Abo
  • Services:
Anzeige
"Shattered" taufte Google seinen Angriff auf SHA-1 - in vielen Protokollen und Softwareprodukten wird SHA-1 jedoch immer noch genutzt.
"Shattered" taufte Google seinen Angriff auf SHA-1 - in vielen Protokollen und Softwareprodukten wird SHA-1 jedoch immer noch genutzt. (Bild: Google)

Bittorrent mit Backdoor

Ein weiteres Protokoll, das im Kern auf SHA-1 setzt, ist Bittorrent. Eine Torrent-Datei prüft die Korrektheit der heruntergeladenen Daten anhand einer Kette von SHA-1-Hashes.

Beim Erstellen von Torrent-Dateien werden die Daten in gleich große Blöcke geteilt und für jeden Block ein Hash berechnet. Bei einer sicheren Hashfunktion wäre damit garantiert, dass eine Torrent-Datei immer zu identischen Downloads führt, egal von wem die Daten heruntergeladen werden.

Anzeige

Ein Angriff mit dem Namen Biterrant zeigt, welche Konsequenzen die Hash-Kollision in SHA-1 hat. Dafür war kein neuer Angriff auf SHA-1 nötig, der Biterrant-Angriff nutzt die PDF-Dateien von Google, um bösartige Torrents zu erzeugen. Biterrant erzeugt zwei EXE-Dateien. Eine davon ist harmlos, die andere führt bösartigen Code aus. Die harmlose EXE-Datei enthält zwar ebenfalls den bösartigen Code, er ist jedoch verschlüsselt und nicht aktiv.

Sichere Downloads via Bittorrent?

Teilweise wurden Torrents in der Vergangenheit als mögliche sichere Download-Option genutzt, da viele Softwareprojekte nach wie vor keine Downloads über HTTPS anbieten. Lädt man die Torrent-Datei über HTTPS, wäre bei einem sicheren Hash die Integrität der heruntergeladenen Dateien gewährleistet. Durch den SHA-1-Angriff ist das deutlich problematischer. Allerdings: Der Angriff setzt voraus, dass sowohl das harmlos aussehende als auch das bösartige Torrent von derselben Person erstellt wurden.

Im Bugtracker von Bittorrent wird über ein neues Torrent-Format diskutiert, das einen sicheren Hash-Algorithmus nutzt. Außerdem diskutiert wird dabei, künftig nicht mehr nur einzelne Blöcke zu hashen, sondern die gehashten Daten als Merkle-Tree abzuspeichern. Bislang dreht sich ein Großteil der Diskussion darum, ob künftig SHA256 oder die neuere Hashfunktion Blake2 genutzt werden soll. Allerdings ist dies nur eine Detailfrage: Beide Hashfunktionen gelten als sehr sicher, Angriffe sind auf absehbare Zeit nicht zu erwarten.

Für Bittorrent gilt ähnlich wie für Git: Man hätte es längst wissen können. Auf der Bittorrent-Mailingliste gab es 2005 bereits eine Diskussion um die Schwächen von SHA-1. Das hatte aber keine Konsequenzen.

 Hashfunktion: Der schwierige Abschied von SHA-1TLS: Signaturen im Handshake 

eye home zur Startseite
drdoolittle 03. Apr 2017

Der meint scheinbar auch, die Weisheit mit Löffeln gefressen zu haben. Eingebildeter...

FreiGeistler 02. Apr 2017

Verwendet das auch SHA-1?

cebewee 01. Apr 2017

Das ist nur der kleinere Teil des Problems: Du willst ja auch weiterhin mit alten...

Rocky Horror... 01. Apr 2017

Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes...

Heinzel 31. Mär 2017

Als git noch recht frisch war hat Linus einen Vortrag gehalten und dargelegt warum ihm...



Anzeige

Stellenmarkt
  1. Heraeus infosystems GmbH, Hanau
  2. über Duerenhoff GmbH, Raum Braunschweig
  3. über Duerenhoff GmbH, Raum Mannheim
  4. über Duerenhoff GmbH, Raum Offenbach


Anzeige
Blu-ray-Angebote
  1. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 17,49€)
  2. 79,98€ (Vorbesteller-Preisgarantie)
  3. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Smartphones

    Huawei installiert ungefragt Zusatz-App

  2. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  3. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  4. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  5. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  6. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  7. Elektroauto

    Walmart will den Tesla-Truck

  8. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  9. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  10. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphone-Kameras im Test: Die beste Kamera ist die, die man dabeihat
Smartphone-Kameras im Test
Die beste Kamera ist die, die man dabeihat
  1. Smartphone Neues Oneplus 5T kostet weiterhin 500 Euro
  2. Mini-Smartphone Jelly im Test Winzig, gewöhnungsbedürftig, nutzbar
  3. Leia RED verrät Details zum Holo-Display seines Smartphones

Xbox One X im Test: Schöner, schwerer Stromfresser
Xbox One X im Test
Schöner, schwerer Stromfresser
  1. Microsoft Xbox-Software und -Services wachsen um 21 Prozent
  2. Microsoft Xbox One emuliert 13 Xbox-Klassiker
  3. Microsoft Neue Firmware für Xbox One bietet mehr Übersicht

Doom-Brettspiel-Neuauflage im Test: Action am Wohnzimmertisch
Doom-Brettspiel-Neuauflage im Test
Action am Wohnzimmertisch
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Gamedesign Der letzte Lebenspunkt hält länger

  1. Re: Nett

    Technik Schaf | 15:31

  2. Re: Die Gesellschaft hat Schuld

    Ispep | 15:27

  3. Re: Wer bezahlt die 750,00 ¤ Anschlussgebühr

    eddia | 15:26

  4. Re: 500¤ ohne MwSt. und Zubehör reine Abzocke

    FreiGeistler | 15:25

  5. Re: warum wischt ihr nicht einfach alles weg?

    rsaddey | 15:23


  1. 11:55

  2. 11:21

  3. 10:43

  4. 17:14

  5. 13:36

  6. 12:22

  7. 10:48

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel