Abo
  • Services:
Anzeige
"Shattered" taufte Google seinen Angriff auf SHA-1 - in vielen Protokollen und Softwareprodukten wird SHA-1 jedoch immer noch genutzt.
"Shattered" taufte Google seinen Angriff auf SHA-1 - in vielen Protokollen und Softwareprodukten wird SHA-1 jedoch immer noch genutzt. (Bild: Google)

Bittorrent mit Backdoor

Ein weiteres Protokoll, das im Kern auf SHA-1 setzt, ist Bittorrent. Eine Torrent-Datei prüft die Korrektheit der heruntergeladenen Daten anhand einer Kette von SHA-1-Hashes.

Beim Erstellen von Torrent-Dateien werden die Daten in gleich große Blöcke geteilt und für jeden Block ein Hash berechnet. Bei einer sicheren Hashfunktion wäre damit garantiert, dass eine Torrent-Datei immer zu identischen Downloads führt, egal von wem die Daten heruntergeladen werden.

Anzeige

Ein Angriff mit dem Namen Biterrant zeigt, welche Konsequenzen die Hash-Kollision in SHA-1 hat. Dafür war kein neuer Angriff auf SHA-1 nötig, der Biterrant-Angriff nutzt die PDF-Dateien von Google, um bösartige Torrents zu erzeugen. Biterrant erzeugt zwei EXE-Dateien. Eine davon ist harmlos, die andere führt bösartigen Code aus. Die harmlose EXE-Datei enthält zwar ebenfalls den bösartigen Code, er ist jedoch verschlüsselt und nicht aktiv.

Sichere Downloads via Bittorrent?

Teilweise wurden Torrents in der Vergangenheit als mögliche sichere Download-Option genutzt, da viele Softwareprojekte nach wie vor keine Downloads über HTTPS anbieten. Lädt man die Torrent-Datei über HTTPS, wäre bei einem sicheren Hash die Integrität der heruntergeladenen Dateien gewährleistet. Durch den SHA-1-Angriff ist das deutlich problematischer. Allerdings: Der Angriff setzt voraus, dass sowohl das harmlos aussehende als auch das bösartige Torrent von derselben Person erstellt wurden.

Im Bugtracker von Bittorrent wird über ein neues Torrent-Format diskutiert, das einen sicheren Hash-Algorithmus nutzt. Außerdem diskutiert wird dabei, künftig nicht mehr nur einzelne Blöcke zu hashen, sondern die gehashten Daten als Merkle-Tree abzuspeichern. Bislang dreht sich ein Großteil der Diskussion darum, ob künftig SHA256 oder die neuere Hashfunktion Blake2 genutzt werden soll. Allerdings ist dies nur eine Detailfrage: Beide Hashfunktionen gelten als sehr sicher, Angriffe sind auf absehbare Zeit nicht zu erwarten.

Für Bittorrent gilt ähnlich wie für Git: Man hätte es längst wissen können. Auf der Bittorrent-Mailingliste gab es 2005 bereits eine Diskussion um die Schwächen von SHA-1. Das hatte aber keine Konsequenzen.

 Hashfunktion: Der schwierige Abschied von SHA-1TLS: Signaturen im Handshake 
eye home zur Startseite
Kommentarübersicht
ad Linus Torvalds
drdoolittle 03. Apr 2017

Der meint scheinbar auch, die Weisheit mit Löffeln gefressen zu haben. Eingebildeter...

Wie siehts mit GPG aus?
FreiGeistler 02. Apr 2017

Verwendet das auch SHA-1?

Re: Husch-Pfusch programmiert
cebewee 01. Apr 2017

Das ist nur der kleinere Teil des Problems: Du willst ja auch weiterhin mit alten...

Re: Auch GnuPG nutzt überall noch SHA1
Rocky Horror... 01. Apr 2017

Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes...

Re: SHA1 != (noch nicht) komplett unütz
Heinzel 31. Mär 2017

Als git noch recht frisch war hat Linus einen Vortrag gehalten und dargelegt warum ihm...

Anzeige
Stellenmarkt
  1. PHOENIX CONTACT GmbH & Co. KG, Blomberg
  2. censhare AG, München
  3. TenneT TSO GmbH, Bayreuth
  4. SEW-EURODRIVE GmbH & Co KG, Heidesheim
Anzeige
Blu-ray-Angebote
  1. Folge 1 für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
Folgen Sie uns
       
Videos
Aufbau des internen Int-Ball-Module Aufbau des internen Int-Ball-Module
Ticker
  1. Quartalsbericht

    Microsoft kann Gewinn durch Cloud mehr als verdoppeln

  2. Mobilfunk

    Leistungsfähigkeit der 5G-Luftschnittstelle wird überschätzt

  3. Drogenhandel

    Weltweit größter Darknet-Marktplatz Alphabay ausgehoben

  4. Xcom-2-Erweiterung angespielt

    Untote und unbegrenzte Schussfreigabe

  5. Niantic

    Das erste legendäre Monster schlüpft demnächst in Pokémon Go

  6. Bundestrojaner

    BKA will bald Messengerdienste hacken können

  7. IETF

    DNS wird sicher, aber erst später

  8. Dokumentation zum Tor-Netzwerk

    Unaufgeregte Töne inmitten des Geschreis

  9. Patentklage

    Qualcomm will iPhone-Importstopp in Deutschland

  10. Telekom

    Wie viele Bundesfördermittel gehen ins Vectoring?

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Audi
Neuer A8 vorgestellt: Audis Staupilot steckt noch im Zulassungsstau
Neuer A8 vorgestellt
Audis Staupilot steckt noch im Zulassungsstau
  1. Autonomes Fahren Audi lässt Kunden selbstfahrenden A7 testen
  2. Elektroauto Volkswagen ID soll deutlich weniger kosten als das Model 3
  3. MEMS Neue Chipfabrik in Dresden wird massiv subventioniert
USB Power Delivery
Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  2. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C
Huawei
Matebook X im Test: Huaweis erstes Ultrabook glänzt
Matebook X im Test
Huaweis erstes Ultrabook glänzt
  1. Huawei Neue Rack- und Bladeserver für Azure Stack vorgestellt
  2. Matebook X Huaweis erstes Notebook im Handel erhältlich
  3. Y6 (2017) und Y7 Huawei bringt zwei neue Einsteiger-Smartphones ab 180 Euro
Forumsbeiträge »
  1. Oberlandesgericht Düsseldorf ARD und ZDF müssen Übertragung im Kabelnetz bezahlen

    Re: ÖR vs. private

    Pjörn | 04:44

  2. Bundestrojaner BKA will bald Messengerdienste hacken können

    Re: Wurde überhaupt schon jemand damit infiziert?

    Pjörn | 04:30

  3. Niantic Das erste legendäre Monster schlüpft demnächst in Pokémon Go

    Re: Wer?

    Frotty | 03:57

  4. Glaukar 3.1/ 97mm Objektiv von 1910 bei Kickstarter als Neuauflage

    Re: Lohnt das

    Pjörn | 03:43

  5. Mobilfunk Leistungsfähigkeit der 5G-Luftschnittstelle wird überschätzt

    Die Forschung verstehe ich nicht ganz.

    mrgenie | 03:41

Ticker »
  1. Quartalsbericht Microsoft kann Gewinn durch Cloud mehr als verdoppeln

    23:50

  2. Mobilfunk Leistungsfähigkeit der 5G-Luftschnittstelle wird überschätzt

    19:00

  3. Drogenhandel Weltweit größter Darknet-Marktplatz Alphabay ausgehoben

    18:52

  4. Xcom-2-Erweiterung angespielt Untote und unbegrenzte Schussfreigabe

    18:38

  5. Niantic Das erste legendäre Monster schlüpft demnächst in Pokémon Go

    18:30

  6. Bundestrojaner BKA will bald Messengerdienste hacken können

    17:31

  7. IETF DNS wird sicher, aber erst später

    17:19

  8. Dokumentation zum Tor-Netzwerk Unaufgeregte Töne inmitten des Geschreis

    16:34

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel