Bruce Schneier zegt dat de nieuwe standaard SHA-3 niet nodig is omdat SHA-2 nog voldoet. De National Institute of Standards and Technology (NIST) kondigt naar verwachting binnenkort de nieuwe standaard aan. Diverse partijen, waaronder Schneier zelf, hebben een voorstel ingediend voor een opvolger van beveiligingsstandaard SHA-2.

Niemand wint

“Misschien is het te laat om de uitkomst nog te beïnvloeden, maar ik hoop dat niemand wint", schrijft Schneier op zijn blog. “Het is niet dat de hashfuncties slecht zijn; we hebben het simpelweg niet nodig." Volgens de beveiligingsexpert was op opvolger voor SHA destijds hard nodig omdat de gebruikte cryptografie steeds nieuwe gaten vertoonde door crypto-aanvallen.

SHA-2 zag in 2006 het levenslicht om nieuwe kraakmethodes het hoofd te bieden. “Maat nu is het 2012 en SHA-512 ziet er nog steeds goed uit. Wat erger is, geen van de SHA-3-kandidaten is een significante verbetering", aldus Schneier.

Aanvallen bleven uit

In 2005 ontdekten onderzoekers een kwetsbaarheid in SHA-1, waarop NIST de kwetsbaarheid evalueerde en besloot dat er naast SHA-2 een nieuwe standaard nodig was voor de lange termijn. Op deze manier ontwikkelde de organisatie eerder AES-encryptie om het inmiddels zwakke DES te vervangen.

In 2007 kondigde NIST aan een nieuwe standaard te willen ontwikkelen, omdat er zorgen waren dat SHA-1 en SHA-2 binnen de kortste keren op grote schaal gekraakt zouden worden. Deze aanvallen bleven echter uit.

Niet onkraakbaar

Overigens denkt de expert dat SHA-512 verre van onkraakbaar is. “Ik weet niet of we goed genoeg geprobeerd om de hash te kraken", vertelt hij aan Dark Reading. Omdat het nog niet is gebeurd, betekent volgens Schneier niet dat er geen verwoede pogingen worden ondernomen.