• IT-Karriere:
  • Services:

Oracle: Java entzieht MD5 und SHA-1 das Vertrauen

Oracles Java soll ab April keinen Code mehr ausführen, der mit dem unsicheren MD5-Algorithmus signiert worden ist. Dieses Update musste Oracle auf Druck der Kunden sogar verschieben. Zudem soll sich Java von SHA-1-Zertifikaten verabschieden.

Artikel veröffentlicht am ,
Java verabschiedet sich von MD5 und SHA-1.
Java verabschiedet sich von MD5 und SHA-1. (Bild: Andreas Donath)

Der Hash-Algorithmus MD5 gilt schon seit Jahren nicht mehr als sicher. Oracles Laufzeitumgebung für Java, JRE, wird deshalb ab dem für Mitte April geplanten Update keinen Java-Code mehr ausführen, der mit MD5 signiert worden ist. Konkret betroffen davon sind signierte Java-Archive, kurz Jar, die üblicherweise zum Verteilen von Anwendungen genutzt werden.

Stellenmarkt
  1. Software AG, Darmstadt, Saarbrücken
  2. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl

Die standardmäßige Verwendung von MD5 zur Erstellung einer Signatur beendete Oracle bereits im Jahr 2006 mit der Veröffentlichung von Java SE 6. Umgesetzt wird die angekündigte Änderung sowohl für das aktuelle Java SE 8 als auch für Java SE 6 und 7, die beide noch von Oracle offizielle Langzeitunterstützung erhalten. Ursprünglich geplant war die Änderung bereits für die Veröffentlichung des Januar-Updates, das vergangene Woche erschienen ist.

Oracle hat aber offenbar einige Hinweise von seinen Kunden bekommen, dass diese mehr Zeit benötigen, um auf die Änderung reagieren zu können. Bekanntgegeben worden ist der Plan bereits im Oktober vergangenen Jahres. Es ist in der Vergangenheit auch bei anderer Software immer wieder vorgekommen, dass sicherheitsrelevante Änderungen verschoben werden mussten, weil etwa Kunden, Nutzer oder betroffene Dritte nicht gut genug darauf vorbereitet gewesen sind.

Mit dem für April geplanten Update sollen außerdem standardmäßig keine SHA-1-Zertifikate mehr in Oracles JDK genutzt werden können. Ausgenommen davon seien sollen Zertifikate, die lokal oder für Unternehmensnetzwerke selbst ausgestellt werden. Signierter Code, mit einem Zeitstempel vor dem 1. Januar 2017, soll davon ebenso nicht betroffen sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 599€ (Bestpreis mit Alternate. Vergleichspreis ab ca. 660€)
  2. (u. a. MSI Optix MAG272CRX für 299€ + 6,99€ Versand statt ca. 450€ im Vergleich und Corsair...
  3. (u. a. The Crew 2 für 10,49€, Mount & Blade II - Bannerlord für 33,99€ und Mortal Kombat 11...

whitbread 24. Jan 2017

Fritzbox und Sicherheit sollten eh' nicht einem Satz verwendet werden.

gbpa005 24. Jan 2017

Gilt das auch für MessageDigest? Unter http://docs.oracle.com/javase/8/docs/api/java...

M.P. 24. Jan 2017

Aktuell von der Oracle Seite https://docs.oracle.com/javase/tutorial/deployment/jar/intro...

ibsi 23. Jan 2017

Quelle: https://www.golem.de/news/zertifikate-google-will-vor-sha-1-warnen-1408-108700...


Folgen Sie uns
       


IBM - von der Lochkarte zum Quantencomputer (Golem Geschichte)

Golem.de erzählt die über 100-jährige Geschichte von Big Blue im Video.

IBM - von der Lochkarte zum Quantencomputer (Golem Geschichte) Video aufrufen
DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Datenschutzverstöße EuGH soll über Verbandsklagerecht entscheiden
  2. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  3. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben

Minecraft Dungeons im Test: Diablo im Quadrat
Minecraft Dungeons im Test
Diablo im Quadrat

Minecraft Dungeons sieht aus wie ein Re-Skin von Diablo, ist viel einfacher aufgebaut - und fesselt uns trotzdem an den Bildschirm.
Ein Test von Peter Steinlechner

  1. Mojang Studios Mehr als 200 Millionen Einheiten von Minecraft verkauft
  2. Minecraft RTX im Test Klötzchen klotzen mit Pathtracing
  3. Raytracing Beta von Minecraft RTX startet am 16. April

Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze

    •  /