Abo
  • Services:
Anzeige
SHA-1-Signatur im Zertifikat der BSI-Webseite
SHA-1-Signatur im Zertifikat der BSI-Webseite (Bild: OpenSSL/Screenshot: Golem.de)

Microsoft macht Druck

Anzeige

Laut Netcraft nutzen noch etwa 98 Prozent der HTTPS-Webseiten Zertifikate mit SHA-1-Signaturen. Die Betreiber von Webseiten haben nur indirekt Einfluss darauf, welcher Signaturalgorithmus hier zum Einsatz kommt, denn sie kaufen ihre Zertifikate von den in den gängigen Browsern unterstützten Zertifizierungsstellen. Fast alle Zertifizierungsstellen setzen noch auf SHA-1, doch das dürfte sich in Kürze ändern. Microsoft hat im vergangenen Jahr erklärt, dass es von allen Zertifizierungsstellen erwartet, bis spätestens 2016 auf SHA-1-Signaturen zu verzichten. Zertifizierungsstellen, die das nicht umsetzen, müssen damit rechnen, in Windows aus der Liste der vertrauenswürdigen Zertifizierungsstellen entfernt zu werden.

Kompatibilitätsprobleme mit den neueren Algorithmen gibt es kaum. Alle großen Browser unterstützen Signaturen mit den SHA-2-Algorithmen wie SHA-256 und SHA-512 schon seit langer Zeit. Lediglich der Internet Explorer auf Windows-XP-Systemen, auf denen das Service Pack 3 nicht installiert wurde, hat damit ein Problem. Laut Netcraft könnte damit die Einführung von SHA-256-Zertifikaten sogar einen weiteren indirekten Sicherheitsgewinn bieten: Nutzer von Windows XP-Installationen, die schon lange keine Updates mehr installiert haben, wären gezwungen, ihr System zu aktualisieren.

Kaum SHA-256-Signaturen

Eine der wenigen Zertifizierungsstellen, bei der Kunden bereits heute Zertifikate mit SHA-256-Signaturen erhalten können, ist StartSSL, ein Service der israelischen Firma Startcom. Diese Zertifizierungsstelle ist bei vielen Nutzern beliebt, da dort einfache Zertifikate kostenlos erstellt werden können. Die communitybasierte Zertifizierungsstelle CAcert nutzt seit kurzem SHA-512 für Signaturen, jedoch werden CAcert-Zertifikate von den gängigen Browsern nicht akzeptiert.

Die Schwächen von SHA-1 beziehen sich bislang nur auf sogenannte Kollisionsangriffe. Ob diese ein Problem für die Sicherheit von Verfahren sind, hängt davon ab, in welchem Kontext SHA-1 zum Einsatz kommt. So nutzen beispielsweise TLS-Verbindungen häufig noch SHA-1 im Zusammenhang mit dem HMAC-Verfahren zur Authentifizierung von Datenpaketen, doch das ist unproblematisch, denn hier würde nur eine sogenannte Preimage-Attacke Probleme bereiten. Ein Preimage-Angriff ist bei SHA-1 jedoch in absehbarer Zeit nicht zu erwarten.

Hash-Schwäche von Flame-Virus ausgenutzt

Welche Probleme Kollisionsangriffe bei Hash-Verfahren bereiten, konnte man in der Vergangenheit beim Algorithmus MD5 beobachten. Bereits 1996 konnte der deutsche Informatikprofessor Hans Dobbertin Schwächen in MD5 zeigen, 2004 gelang es dann Wang Xiaoyun, dies zu einem praktischen Kollisionsangriff auszuweiten. 2008 präsentierte ein Team von Forschern auf dem 25C3 ein gefälschtes Root-Zertifikat der Zertifizierungsstelle RapidSSL. Das war jedoch nur deshalb möglich, weil RapidSSL noch einige andere Fehler bei der Erstellung von Zertifikaten machte. Im Jahr 2012 wurde der Flame-Virus entdeckt, der die Schwäche von MD5 ausnutzte, um ein unter Windows gültiges Code-Zertifikat zu erstellen.

Wir haben das BSI um eine Stellungnahme gebeten, bisher jedoch keine Antwort hierauf erhalten.

 SHA-1: Eigene Empfehlungen nicht gelesen

eye home zur Startseite
das_ist_unglaub... 28. Feb 2014

Wüsstest du wovon du sprichst dann hättest du nichts gesagt weil du dann verstanden...

das_ist_unglaub... 28. Feb 2014

Nö, in der Realität musst du nur *ein* CA-Zertifikat erzeugen mit dem du dann...

Baron Münchhausen. 06. Feb 2014

Bitte zuende lesen! Es heißt: 2008 präsentierte ein Team von Forschern auf dem 20C3 eine...

Hannes_bln 05. Feb 2014

http://lists.gnupg.org/pipermail/gnupg-users/2012-July/044945.html



Anzeige

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. ROHDE & SCHWARZ Meßgerätebau GmbH, Memmingen
  3. Stadtwerke Heidelberg GmbH, Heidelberg
  4. über Hays AG, München


Anzeige
Spiele-Angebote
  1. 8,99€
  2. 69,99€
  3. 11,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Qualcomm

    Snapdragon 210 bekommt Android-Things-Unterstützung

  2. New Radio

    Qualcomm lässt neues 5G-Air-Interface testen

  3. Snapdragon X20

    Qualcomm kündigt 1,2-GBit/s-LTE-Modem an

  4. Asylpolitik

    "Mit dem Grundgesetz nicht vereinbar"

  5. Kryptomessenger

    Signal ab sofort ohne Play-Services nutzbar

  6. Refurbish

    Samsung will offenbar aufbereitete Galaxy Note 7 verkaufen

  7. Galaxy-A-Serie vs. P8 Lite (2017)

    Samsungs und Huaweis Kampf um die Mittelklasse

  8. Windows 10

    Microsoft bestätigt zweites großes Update für das Jahr 2017

  9. Drahtloses Laden

    Die Motherbox lädt das Smartphone

  10. Vodafone

    Schon kurze Verzögerung beim Upload nervt Mobilfunknutzer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Pure Audio: Blu-ray-Audioformate kommen nicht aus der Nische
Pure Audio
Blu-ray-Audioformate kommen nicht aus der Nische

Prey angespielt: Das Monster aus der Kaffeetasse
Prey angespielt
Das Monster aus der Kaffeetasse
  1. Bethesda Softworks Prey bedroht die Welt im Mai 2017
  2. Ausblicke Abenteuer in Andromeda und Galaxy

  1. Re: Die USA machen es vor und...

    Reddead | 13:34

  2. Re: und es geht noch günstiger

    ahoihoi | 13:34

  3. Re: Etwas Vertrauen bitte

    Flyns | 13:32

  4. Re: Netflix ist die absolute Frechheit!

    PiranhA | 13:32

  5. Re: Unzulänglichkeiten im Artikel

    am (golem.de) | 13:28


  1. 13:30

  2. 13:30

  3. 13:30

  4. 13:00

  5. 12:45

  6. 12:30

  7. 12:12

  8. 12:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel