• IT-Karriere:
  • Services:

Bittorrent mit Backdoor

Ein weiteres Protokoll, das im Kern auf SHA-1 setzt, ist Bittorrent. Eine Torrent-Datei prüft die Korrektheit der heruntergeladenen Daten anhand einer Kette von SHA-1-Hashes.

Stellenmarkt
  1. AKDB, Villingen-Schwenningen, Regensburg
  2. CipSoft GmbH, Regensburg

Beim Erstellen von Torrent-Dateien werden die Daten in gleich große Blöcke geteilt und für jeden Block ein Hash berechnet. Bei einer sicheren Hashfunktion wäre damit garantiert, dass eine Torrent-Datei immer zu identischen Downloads führt, egal von wem die Daten heruntergeladen werden.

Ein Angriff mit dem Namen Biterrant zeigt, welche Konsequenzen die Hash-Kollision in SHA-1 hat. Dafür war kein neuer Angriff auf SHA-1 nötig, der Biterrant-Angriff nutzt die PDF-Dateien von Google, um bösartige Torrents zu erzeugen. Biterrant erzeugt zwei EXE-Dateien. Eine davon ist harmlos, die andere führt bösartigen Code aus. Die harmlose EXE-Datei enthält zwar ebenfalls den bösartigen Code, er ist jedoch verschlüsselt und nicht aktiv.

Sichere Downloads via Bittorrent?

Teilweise wurden Torrents in der Vergangenheit als mögliche sichere Download-Option genutzt, da viele Softwareprojekte nach wie vor keine Downloads über HTTPS anbieten. Lädt man die Torrent-Datei über HTTPS, wäre bei einem sicheren Hash die Integrität der heruntergeladenen Dateien gewährleistet. Durch den SHA-1-Angriff ist das deutlich problematischer. Allerdings: Der Angriff setzt voraus, dass sowohl das harmlos aussehende als auch das bösartige Torrent von derselben Person erstellt wurden.

Im Bugtracker von Bittorrent wird über ein neues Torrent-Format diskutiert, das einen sicheren Hash-Algorithmus nutzt. Außerdem diskutiert wird dabei, künftig nicht mehr nur einzelne Blöcke zu hashen, sondern die gehashten Daten als Merkle-Tree abzuspeichern. Bislang dreht sich ein Großteil der Diskussion darum, ob künftig SHA256 oder die neuere Hashfunktion Blake2 genutzt werden soll. Allerdings ist dies nur eine Detailfrage: Beide Hashfunktionen gelten als sehr sicher, Angriffe sind auf absehbare Zeit nicht zu erwarten.

Für Bittorrent gilt ähnlich wie für Git: Man hätte es längst wissen können. Auf der Bittorrent-Mailingliste gab es 2005 bereits eine Diskussion um die Schwächen von SHA-1. Das hatte aber keine Konsequenzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Hashfunktion: Der schwierige Abschied von SHA-1TLS: Signaturen im Handshake 
  1.  
  2. 1
  3. 2
  4. 3
  5.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Anti Corona-Warn-App
    Die peinliche "Späher-App" der AfD
  2. Renault Zoe
    Ganz entspannt von Meer zu Meer
  3. Streit um Strom
    Elektroautofahrer prügeln sich um Ladesäule
  4. Gerichtsurteil zu eBay-Auktion
    BMW muss nicht für 1 Euro verkauft werden
  5. Coronavirus
    Die weltweite 5G-Verschwörung erklärt
Anzeige
Spiele-Angebote
  1. (-40%) 23,99€
  2. (-91%) 1,20€
Kommentarübersicht
ad Linus Torvalds
drdoolittle 03. Apr 2017

Der meint scheinbar auch, die Weisheit mit Löffeln gefressen zu haben. Eingebildeter...

Wie siehts mit GPG aus?
FreiGeistler 02. Apr 2017

Verwendet das auch SHA-1?

Re: Husch-Pfusch programmiert
cebewee 01. Apr 2017

Das ist nur der kleinere Teil des Problems: Du willst ja auch weiterhin mit alten...

Re: Auch GnuPG nutzt überall noch SHA1
Rocky Horror... 01. Apr 2017

Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes...

Re: SHA1 != (noch nicht) komplett unütz
Heinzel 31. Mär 2017

Als git noch recht frisch war hat Linus einen Vortrag gehalten und dargelegt warum ihm...

Folgen Sie uns
       
Macbook Air (2020) - Test

Endlich streicht Apple die fehlerhafte Butterfly auch beim Macbook Air. Im Test sind allerdings einige andere Mängel noch vorhanden.

Macbook Air (2020) - Test Video aufrufen
Softwareentwicklung
Complex Event Processing: Informationen fast in Echtzeit auswerten
Complex Event Processing
Informationen fast in Echtzeit auswerten

Ob autonomes Fahren, Aktienhandel oder Onlineshopping: Soll das Ergebnis gut sein, müssen Informationen quasi in Echtzeit ausgewertet werden. Eine gute Lösung dafür: CEP.
Von Boris Mayer

  1. Musik Software generiert Nirvana-Songtexte
  2. mmap Codeanalyse mit sechs Zeilen Bash
  3. Digitale Kultur Demoszene wird finnisches Kulturerbe
Elektromobilität
Kumpan im Test: Aussehen von gestern, Technik von morgen
Kumpan im Test
Aussehen von gestern, Technik von morgen

Mit der Marke Kumpan Electric wollen drei Brüder aus Remagen den Markt für elektrische Roller erobern. Sie setzen auf den Look der deutschen Wirtschaftswunderjahre, wir haben ein Modell getestet.
Ein Praxistest von Dirk Kunde

  1. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis
  2. Mobility Swapfiets testet Elektroroller im Abo
  3. Elektromobilität Volabo baut Niedrigspannungsmotor in Serie
Brennstoffzellenauto
Energiewende: Schafft endlich das Brennstoffzellenauto ab!
Energiewende
Schafft endlich das Brennstoffzellenauto ab!

Sie sind teurer und leistungsschwächer als E-Autos und brauchen dreimal so viel Strom. Der Akku hat gewonnen. Wasserstoff sollte für Chemie benutzt werden.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Hyundai Nexo Wasserdampf im Rückspiegel
  2. Brennstoffzellenauto Bayern will 100 Wasserstofftankstellen bauen
  3. Elektromobilität Daimler und Volvo wollen Brennstoffzellen für Lkw entwickeln
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /