Abo
  • Services:
Anzeige
Java verabschiedet sich von MD5 und SHA-1.
Java verabschiedet sich von MD5 und SHA-1. (Bild: Andreas Donath/Golem.de)

Oracle: Java entzieht MD5 und SHA-1 das Vertrauen

Java verabschiedet sich von MD5 und SHA-1.
Java verabschiedet sich von MD5 und SHA-1. (Bild: Andreas Donath/Golem.de)

Oracles Java soll ab April keinen Code mehr ausführen, der mit dem unsicheren MD5-Algorithmus signiert worden ist. Dieses Update musste Oracle auf Druck der Kunden sogar verschieben. Zudem soll sich Java von SHA-1-Zertifikaten verabschieden.

Der Hash-Algorithmus MD5 gilt schon seit Jahren nicht mehr als sicher. Oracles Laufzeitumgebung für Java, JRE, wird deshalb ab dem für Mitte April geplanten Update keinen Java-Code mehr ausführen, der mit MD5 signiert worden ist. Konkret betroffen davon sind signierte Java-Archive, kurz Jar, die üblicherweise zum Verteilen von Anwendungen genutzt werden.

Anzeige

Die standardmäßige Verwendung von MD5 zur Erstellung einer Signatur beendete Oracle bereits im Jahr 2006 mit der Veröffentlichung von Java SE 6. Umgesetzt wird die angekündigte Änderung sowohl für das aktuelle Java SE 8 als auch für Java SE 6 und 7, die beide noch von Oracle offizielle Langzeitunterstützung erhalten. Ursprünglich geplant war die Änderung bereits für die Veröffentlichung des Januar-Updates, das vergangene Woche erschienen ist.

Oracle hat aber offenbar einige Hinweise von seinen Kunden bekommen, dass diese mehr Zeit benötigen, um auf die Änderung reagieren zu können. Bekanntgegeben worden ist der Plan bereits im Oktober vergangenen Jahres. Es ist in der Vergangenheit auch bei anderer Software immer wieder vorgekommen, dass sicherheitsrelevante Änderungen verschoben werden mussten, weil etwa Kunden, Nutzer oder betroffene Dritte nicht gut genug darauf vorbereitet gewesen sind.

Mit dem für April geplanten Update sollen außerdem standardmäßig keine SHA-1-Zertifikate mehr in Oracles JDK genutzt werden können. Ausgenommen davon seien sollen Zertifikate, die lokal oder für Unternehmensnetzwerke selbst ausgestellt werden. Signierter Code, mit einem Zeitstempel vor dem 1. Januar 2017, soll davon ebenso nicht betroffen sein.


eye home zur Startseite
whitbread 24. Jan 2017

Fritzbox und Sicherheit sollten eh' nicht einem Satz verwendet werden.

gbpa005 24. Jan 2017

Gilt das auch für MessageDigest? Unter http://docs.oracle.com/javase/8/docs/api/java...

M.P. 24. Jan 2017

Aktuell von der Oracle Seite https://docs.oracle.com/javase/tutorial/deployment/jar/intro...

ibsi 23. Jan 2017

Quelle: https://www.golem.de/news/zertifikate-google-will-vor-sha-1-warnen-1408-108700...



Anzeige

Stellenmarkt
  1. andagon GmbH, Köln
  2. Deloitte, verschiedene Standorte
  3. Schaeffler Technologies AG & Co. KG, Nürnberg
  4. NÜRNBERGER Lebensversicherung AG, Nürnberg


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dokumentarfilm Pre-Crime: Wenn Computer Verbrechen vorhersagen
Dokumentarfilm Pre-Crime
Wenn Computer Verbrechen vorhersagen

Programmiersprache für Android: Kotlin ist auch nur eine Insel
Programmiersprache für Android
Kotlin ist auch nur eine Insel
  1. Programmiersprache Fetlang liest sich "wie schlechte Erotikliteratur"
  2. CMS Drupal 8.4 stabilisiert Module
  3. Vespa Yahoos Big-Data-Engine wird Open-Source-Projekt

Core i7-8700K und Core i5-8400 im Test: Ein Sechser von Intel
Core i7-8700K und Core i5-8400 im Test
Ein Sechser von Intel
  1. Core i7-8700K Ultra Edition Overclocking-CPU mit Silber-IHS und Flüssigmetall
  2. Intel Coffee Lake Von Boost-Betteln und Turbo-Tricks
  3. Coffee Lake Intel verkauft sechs Kerne für unter 200 Euro

  1. Re: 1. Win10 Bluescreen nach Update

    HubertHans | 01:27

  2. Re: Guter Trend auf Golem

    FreiGeistler | 01:09

  3. Re: Leider verpennt

    quineloe | 01:06

  4. Re: "Es sei nicht einzusehen, dass Netflix an die...

    Der Held vom... | 01:00

  5. Re: Gefunden...

    FreiGeistler | 00:20


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel