Abo
  • Services:

Bittorrent mit Backdoor

Ein weiteres Protokoll, das im Kern auf SHA-1 setzt, ist Bittorrent. Eine Torrent-Datei prüft die Korrektheit der heruntergeladenen Daten anhand einer Kette von SHA-1-Hashes.

Stellenmarkt
  1. Garz & Fricke GmbH, Hamburg
  2. Limbach Gruppe SE - Niederlassung H&S, Rüsselsheim

Beim Erstellen von Torrent-Dateien werden die Daten in gleich große Blöcke geteilt und für jeden Block ein Hash berechnet. Bei einer sicheren Hashfunktion wäre damit garantiert, dass eine Torrent-Datei immer zu identischen Downloads führt, egal von wem die Daten heruntergeladen werden.

Ein Angriff mit dem Namen Biterrant zeigt, welche Konsequenzen die Hash-Kollision in SHA-1 hat. Dafür war kein neuer Angriff auf SHA-1 nötig, der Biterrant-Angriff nutzt die PDF-Dateien von Google, um bösartige Torrents zu erzeugen. Biterrant erzeugt zwei EXE-Dateien. Eine davon ist harmlos, die andere führt bösartigen Code aus. Die harmlose EXE-Datei enthält zwar ebenfalls den bösartigen Code, er ist jedoch verschlüsselt und nicht aktiv.

Sichere Downloads via Bittorrent?

Teilweise wurden Torrents in der Vergangenheit als mögliche sichere Download-Option genutzt, da viele Softwareprojekte nach wie vor keine Downloads über HTTPS anbieten. Lädt man die Torrent-Datei über HTTPS, wäre bei einem sicheren Hash die Integrität der heruntergeladenen Dateien gewährleistet. Durch den SHA-1-Angriff ist das deutlich problematischer. Allerdings: Der Angriff setzt voraus, dass sowohl das harmlos aussehende als auch das bösartige Torrent von derselben Person erstellt wurden.

Im Bugtracker von Bittorrent wird über ein neues Torrent-Format diskutiert, das einen sicheren Hash-Algorithmus nutzt. Außerdem diskutiert wird dabei, künftig nicht mehr nur einzelne Blöcke zu hashen, sondern die gehashten Daten als Merkle-Tree abzuspeichern. Bislang dreht sich ein Großteil der Diskussion darum, ob künftig SHA256 oder die neuere Hashfunktion Blake2 genutzt werden soll. Allerdings ist dies nur eine Detailfrage: Beide Hashfunktionen gelten als sehr sicher, Angriffe sind auf absehbare Zeit nicht zu erwarten.

Für Bittorrent gilt ähnlich wie für Git: Man hätte es längst wissen können. Auf der Bittorrent-Mailingliste gab es 2005 bereits eine Diskussion um die Schwächen von SHA-1. Das hatte aber keine Konsequenzen.

 Hashfunktion: Der schwierige Abschied von SHA-1TLS: Signaturen im Handshake 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Blu-ray-Angebote
  1. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  2. 4,99€
  3. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)

drdoolittle 03. Apr 2017

Der meint scheinbar auch, die Weisheit mit Löffeln gefressen zu haben. Eingebildeter...

FreiGeistler 02. Apr 2017

Verwendet das auch SHA-1?

cebewee 01. Apr 2017

Das ist nur der kleinere Teil des Problems: Du willst ja auch weiterhin mit alten...

Rocky Horror... 01. Apr 2017

Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes...

Heinzel 31. Mär 2017

Als git noch recht frisch war hat Linus einen Vortrag gehalten und dargelegt warum ihm...


Folgen Sie uns
       


Red Dead Redemption in 4K - Grafikvergleich

Wir haben Red Dead Redemption in 4K auf der Xbox One X angespielt und zeigen unseren Grafikvergleich mit der Originalfassung.

Red Dead Redemption in 4K - Grafikvergleich Video aufrufen
Klimaschutz: Unter der Erde ist das Kohlendioxid gut aufgehoben
Klimaschutz
Unter der Erde ist das Kohlendioxid gut aufgehoben

Die Kohlendioxid-Emissionen steigen und steigen. Die auf der UN-Klimakonferenz in Paris vereinbarten Ziele sind so kaum zu schaffen. Fachleute fordern daher den Einsatz von Techniken, die Kohlendioxid in Kraftwerken abscheiden oder sogar aus der Luft filtern.
Ein Bericht von Daniel Hautmann

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

    •  /