Abo
  • Services:

Microsoft macht Druck

Laut Netcraft nutzen noch etwa 98 Prozent der HTTPS-Webseiten Zertifikate mit SHA-1-Signaturen. Die Betreiber von Webseiten haben nur indirekt Einfluss darauf, welcher Signaturalgorithmus hier zum Einsatz kommt, denn sie kaufen ihre Zertifikate von den in den gängigen Browsern unterstützten Zertifizierungsstellen. Fast alle Zertifizierungsstellen setzen noch auf SHA-1, doch das dürfte sich in Kürze ändern. Microsoft hat im vergangenen Jahr erklärt, dass es von allen Zertifizierungsstellen erwartet, bis spätestens 2016 auf SHA-1-Signaturen zu verzichten. Zertifizierungsstellen, die das nicht umsetzen, müssen damit rechnen, in Windows aus der Liste der vertrauenswürdigen Zertifizierungsstellen entfernt zu werden.

Stellenmarkt
  1. Forschungszentrum Jülich GmbH, Jülich
  2. BWI GmbH, München, Nürnberg

Kompatibilitätsprobleme mit den neueren Algorithmen gibt es kaum. Alle großen Browser unterstützen Signaturen mit den SHA-2-Algorithmen wie SHA-256 und SHA-512 schon seit langer Zeit. Lediglich der Internet Explorer auf Windows-XP-Systemen, auf denen das Service Pack 3 nicht installiert wurde, hat damit ein Problem. Laut Netcraft könnte damit die Einführung von SHA-256-Zertifikaten sogar einen weiteren indirekten Sicherheitsgewinn bieten: Nutzer von Windows XP-Installationen, die schon lange keine Updates mehr installiert haben, wären gezwungen, ihr System zu aktualisieren.

Kaum SHA-256-Signaturen

Eine der wenigen Zertifizierungsstellen, bei der Kunden bereits heute Zertifikate mit SHA-256-Signaturen erhalten können, ist StartSSL, ein Service der israelischen Firma Startcom. Diese Zertifizierungsstelle ist bei vielen Nutzern beliebt, da dort einfache Zertifikate kostenlos erstellt werden können. Die communitybasierte Zertifizierungsstelle CAcert nutzt seit kurzem SHA-512 für Signaturen, jedoch werden CAcert-Zertifikate von den gängigen Browsern nicht akzeptiert.

Die Schwächen von SHA-1 beziehen sich bislang nur auf sogenannte Kollisionsangriffe. Ob diese ein Problem für die Sicherheit von Verfahren sind, hängt davon ab, in welchem Kontext SHA-1 zum Einsatz kommt. So nutzen beispielsweise TLS-Verbindungen häufig noch SHA-1 im Zusammenhang mit dem HMAC-Verfahren zur Authentifizierung von Datenpaketen, doch das ist unproblematisch, denn hier würde nur eine sogenannte Preimage-Attacke Probleme bereiten. Ein Preimage-Angriff ist bei SHA-1 jedoch in absehbarer Zeit nicht zu erwarten.

Hash-Schwäche von Flame-Virus ausgenutzt

Welche Probleme Kollisionsangriffe bei Hash-Verfahren bereiten, konnte man in der Vergangenheit beim Algorithmus MD5 beobachten. Bereits 1996 konnte der deutsche Informatikprofessor Hans Dobbertin Schwächen in MD5 zeigen, 2004 gelang es dann Wang Xiaoyun, dies zu einem praktischen Kollisionsangriff auszuweiten. 2008 präsentierte ein Team von Forschern auf dem 25C3 ein gefälschtes Root-Zertifikat der Zertifizierungsstelle RapidSSL. Das war jedoch nur deshalb möglich, weil RapidSSL noch einige andere Fehler bei der Erstellung von Zertifikaten machte. Im Jahr 2012 wurde der Flame-Virus entdeckt, der die Schwäche von MD5 ausnutzte, um ein unter Windows gültiges Code-Zertifikat zu erstellen.

Wir haben das BSI um eine Stellungnahme gebeten, bisher jedoch keine Antwort hierauf erhalten.

 SHA-1: Eigene Empfehlungen nicht gelesen
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 18,99€ (nur für Prime-Kunden)
  2. 99,00€ (bei otto.de)
  3. 54,99€
  4. GRATIS

das_ist_unglaub... 28. Feb 2014

Wüsstest du wovon du sprichst dann hättest du nichts gesagt weil du dann verstanden...

das_ist_unglaub... 28. Feb 2014

Nö, in der Realität musst du nur *ein* CA-Zertifikat erzeugen mit dem du dann...

Baron Münchhausen. 06. Feb 2014

Bitte zuende lesen! Es heißt: 2008 präsentierte ein Team von Forschern auf dem 20C3 eine...

Hannes_bln 05. Feb 2014

http://lists.gnupg.org/pipermail/gnupg-users/2012-July/044945.html


Folgen Sie uns
       


Dell XPS 13 (9380) - Test

Das aktuelle XPS 13 entspricht vom Gehäuse her dem Vorgänger, allerdings sitzt die Webcam nun oberhalb des Displays und vor dem matten Panel befindet sich keine spiegelnde Scheibe mehr. Zudem fallen CPU-Geschwindigkeit und Akkulaufzeit höher aus.

Dell XPS 13 (9380) - Test Video aufrufen
Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

    •  /