Abo
  • Services:
Anzeige
"Shattered" taufte Google seinen Angriff auf SHA-1 - in vielen Protokollen und Softwareprodukten wird SHA-1 jedoch immer noch genutzt.
"Shattered" taufte Google seinen Angriff auf SHA-1 - in vielen Protokollen und Softwareprodukten wird SHA-1 jedoch immer noch genutzt. (Bild: Google)

Bittorrent mit Backdoor

Ein weiteres Protokoll, das im Kern auf SHA-1 setzt, ist Bittorrent. Eine Torrent-Datei prüft die Korrektheit der heruntergeladenen Daten anhand einer Kette von SHA-1-Hashes.

Beim Erstellen von Torrent-Dateien werden die Daten in gleich große Blöcke geteilt und für jeden Block ein Hash berechnet. Bei einer sicheren Hashfunktion wäre damit garantiert, dass eine Torrent-Datei immer zu identischen Downloads führt, egal von wem die Daten heruntergeladen werden.

Anzeige

Ein Angriff mit dem Namen Biterrant zeigt, welche Konsequenzen die Hash-Kollision in SHA-1 hat. Dafür war kein neuer Angriff auf SHA-1 nötig, der Biterrant-Angriff nutzt die PDF-Dateien von Google, um bösartige Torrents zu erzeugen. Biterrant erzeugt zwei EXE-Dateien. Eine davon ist harmlos, die andere führt bösartigen Code aus. Die harmlose EXE-Datei enthält zwar ebenfalls den bösartigen Code, er ist jedoch verschlüsselt und nicht aktiv.

Sichere Downloads via Bittorrent?

Teilweise wurden Torrents in der Vergangenheit als mögliche sichere Download-Option genutzt, da viele Softwareprojekte nach wie vor keine Downloads über HTTPS anbieten. Lädt man die Torrent-Datei über HTTPS, wäre bei einem sicheren Hash die Integrität der heruntergeladenen Dateien gewährleistet. Durch den SHA-1-Angriff ist das deutlich problematischer. Allerdings: Der Angriff setzt voraus, dass sowohl das harmlos aussehende als auch das bösartige Torrent von derselben Person erstellt wurden.

Im Bugtracker von Bittorrent wird über ein neues Torrent-Format diskutiert, das einen sicheren Hash-Algorithmus nutzt. Außerdem diskutiert wird dabei, künftig nicht mehr nur einzelne Blöcke zu hashen, sondern die gehashten Daten als Merkle-Tree abzuspeichern. Bislang dreht sich ein Großteil der Diskussion darum, ob künftig SHA256 oder die neuere Hashfunktion Blake2 genutzt werden soll. Allerdings ist dies nur eine Detailfrage: Beide Hashfunktionen gelten als sehr sicher, Angriffe sind auf absehbare Zeit nicht zu erwarten.

Für Bittorrent gilt ähnlich wie für Git: Man hätte es längst wissen können. Auf der Bittorrent-Mailingliste gab es 2005 bereits eine Diskussion um die Schwächen von SHA-1. Das hatte aber keine Konsequenzen.

 Hashfunktion: Der schwierige Abschied von SHA-1TLS: Signaturen im Handshake 

eye home zur Startseite
drdoolittle 03. Apr 2017

Der meint scheinbar auch, die Weisheit mit Löffeln gefressen zu haben. Eingebildeter...

Themenstart

FreiGeistler 02. Apr 2017

Verwendet das auch SHA-1?

Themenstart

cebewee 01. Apr 2017

Das ist nur der kleinere Teil des Problems: Du willst ja auch weiterhin mit alten...

Themenstart

Rocky Horror... 01. Apr 2017

Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes...

Themenstart

Heinzel 31. Mär 2017

Als git noch recht frisch war hat Linus einen Vortrag gehalten und dargelegt warum ihm...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. cbs Corporate Business Solutions Unternehmensberatung GmbH, Dortmund, Hamburg, Heidelberg, München, Stuttgart
  2. operational services GmbH & Co. KG, Wolfsburg, Braunschweig, Zwickau
  3. Allianz Deutschland AG, Unterföhring
  4. MBtech Group GmbH & Co. KGaA, Norddeutschland


Anzeige
Hardware-Angebote
  1. ab 649,90€
  2. 39,99€
  3. 17,99€ statt 29,99€

Folgen Sie uns
       


  1. UEFI-Update

    Agesa 1004a lässt Ryzen-Boards schneller booten

  2. Sledgehammer Games

    Call of Duty WWII spielt wieder im Zweiten Weltkrieg

  3. Mobilfunk

    Patentverwerter klagt gegen Apple und Mobilfunkanbieter

  4. Privatsphäre

    Bildungsrechner spionieren Schüler aus

  5. Raumfahrt

    Chinesischer Raumfrachter Tanzhou 1 dockt an Raumstation an

  6. Die Woche im Video

    Kein Saft, kein Wumms, keine Argumente

  7. Windows 7 und 8

    Github-Nutzer schafft Freischaltung von neuen CPUs

  8. Whitelist umgehen

    Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

  9. Easy S und Easy M

    Vodafone stellt günstige Einsteigertarife ohne LTE vor

  10. UP2718Q

    Dell verkauft HDR10-Monitor ab Mai 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Creators Update im Test: Erhöhter Reifegrad für Windows 10
Creators Update im Test
Erhöhter Reifegrad für Windows 10
  1. Microsoft Zwei große Updates pro Jahr für Windows 10
  2. Windows 10 Version 17xx-2 Stromsparmodus kommt für die nächste Windows-Version
  3. Windows as a Service Die erste Windows-10-Version hat noch drei Wochen Support

Moto G5 und Moto G5 Plus im Test: Lenovo kehrt zur bewährten Motorola-Tradition zurück
Moto G5 und Moto G5 Plus im Test
Lenovo kehrt zur bewährten Motorola-Tradition zurück
  1. Miix 720 Lenovos High-End-Detachable ist ab 1.200 Euro erhältlich
  2. Lenovo Händler nennt Details des Moto G5
  3. Miix 320 Daten zu Lenovos neuem 2-in-1 vorab veröffentlicht

Miniatur Wunderland: Schiffe versenken die schönsten Pläne
Miniatur Wunderland
Schiffe versenken die schönsten Pläne
  1. Transport Üo, der fahrbare Ball
  2. Transport Sea Bubbles testet foilendes Elektroboot
  3. Verkehr Eine Ampel mit Kamera und Gesichtserkennung

  1. Re: Call of Battlefield ....

    TC | 15:47

  2. Re: Weltveränderung

    teenriot* | 15:42

  3. Re: Bootzeit?

    red creep | 15:39

  4. Re: säfte sind nicht gesund

    Schnapsbrenner | 15:31

  5. Re: Kauf qualitäts pässe, Führerscheine...

    Jaglag | 15:28


  1. 12:40

  2. 11:55

  3. 15:19

  4. 13:40

  5. 11:00

  6. 09:03

  7. 18:01

  8. 17:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel