SHA-1 ist ein veralteter Standard zur Prüfung digitaler Signaturen. Der Secure Hash Algorithm wurde jahrelang eingesetzt, um SSL- und TLS-Zertifikate für Webseiten zu erstellen. Neue Zertifikate mit diesem Standard werden von Browsern wie Mozilla, Chrome und Safari nicht mehr akzeptiert. Windows XP akzeptiert keine neueren Zertifikate nach dem SHA-2-Standard.
Nach praktischen Angriffen auf SHA-1 musste auch Git seine Technik ändern. Nun gibt es ersten experimentellen Support für SHA-256.
Die freie Libtorrent-Bibliothek implementiert das Bittorent-Protokoll in Version 2. Die wichtigste Neuerung: SHA-256 statt SHA-1.
Obwohl SHA-1 angreifbar ist, kommt es immer noch häufig zum Einsatz. Auch bei SSH. Das soll sich ändern.
Die Hashfunktion SHA-1 ist seit kurzem endgültig gebrochen. Doch an vielen Stellen ist sie noch im Einsatz. Beispielsweise in Git, in Bittorrent und, was manche überraschen wird, auch in TLS.
Von Hanno Böck
Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.
Die Hashfunktion SHA-1 ist seit kurzem endgültig gebrochen. Doch an vielen Stellen ist sie noch im Einsatz. Beispielsweise in Git, in Bittorrent und, was manche überraschen wird, auch in TLS.
Von Hanno Böck
Opera wirbt in der neuesten Developer-Version des Browsers mit einem integrierten VPN - doch das stimmt nicht ganz. Das angebliche VPN hat außerdem ein Privatsphäre-Problem.
Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.
Weil der zentrale Update-Server von Wordpress unsichere Hashfunktionen zulässt, hätten Angreifer Code ausführen und massenhaft Wordpress-Installationen angreifen können. Die Sicherheitslücke wurde mittlerweile geschlossen.
Nach Mozilla und Apple wird auch Google die Zertifikate von Wosign und Startcom aus dem Truststore des Chrome-Browsers entfernen. Dabei geht das Unternehmen einen entscheidenden Schritt weiter - und dürfte Admins Mehrarbeit bescheren.