Abo
  • Services:
Anzeige
SHA-1-Signatur im Zertifikat der BSI-Webseite
SHA-1-Signatur im Zertifikat der BSI-Webseite (Bild: OpenSSL/Screenshot: Golem.de)

SHA-1: Eigene Empfehlungen nicht gelesen

Nach Empfehlungen der US-Behörde Nist darf der Hash-Algorithmus SHA-1 für digitale Signaturen 2014 nicht mehr genutzt werden, das Nist hielt sich aber selbst nicht daran. Auch das BSI kennt offenbar seine eigenen Empfehlungen in Sachen Hash-Funktionen nicht.

Anzeige

Der kryptographische Hash-Algorithmus SHA-1 gilt eigentlich seit 2005 als nicht mehr sonderlich sicher. Damals konnten chinesische Forscher um die Kryptographin Wang Xiaoyun zeigen, dass das Verfahren gegen sogenannte Kollisionsangriffe verwundbar ist. Der Angriff wurde zwar nur theoretisch beschrieben, doch für Angreifer mit großen finanziellen Ressourcen wäre er auch praktisch durchführbar. Bis heute wird SHA-1 jedoch an vielen Stellen eingesetzt.

Nist: SHA-1 nur bis 2013 erlaubt

Die US-Behörde Nist (National Institute of Standards and Technology) hat daher schon seit einiger Zeit Empfehlungen herausgegeben, die darauf hinwirken sollen, die Verwendung von SHA-1 zu beenden. In den Empfehlungen wird klar gesagt, dass die Nutzung von SHA-1 in digitalen Signaturen eigentlich schon Ende 2010 beendet werden sollte. In einer Übergangsphase bis 2013 war die Nutzung weiterhin erlaubt, der Algorithmus wurde jedoch als veraltet ("deprecated") eingestuft. Nach 2013 ist die Nutzung für neue Signaturen untersagt, Zertifikate mit vor 2014 ausgestellten Signaturen dürfen jedoch weiter genutzt werden.

Die Webseite Netcraft berichtete gestern, dass sich das Nist offenbar selbst nicht an seine Empfehlungen hält. Die Webseite des Nist nutzte für HTTPS-Verbindungen ein Zertifikat, das erst kürzlich - am 23. Januar - ausgestellt wurde. Die Signatur unter dem Zertifikat wurde mit dem RSA-Algorithmus und SHA-1 erstellt. Das Nist hat auf den Bericht von Netcraft schnell reagiert: Nur wenige Stunden später wurde das Zertifikat ersetzt und ist nun mit dem als sicher geltenden SHA-256 signiert.

BSI strenger als das Nist

Ähnliche Probleme wie das Nist hat offenbar auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI ist in Sachen SHA-1 sogar deutlich strenger als die US-Behörde. In einer älteren Stellungnahme gegenüber der Bundesnetzagentur von 2006 heißt es, dass SHA-1 nur bis Ende 2010 für die Erstellung von Zertifikaten als geeignet angesehen wird. Diese Haltung schlägt sich auch im aktuellen Algorithmenkatalog der Bundesnetzagentur nieder, der in erster Linie für digitale Signaturen nach dem Signaturgesetz gilt und für andere Anwendungszwecke nur empfehlenden Charakter hat.

Doch das Zertifikat auf der Webseite des BSI ist ebenfalls nur mit SHA-1 signiert. Es wurde von der Firma TC Trustcenter im Jahr 2012 ausgestellt. Auch der jüngst vom BSI bereitgestellte Sicherheitstest im Zusammenhang mit dem Botnetz-Angriff nutzt ein im Dezember 2013 von der Telekom-Tochter Telesec ausgestelltes Zertifikat mit einer SHA-1-Signatur. Nach den Nist-Empfehlungen könnten diese Zertifikate noch genutzt werden, doch nach den strengeren Maßstäben des BSI hätten diese nie genutzt werden dürfen.

Microsoft macht Druck 

eye home zur Startseite
das_ist_unglaub... 28. Feb 2014

Wüsstest du wovon du sprichst dann hättest du nichts gesagt weil du dann verstanden...

das_ist_unglaub... 28. Feb 2014

Nö, in der Realität musst du nur *ein* CA-Zertifikat erzeugen mit dem du dann...

Baron Münchhausen. 06. Feb 2014

Bitte zuende lesen! Es heißt: 2008 präsentierte ein Team von Forschern auf dem 20C3 eine...

Hannes_bln 05. Feb 2014

http://lists.gnupg.org/pipermail/gnupg-users/2012-July/044945.html



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen bei München
  3. b.i.t.s. GmbH über Schörghuber Stiftung & Co. Holding KG, München
  4. Porsche AG, Zuffenhausen


Anzeige
Hardware-Angebote
  1. (Core i5-6500 + Geforce GTX 1060)
  2. 99,90€ statt 204,80€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Windows 10 Anniversary Update

    Cortana wird zur alleinigen Suchfunktion

  2. Quartalsbericht

    Amazon schwimmt im Geld

  3. Software

    Oracle kauft Netsuite für 9,3 Milliarden US-Dollar

  4. Innovation Train

    Deutsche Bahn kooperiert mit Hyperloop

  5. International E-Sport Federation

    Alibaba steckt 150 Millionen US-Dollar in E-Sport

  6. Kartendienst

    Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here

  7. Killerspiel-Debatte

    ProSieben Maxx stoppt Übertragungen von Counter-Strike

  8. Mehr Breitband für mich (MBfm)

    Telekom-FTTH kostet über 250.000 Euro

  9. Zuckerbergs Plan geht auf

    Facebook strotzt vor Kraft und Geld

  10. Headlander im Kurztest

    Galaktisches Abenteuer mit Köpfchen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

  1. Spinnt MA denn vollkommen?

    GeeGee | 00:10

  2. Re: Typische LKW-Optik

    WonderGoal | 00:08

  3. Re: Und wieviele Informatiker sind jetzt fest...

    ableton | 00:04

  4. Glasfaseranschluss kostet in Polen nur 12.500¤

    BROCKEN_231 | 28.07. 23:54

  5. Re: Ohne Angabe der zu verlegenden Länge ist der...

    spezi | 28.07. 23:48


  1. 23:26

  2. 22:58

  3. 22:43

  4. 18:45

  5. 17:23

  6. 15:58

  7. 15:42

  8. 15:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel