MD5 ist tot? Das hättest Du wohl gern! Marc Ruef | 10.06.2013 Es gab nur wenige Fächer in der Schule, für die ich mich begeistern konnte. Eines davon war der Deutschunterricht. Mitunter trug hierzu mein quirrliger Deutschlehrer, Herr Baumgartner, bei. Der Mann mit deutschen Wurzeln war ein Verfechter der geschickten Wortwahl. Und er stiess sich unglaublich daran, wenn ein gemeiner Schreiberling mit seinem Halbwissen ein grammatikalisches und interpunktuelles Massaker veranstalten sollte. Auch in meinem Fachbereich kann ich diesen Unmut nachvollziehen. Wenn bezüglich Malware und Kryptologie mal wieder Halbwahrheiten herumgereicht werden. Und dies mit der Folge, dass damit das allgemeine Niveau in diesen Bereichen abnimmt. Eine der Halbwahrheiten, die ich immerwieder sehe, ist die Aussage, dass MD5 tot sei. Wieso? Es sei unsicher. Wieso unsicher? Weil SHA-1 sei viel sicherer. Wieso ist SHA-1 viel sicherer? Na, weils halt einfach sicherer ist als MD5. Ja, MD5 ist mathematisch unsicherer als SHA-1. Das kann man nicht abstreiten und das soll man auch nicht abstreiten. Aber nur weil MD5 unsicherer ist als SHA-1, heisst es nicht, dass MD5 per se unsicher ist. Ja, MD5 gilt als gebrochen. Aber genauso gibt es verschiedene Angriffstechniken auf SHA-1. In hochsicheren Umgebungen ist auch SHA-1 oftmals nicht die richtige Wahl (http://csrc.nist.gov/groups/ST/toolkit/documents/shs/hash_standards_comments.pdf). Und dies führt schon zum nächsten Kritikpunkt über. Die zu erwartende Sicherheit ist relativ. Ein MD5-Hash reicht vollkommen aus, um die Session-ID für einen Ad-Service im Web bereitzustellen. Innerhalb eines Core Bankings sind die Anforderungen jedoch bedeutend höher. Hier reicht vielleicht noch nicht mal SHA-1 aus. Es gibt viele Halbwahrheiten, die in ähnlicher Form widerlegt werden können. Dazu gehören: Linux ist sicherer als Windows, auf Mac/Linux gibt es keine Malware (http://www.computec.ch/download.php?view.672), viele Patches für eine Software deuten auf schlechte Qualität hin (im Gegensatz zu Produkten ohne Patches), Salts in Passwort-Hashes machen diese sicher (https://twitter.com/mruef/status/270177231953879040), Antivirus ist Snake-Oil (http://www.computec.ch/news.php?item.379), als Security-Consultant muss man programmieren können (http://www.computec.ch/news.php?item.196), ein echter Hacker/Pentester benutzt keine Tools (http://www.computec.ch/news.php?item.221), nur Blackbox-Tests spiegeln die echte Sicherheit wieder (http://www.computec.ch/news.php?item.307), Security by Obscurity ist richtig/falsch (beides kann zutreffen) (http://www.computec.ch/news.php?item.377). Man bedient sich diesen "fachspezifischen Klischées", um in polemischer Weise vermeintlich starke Positionen vertreten zu können. Komplexe Sachverhalte werden so reduziert, ohne den Kontext - und teilweise neue Erkenntnisse - zu berücksichtigen. Das Leben ist halt sehr einfach, wenn man es auf ein paar simple Regeln reduzieren vermag. Und es kann schlagartig wieder schwierig werden, wenn man sich auf den falschen Axiomen abstützt!