Abo
  • Services:
Anzeige
SHA-1-Signatur im Zertifikat der BSI-Webseite
SHA-1-Signatur im Zertifikat der BSI-Webseite (Bild: OpenSSL/Screenshot: Golem.de)

SHA-1: Eigene Empfehlungen nicht gelesen

Nach Empfehlungen der US-Behörde Nist darf der Hash-Algorithmus SHA-1 für digitale Signaturen 2014 nicht mehr genutzt werden, das Nist hielt sich aber selbst nicht daran. Auch das BSI kennt offenbar seine eigenen Empfehlungen in Sachen Hash-Funktionen nicht.

Anzeige

Der kryptographische Hash-Algorithmus SHA-1 gilt eigentlich seit 2005 als nicht mehr sonderlich sicher. Damals konnten chinesische Forscher um die Kryptographin Wang Xiaoyun zeigen, dass das Verfahren gegen sogenannte Kollisionsangriffe verwundbar ist. Der Angriff wurde zwar nur theoretisch beschrieben, doch für Angreifer mit großen finanziellen Ressourcen wäre er auch praktisch durchführbar. Bis heute wird SHA-1 jedoch an vielen Stellen eingesetzt.

Nist: SHA-1 nur bis 2013 erlaubt

Die US-Behörde Nist (National Institute of Standards and Technology) hat daher schon seit einiger Zeit Empfehlungen herausgegeben, die darauf hinwirken sollen, die Verwendung von SHA-1 zu beenden. In den Empfehlungen wird klar gesagt, dass die Nutzung von SHA-1 in digitalen Signaturen eigentlich schon Ende 2010 beendet werden sollte. In einer Übergangsphase bis 2013 war die Nutzung weiterhin erlaubt, der Algorithmus wurde jedoch als veraltet ("deprecated") eingestuft. Nach 2013 ist die Nutzung für neue Signaturen untersagt, Zertifikate mit vor 2014 ausgestellten Signaturen dürfen jedoch weiter genutzt werden.

Die Webseite Netcraft berichtete gestern, dass sich das Nist offenbar selbst nicht an seine Empfehlungen hält. Die Webseite des Nist nutzte für HTTPS-Verbindungen ein Zertifikat, das erst kürzlich - am 23. Januar - ausgestellt wurde. Die Signatur unter dem Zertifikat wurde mit dem RSA-Algorithmus und SHA-1 erstellt. Das Nist hat auf den Bericht von Netcraft schnell reagiert: Nur wenige Stunden später wurde das Zertifikat ersetzt und ist nun mit dem als sicher geltenden SHA-256 signiert.

BSI strenger als das Nist

Ähnliche Probleme wie das Nist hat offenbar auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI ist in Sachen SHA-1 sogar deutlich strenger als die US-Behörde. In einer älteren Stellungnahme gegenüber der Bundesnetzagentur von 2006 heißt es, dass SHA-1 nur bis Ende 2010 für die Erstellung von Zertifikaten als geeignet angesehen wird. Diese Haltung schlägt sich auch im aktuellen Algorithmenkatalog der Bundesnetzagentur nieder, der in erster Linie für digitale Signaturen nach dem Signaturgesetz gilt und für andere Anwendungszwecke nur empfehlenden Charakter hat.

Doch das Zertifikat auf der Webseite des BSI ist ebenfalls nur mit SHA-1 signiert. Es wurde von der Firma TC Trustcenter im Jahr 2012 ausgestellt. Auch der jüngst vom BSI bereitgestellte Sicherheitstest im Zusammenhang mit dem Botnetz-Angriff nutzt ein im Dezember 2013 von der Telekom-Tochter Telesec ausgestelltes Zertifikat mit einer SHA-1-Signatur. Nach den Nist-Empfehlungen könnten diese Zertifikate noch genutzt werden, doch nach den strengeren Maßstäben des BSI hätten diese nie genutzt werden dürfen.

Microsoft macht Druck 

eye home zur Startseite
das_ist_unglaub... 28. Feb 2014

Wüsstest du wovon du sprichst dann hättest du nichts gesagt weil du dann verstanden...

das_ist_unglaub... 28. Feb 2014

Nö, in der Realität musst du nur *ein* CA-Zertifikat erzeugen mit dem du dann...

Baron Münchhausen. 06. Feb 2014

Bitte zuende lesen! Es heißt: 2008 präsentierte ein Team von Forschern auf dem 20C3 eine...

Hannes_bln 05. Feb 2014

http://lists.gnupg.org/pipermail/gnupg-users/2012-July/044945.html



Anzeige

Stellenmarkt
  1. Deutsche Rückversicherung AG Verband öffentlicher Versicherer, Düsseldorf
  2. iXus GmbH, Berlin
  3. afb Application Services AG, München
  4. Bundesanstalt für Immobilienaufgaben, Bonn


Anzeige
Spiele-Angebote
  1. 299,00€
  2. 349,99€
  3. 54,85€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  2. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  3. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  4. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  5. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  6. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"

  7. Pegasus

    Ausgeklügelte Spyware attackiert gezielt iPhones

  8. Fenix Chronos

    Garmins neue Sport-Smartwatch kostet ab 1.000 Euro

  9. C-94

    Cratoni baut vernetzten Fahrradhelm mit Crash-Sensor

  10. Hybridluftschiff

    Airlander 10 streifte Überlandleitung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

  1. Re: OT: Galaxy S5 bekommt auch Update

    sebastian4699 | 19:25

  2. Re: Ockhams Rasiermesser

    der_wahre_hannes | 19:25

  3. Re: Ich will das konservatie MS zurück

    FreiGeistler | 19:23

  4. Re: IMHO: FTTH ist auch ziemlicher overkill

    sneaker | 19:17

  5. Re: "aber weiterhin Probleme mit der Kultur der...

    lala1 | 19:16


  1. 15:33

  2. 15:17

  3. 14:29

  4. 12:57

  5. 12:30

  6. 12:01

  7. 11:57

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel