Abo
  • IT-Karriere:

Microsoft macht Druck

Laut Netcraft nutzen noch etwa 98 Prozent der HTTPS-Webseiten Zertifikate mit SHA-1-Signaturen. Die Betreiber von Webseiten haben nur indirekt Einfluss darauf, welcher Signaturalgorithmus hier zum Einsatz kommt, denn sie kaufen ihre Zertifikate von den in den gängigen Browsern unterstützten Zertifizierungsstellen. Fast alle Zertifizierungsstellen setzen noch auf SHA-1, doch das dürfte sich in Kürze ändern. Microsoft hat im vergangenen Jahr erklärt, dass es von allen Zertifizierungsstellen erwartet, bis spätestens 2016 auf SHA-1-Signaturen zu verzichten. Zertifizierungsstellen, die das nicht umsetzen, müssen damit rechnen, in Windows aus der Liste der vertrauenswürdigen Zertifizierungsstellen entfernt zu werden.

Stellenmarkt
  1. Wilhelm Layher GmbH & Co. KG, Güglingen
  2. BWI GmbH, Nürnberg, Bonn, Berlin, München

Kompatibilitätsprobleme mit den neueren Algorithmen gibt es kaum. Alle großen Browser unterstützen Signaturen mit den SHA-2-Algorithmen wie SHA-256 und SHA-512 schon seit langer Zeit. Lediglich der Internet Explorer auf Windows-XP-Systemen, auf denen das Service Pack 3 nicht installiert wurde, hat damit ein Problem. Laut Netcraft könnte damit die Einführung von SHA-256-Zertifikaten sogar einen weiteren indirekten Sicherheitsgewinn bieten: Nutzer von Windows XP-Installationen, die schon lange keine Updates mehr installiert haben, wären gezwungen, ihr System zu aktualisieren.

Kaum SHA-256-Signaturen

Eine der wenigen Zertifizierungsstellen, bei der Kunden bereits heute Zertifikate mit SHA-256-Signaturen erhalten können, ist StartSSL, ein Service der israelischen Firma Startcom. Diese Zertifizierungsstelle ist bei vielen Nutzern beliebt, da dort einfache Zertifikate kostenlos erstellt werden können. Die communitybasierte Zertifizierungsstelle CAcert nutzt seit kurzem SHA-512 für Signaturen, jedoch werden CAcert-Zertifikate von den gängigen Browsern nicht akzeptiert.

Die Schwächen von SHA-1 beziehen sich bislang nur auf sogenannte Kollisionsangriffe. Ob diese ein Problem für die Sicherheit von Verfahren sind, hängt davon ab, in welchem Kontext SHA-1 zum Einsatz kommt. So nutzen beispielsweise TLS-Verbindungen häufig noch SHA-1 im Zusammenhang mit dem HMAC-Verfahren zur Authentifizierung von Datenpaketen, doch das ist unproblematisch, denn hier würde nur eine sogenannte Preimage-Attacke Probleme bereiten. Ein Preimage-Angriff ist bei SHA-1 jedoch in absehbarer Zeit nicht zu erwarten.

Hash-Schwäche von Flame-Virus ausgenutzt

Welche Probleme Kollisionsangriffe bei Hash-Verfahren bereiten, konnte man in der Vergangenheit beim Algorithmus MD5 beobachten. Bereits 1996 konnte der deutsche Informatikprofessor Hans Dobbertin Schwächen in MD5 zeigen, 2004 gelang es dann Wang Xiaoyun, dies zu einem praktischen Kollisionsangriff auszuweiten. 2008 präsentierte ein Team von Forschern auf dem 25C3 ein gefälschtes Root-Zertifikat der Zertifizierungsstelle RapidSSL. Das war jedoch nur deshalb möglich, weil RapidSSL noch einige andere Fehler bei der Erstellung von Zertifikaten machte. Im Jahr 2012 wurde der Flame-Virus entdeckt, der die Schwäche von MD5 ausnutzte, um ein unter Windows gültiges Code-Zertifikat zu erstellen.

Wir haben das BSI um eine Stellungnahme gebeten, bisher jedoch keine Antwort hierauf erhalten.

 SHA-1: Eigene Empfehlungen nicht gelesen
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 88,00€
  2. 107,00€ (Bestpreis!)
  3. 135,80€
  4. (u. a. Alien 40th Anniversary Steelbook, Ash vs Evil Dead Collector's edition, Predator 1 - 4 Box...

das_ist_unglaub... 28. Feb 2014

Wüsstest du wovon du sprichst dann hättest du nichts gesagt weil du dann verstanden...

das_ist_unglaub... 28. Feb 2014

Nö, in der Realität musst du nur *ein* CA-Zertifikat erzeugen mit dem du dann...

Baron Münchhausen. 06. Feb 2014

Bitte zuende lesen! Es heißt: 2008 präsentierte ein Team von Forschern auf dem 20C3 eine...

Hannes_bln 05. Feb 2014

http://lists.gnupg.org/pipermail/gnupg-users/2012-July/044945.html


Folgen Sie uns
       


Timex Data Link ausprobiert

Die Data Link wurde von Timex und Microsoft entwickelt und ist eine der ersten Smartwatches. Anlässlich des 25-jährigen Jubiläums haben wir uns die Uhr genauer angeschaut - und über einen alten PC mit Röhrenmonitor programmiert.

Timex Data Link ausprobiert Video aufrufen
Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
    Google Maps in Berlin
    Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

    Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
    Von Andreas Sebayang

    1. Maps Duckduckgo mit Kartendienst von Apple
    2. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich
    3. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps

    Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
    Ricoh GR III im Test
    Kompaktkamera mit Riesensensor, aber ohne Zoom

    Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
    Ein Test von Andreas Donath

    1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
    2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

      •  /