Anzeige
SHA-1-Signatur im Zertifikat der BSI-Webseite
SHA-1-Signatur im Zertifikat der BSI-Webseite (Bild: OpenSSL/Screenshot: Golem.de)

SHA-1: Eigene Empfehlungen nicht gelesen

Nach Empfehlungen der US-Behörde Nist darf der Hash-Algorithmus SHA-1 für digitale Signaturen 2014 nicht mehr genutzt werden, das Nist hielt sich aber selbst nicht daran. Auch das BSI kennt offenbar seine eigenen Empfehlungen in Sachen Hash-Funktionen nicht.

Anzeige

Der kryptographische Hash-Algorithmus SHA-1 gilt eigentlich seit 2005 als nicht mehr sonderlich sicher. Damals konnten chinesische Forscher um die Kryptographin Wang Xiaoyun zeigen, dass das Verfahren gegen sogenannte Kollisionsangriffe verwundbar ist. Der Angriff wurde zwar nur theoretisch beschrieben, doch für Angreifer mit großen finanziellen Ressourcen wäre er auch praktisch durchführbar. Bis heute wird SHA-1 jedoch an vielen Stellen eingesetzt.

Nist: SHA-1 nur bis 2013 erlaubt

Die US-Behörde Nist (National Institute of Standards and Technology) hat daher schon seit einiger Zeit Empfehlungen herausgegeben, die darauf hinwirken sollen, die Verwendung von SHA-1 zu beenden. In den Empfehlungen wird klar gesagt, dass die Nutzung von SHA-1 in digitalen Signaturen eigentlich schon Ende 2010 beendet werden sollte. In einer Übergangsphase bis 2013 war die Nutzung weiterhin erlaubt, der Algorithmus wurde jedoch als veraltet ("deprecated") eingestuft. Nach 2013 ist die Nutzung für neue Signaturen untersagt, Zertifikate mit vor 2014 ausgestellten Signaturen dürfen jedoch weiter genutzt werden.

Die Webseite Netcraft berichtete gestern, dass sich das Nist offenbar selbst nicht an seine Empfehlungen hält. Die Webseite des Nist nutzte für HTTPS-Verbindungen ein Zertifikat, das erst kürzlich - am 23. Januar - ausgestellt wurde. Die Signatur unter dem Zertifikat wurde mit dem RSA-Algorithmus und SHA-1 erstellt. Das Nist hat auf den Bericht von Netcraft schnell reagiert: Nur wenige Stunden später wurde das Zertifikat ersetzt und ist nun mit dem als sicher geltenden SHA-256 signiert.

BSI strenger als das Nist

Ähnliche Probleme wie das Nist hat offenbar auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI ist in Sachen SHA-1 sogar deutlich strenger als die US-Behörde. In einer älteren Stellungnahme gegenüber der Bundesnetzagentur von 2006 heißt es, dass SHA-1 nur bis Ende 2010 für die Erstellung von Zertifikaten als geeignet angesehen wird. Diese Haltung schlägt sich auch im aktuellen Algorithmenkatalog der Bundesnetzagentur nieder, der in erster Linie für digitale Signaturen nach dem Signaturgesetz gilt und für andere Anwendungszwecke nur empfehlenden Charakter hat.

Doch das Zertifikat auf der Webseite des BSI ist ebenfalls nur mit SHA-1 signiert. Es wurde von der Firma TC Trustcenter im Jahr 2012 ausgestellt. Auch der jüngst vom BSI bereitgestellte Sicherheitstest im Zusammenhang mit dem Botnetz-Angriff nutzt ein im Dezember 2013 von der Telekom-Tochter Telesec ausgestelltes Zertifikat mit einer SHA-1-Signatur. Nach den Nist-Empfehlungen könnten diese Zertifikate noch genutzt werden, doch nach den strengeren Maßstäben des BSI hätten diese nie genutzt werden dürfen.

Microsoft macht Druck 

eye home zur Startseite
das_ist_unglaub... 28. Feb 2014

Wüsstest du wovon du sprichst dann hättest du nichts gesagt weil du dann verstanden...

das_ist_unglaub... 28. Feb 2014

Nö, in der Realität musst du nur *ein* CA-Zertifikat erzeugen mit dem du dann...

Baron Münchhausen. 06. Feb 2014

Bitte zuende lesen! Es heißt: 2008 präsentierte ein Team von Forschern auf dem 20C3 eine...

Hannes_bln 05. Feb 2014

http://lists.gnupg.org/pipermail/gnupg-users/2012-July/044945.html

Kommentieren



Anzeige

  1. IT-Consultant (m/w) Neue Technologien
    Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Senior IT Risk Management und IT Governance (m/w)
    T-Systems International GmbH, Bonn
  3. (Senior-) Berater (m/w) Business Intelligence / Data Warehouse
    Capgemini Deutschland GmbH, verschiedene Standorte
  4. Informatiker, Wirtschaftsinformatiker (m/w)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn

Detailsuche



Anzeige
Blu-ray-Angebote
  1. 3 Blu-rays für 20 EUR
    (u. a. Die Maske, Die Goonies, Kiss Kiss Bang Bang, Batman: Under the Red Hood)
  2. Jackie Chan Edition (Little Big Soldier / Shaolin / Stadt der Gewalt) [Blu-ray]
    5,99€
  3. Game of Thrones [dt./OV] Staffel 6
    (jeden Dienstag ist eine neue Folge verfügbar)

Weitere Angebote


Folgen Sie uns
       


  1. Battlefield 1 angespielt

    Zeppeline, Sperrfeuer und die Wiedergeburts-Spritze

  2. Förderung

    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

  3. Procter & Gamble

    Windel meldet dem Smartphone, wenn sie voll ist

  4. AVM

    Routerfreiheit bringt Kabel-TV per WLAN auf mobile Geräte

  5. Oculus App

    Vive-Besitzer können wieder Rift-exklusive Titel spielen

  6. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  7. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  8. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  9. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  10. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oneplus Three im Test: Ein Alptraum für die Android-Konkurrenz
Oneplus Three im Test
Ein Alptraum für die Android-Konkurrenz
  1. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three
  2. Smartphones Oneplus soll keine günstigeren Modellreihen mehr planen
  3. Ohne Einladung Oneplus Three kommt mit 6 GByte RAM für 400 Euro

Smart City: Der Bürger gestaltet mit
Smart City
Der Bürger gestaltet mit
  1. Vernetztes Fahren Bosch will (fast) alle Parkplatzprobleme lösen

Vorratsdatenspeicherung: Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
Vorratsdatenspeicherung
Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
  1. Vorratsdatenspeicherung Alarm im VDS-Tresor
  2. Neue Snowden-Dokumente NSA lobte Deutschlands "wesentliche" Hilfe im Irak-Krieg
  3. Klage Verwaltungsgericht soll Vorratsdatenspeicherung stoppen

  1. Re: Ich versteh immer nicht

    melaw | 05:48

  2. Was, nur 200Mbit??

    melaw | 05:42

  3. Re: Phänomen SUV

    Johnny Cache | 05:21

  4. Re: Skins für Echtgeld sind doch echt bescheuert

    bentol | 03:40

  5. Re: Ich versteh gerade nur Bahnhof

    bentol | 03:24


  1. 15:00

  2. 10:36

  3. 09:50

  4. 09:15

  5. 09:01

  6. 14:45

  7. 13:59

  8. 13:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel