes einzubetten, die ein Betrachter nie zu Gesicht bekommt. Die beiden Dokumente nutzen genau diese Freiheit, um sichtbar unterschiedlich zu wirken und dennoch denselben SHA-1-Wert zu erzeugen. Der Angriff zerfiel in zwei Phasen. Zuerst suchte ein verteiltes Rechensystem nach einem passenden Near-Collision-Block. Diese erste Phase verschlang den Gro\u00dfteil der Ressourcen und lief auf einer heterogenen Infrastruktur aus CPUs und GPUs. Die zweite Phase erg\u00e4nzte den finalen Block, der die Kollision abschloss.<\/p>\n

Der Rechenaufwand<\/h2>\n

Insgesamt erforderte SHAttered rund 9,2 Trillionen SHA-1-Berechnungen, was ungef\u00e4hr 2^63,1 Operationen entspricht. Diese Zahl ist gewaltig, und doch markiert sie den eigentlichen Durchbruch. Ein reiner Brute-Force-Geburtstagsangriff auf einen 160-Bit-Hash br\u00e4uchte rund 2^80 Berechnungen. Der SHAttered-Angriff war damit etwa hunderttausendmal schneller als der naive Weg. Genau dieser Sprung machte das Unm\u00f6gliche bezahlbar.<\/p>\n\n\n\n\n\n\n
Ansatz<\/th>\nGr\u00f6\u00dfenordnung der SHA-1-Berechnungen<\/th>\nRelative Kosten<\/th>\n<\/tr>\n<\/thead>\n
Brute-Force-Geburtstagsangriff (160 Bit)<\/td>\n~2^80<\/td>\nReferenzwert<\/td>\n<\/tr>\n
SHAttered (Identical-Prefix)<\/td>\n~2^63,1 (etwa 9,2 Trillionen)<\/td>\netwa 100.000-mal g\u00fcnstiger<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Zur Einordnung beschrieb das Team die erste Phase als das \u00c4quivalent von vielen tausend CPU-Jahren plus zus\u00e4tzlicher GPU-Jahre. Eine solche Rechenleistung liegt au\u00dferhalb der M\u00f6glichkeiten einer Privatperson, ist f\u00fcr gut finanzierte Organisationen jedoch durchaus erreichbar. Genau das war die zentrale Botschaft: Ein praktischer Angriff auf SHA-1 war keine ferne Theorie mehr, sondern eine Frage des Budgets.<\/p>\n

Eine kurze Zeitleiste<\/h3>\n\n\n\n\n\n\n\n\n
Jahr<\/th>\nEreignis<\/th>\n<\/tr>\n<\/thead>\n
1995<\/td>\nSHA-1 wird als Standard ver\u00f6ffentlicht<\/td>\n<\/tr>\n
2005<\/td>\nWang et al. zeigen die erste theoretische Schw\u00e4chung<\/td>\n<\/tr>\n
2017<\/td>\nSHAttered liefert die erste praktische Kollision<\/td>\n<\/tr>\n
ab 2017<\/td>\nBrowser und Zertifizierungsstellen beschleunigen den Ausstieg<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Die Folgen und der Wechsel zu SHA-256<\/h2>\n

Die Reaktion kam schnell und entschlossen. Browser-Hersteller hatten SHA-1-Zertifikate bereits seit 2016 zur\u00fcckgedr\u00e4ngt, doch SHAttered lieferte das endg\u00fcltige Argument. Zertifizierungsstellen stellten die Ausgabe neuer SHA-1-Zertifikate f\u00fcr das \u00f6ffentliche Web ein. Sicherheitsbewusste Protokolle und Dateiformate stiegen auf st\u00e4rkere Alternativen um.<\/p>\n

Den Kern der Migration bildete die SHA-2-Familie, allen voran SHA-256. Mit einer Ausgabel\u00e4nge von 256 Bit und ohne bekannte praktische Schw\u00e4che wurde SHA-256 zum neuen Standard f\u00fcr Zertifikate, Signaturen und Integrit\u00e4tspr\u00fcfungen. Wer verstehen will, warum dieser Nachfolger als sicher gilt, findet die Details in der Erkl\u00e4rung zu SHA-256<\/a>.<\/p>\n

Auch Git geriet ins Blickfeld. Das Versionskontrollsystem identifiziert Commits und Objekte \u00fcber SHA-1, was nach SHAttered berechtigte Bedenken ausl\u00f6ste. Als unmittelbare Schutzma\u00dfnahme integrierten Git und andere Projekte eine Kollisionserkennung, die verd\u00e4chtige Eingaben aufsp\u00fcrt, welche den Mustern eines SHAttered-artigen Angriffs \u00e4hneln. Praktischerweise stammt diese Erkennung teils von denselben Forschern, die den Angriff entwickelt hatten.<\/p>\n

Eine wichtige Unterscheidung sei betont. SHAttered demonstrierte eine Kollision, also zwei vom Angreifer w\u00e4hlbare Eingaben mit demselben Hash. Das ist nicht dasselbe wie eine Preimage-Attacke, bei der man zu einem vorgegebenen Hash eine passende Eingabe findet. Gegen Preimage-Angriffe bleibt SHA-1 weiterhin widerstandsf\u00e4hig. F\u00fcr jeden Einsatzzweck, der von Kollisionsresistenz abh\u00e4ngt, etwa digitale Signaturen, ist SHA-1 jedoch endg\u00fcltig ungeeignet.<\/p>\n

Bedeutung heute<\/h2>\n

Warum sollte ein Angriff von 2017 noch interessieren? Weil seine Lehren weiterwirken. SHAttered f\u00fchrte vor Augen, dass kryptografische Primitive ein Verfallsdatum besitzen. Ein Algorithmus, der jahrelang als sicher galt, kann durch bessere Analyse und billigere Rechenleistung kippen. Die Konsequenz lautet kryptografische Agilit\u00e4t: Systeme sollten so gebaut sein, dass sich ihre Hashfunktion austauschen l\u00e4sst, bevor ein Bruch zum Notfall wird.<\/p>\n

Eine zweite Lehre betrifft den Unterschied zwischen theoretisch und praktisch gebrochen. Zwischen Wangs Resultat von 2005 und der echten Kollision von 2017 lagen zw\u00f6lf Jahre. In dieser Zeitspanne hielten manche SHA-1 noch f\u00fcr tolerierbar. SHAttered beendete diese Debatte und mahnt, Warnsignale aus der Kryptoanalyse ernst zu nehmen, statt auf den finalen Beweis zu warten.<\/p>\n

Die Prinzipien hinter Hashfunktionen und ihrer Sicherheit reichen weit \u00fcber Zertifikate hinaus. Sie bilden das Fundament f\u00fcr moderne Anwendungen wie verifizierbare Zuf\u00e4lligkeit. Wer sehen m\u00f6chte, wie ein nachpr\u00fcfbarer Fairness-Beweis auf solchen Bausteinen aufbaut, kann sich anschlie\u00dfend mit Provably Fair<\/a> besch\u00e4ftigen. Einen breiteren \u00dcberblick \u00fcber das gesamte Themenfeld bietet unsere Kryptografie-\u00dcbersicht<\/a>, und der Ausgangspunkt f\u00fcr das SHAttered-Projekt bleibt die Startseite<\/a>.<\/p>\n

H\u00e4ufige Fragen<\/h2>\n

Ist SHA-1 heute vollst\u00e4ndig unsicher?<\/h3>\n

F\u00fcr jeden Zweck, der Kollisionsresistenz ben\u00f6tigt, ja. Digitale Signaturen und vergleichbare Anwendungen sollten SHA-1 nicht mehr verwenden. Gegen Preimage-Angriffe gilt SHA-1 weiterhin als widerstandsf\u00e4hig, doch dieser Restschutz rechtfertigt keinen Neueinsatz. Die klare Empfehlung lautet, auf SHA-256 oder eine andere moderne Funktion zu wechseln.<\/p>\n

Bedeutet die Kollision, dass jeder meine SHA-1-Hashes f\u00e4lschen kann?<\/h3>\n

Nein. Der Angriff verlangte etwa 2^63,1 Berechnungen und damit eine Rechenleistung im Bereich vieler CPU- und GPU-Jahre. Das liegt f\u00fcr gut finanzierte Organisationen in Reichweite, nicht aber f\u00fcr eine beliebige Einzelperson mit einem Laptop. Die eigentliche Gefahr besteht darin, dass die Kosten mit der Zeit weiter sinken, weshalb die Migration trotzdem dringend bleibt.<\/p>\n

Was ist der Unterschied zwischen einer Kollision und einer Preimage-Attacke?<\/h3>\n

Bei einer Kollision sucht der Angreifer zwei beliebige Eingaben mit demselben Hash und kann beide frei gestalten, genau wie bei den SHAttered-PDFs. Bei einer Preimage-Attacke ist der Hash fest vorgegeben, und gesucht wird eine Eingabe, die genau diesen Wert erzeugt. Eine Preimage-Attacke ist deutlich schwerer, und SHAttered hat sie nicht demonstriert.<\/p>\n

Kann ich die kollidierenden Dateien selbst \u00fcberpr\u00fcfen?<\/h3>\n

Ja. Laden Sie shattered-1.pdf<\/a> und shattered-2.pdf<\/a> herunter und berechnen Sie deren SHA-1-Werte mit einem beliebigen Werkzeug. Beide ergeben denselben Digest 38762cf7f55934b34d179ae6a4c80cadccbb7f0a<\/code>, obwohl sich die Dateien unterscheiden. Die technischen Details dazu stehen im Paper<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Am 23. Februar 2017 endete eine \u00fcber zwei Jahrzehnte alte Diskussion mit einem konkreten Beweis. Forscher der Cryptology Group des CWI Amsterdam und von Google Research zeigten die erste praktische\u2026<\/p>\n","protected":false},"author":10,"featured_media":9,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-8","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cryptography"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/8","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=8"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/8\/revisions"}],"predecessor-version":[{"id":18,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/8\/revisions\/18"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/9"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=8"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=8"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=8"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}