SHA-1 ist ein veralteter Standard zur Prüfung digitaler Signaturen. Der Secure Hash Algorithm wurde jahrelang eingesetzt, um SSL- und TLS-Zertifikate für Webseiten zu erstellen. Neue Zertifikate mit diesem Standard werden von Browsern wie Mozilla, Chrome und Safari nicht mehr akzeptiert. Windows XP akzeptiert keine neueren Zertifikate nach dem SHA-2-Standard.
Obwohl SHA-1 angreifbar ist, kommt es teils immer noch zum Einsatz. Die US-Normungsbehörde gibt der Technik noch mehrere Jahre bis zum Rausschmiss.
Nach praktischen Angriffen auf SHA-1 musste auch Git seine Technik ändern. Nun gibt es ersten experimentellen Support für SHA-256.
Die freie Libtorrent-Bibliothek implementiert das Bittorent-Protokoll in Version 2. Die wichtigste Neuerung: SHA-256 statt SHA-1.
Die Hashfunktion SHA-1 ist seit kurzem endgültig gebrochen. Doch an vielen Stellen ist sie noch im Einsatz. Beispielsweise in Git, in Bittorrent und, was manche überraschen wird, auch in TLS.
Von Hanno Böck
Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.
Die Hashfunktion SHA-1 ist seit kurzem endgültig gebrochen. Doch an vielen Stellen ist sie noch im Einsatz. Beispielsweise in Git, in Bittorrent und, was manche überraschen wird, auch in TLS.
Von Hanno Böck
Ein Hashwert soll eindeutig sein, doch für SHA-1 gilt das nicht mehr. Forscher zeigten, dass sie verschiedene Dateien auffüllen können, um den gleichen SHA-1-Hash zu erzeugen und illustrierten dies anhand von GnuPG-Signaturen.
Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.
Weil der zentrale Update-Server von Wordpress unsichere Hashfunktionen zulässt, hätten Angreifer Code ausführen und massenhaft Wordpress-Installationen angreifen können. Die Sicherheitslücke wurde mittlerweile geschlossen.
Nach Mozilla und Apple wird auch Google die Zertifikate von Wosign und Startcom aus dem Truststore des Chrome-Browsers entfernen. Dabei geht das Unternehmen einen entscheidenden Schritt weiter - und dürfte Admins Mehrarbeit bescheren.