Abo
Anzeige

SHA-1

SHA-1 ist ein veralteter Standard zur Prüfung digitaler Signaturen. Der Secure Hash Algorithm wurde jahrelang eingesetzt, um SSL- und TLS-Zertifikate für Webseiten zu erstellen. Neue Zertifikate mit diesem Standard werden von Browsern wie Mozilla, Chrome und Safari nicht mehr akzeptiert. Windows XP akzeptiert keine neueren Zertifikate nach dem SHA-2-Standard.

Artikel
  1. Zertifikate: Google wirft Wosign und Startcom endgültig raus

    Zertifikate: Google wirft Wosign und Startcom endgültig raus

    Die Entwickler von Googles Chrome-Browser bekräftigen ihre Entscheidung, Zertifikaten von Wosign und Startcom überhaupt nicht mehr zu trauen. Mitte September wird die bisher noch gepflegte Whitelist entfernt.

    10.07.201721 Kommentare

  2. Browser: Microsoft deaktiviert SHA-1-Support in Edge

    Browser: Microsoft deaktiviert SHA-1-Support in Edge

    Microsoft blockiert bei seinen eigenen Browsern Internet Explorer 11 und Edge künftig SHA-1-Zertifikate. Das seit den Neunzigern existierende Verfahren gilt schon seit längerem als unsicher.

    15.05.20172 Kommentare

  3. Hashfunktion: Der schwierige Abschied von SHA-1

    Hashfunktion: Der schwierige Abschied von SHA-1

    Die Hashfunktion SHA-1 ist seit kurzem endgültig gebrochen. Doch an vielen Stellen ist sie noch im Einsatz. Beispielsweise in Git, in Bittorrent und, was manche überraschen wird, auch in TLS.
    Von Hanno Böck

    30.03.201734 Kommentare

Anzeige
  1. Kollisionsangriff: Hashfunktion SHA-1 gebrochen

    Kollisionsangriff: Hashfunktion SHA-1 gebrochen

    Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.

    23.02.2017111 Kommentare

  2. Mozilla: Firefox 51 warnt vor unsicheren Webinhalten

    Mozilla: Firefox 51 warnt vor unsicheren Webinhalten

    Die aktuelle Version 51 des Firefox-Browsers warnt vor unverschlüsselt übertragenen Logins und vor kaputten Zertifikaten mit SHA-1-Signatur sowie jenen von Wosign und Startcom. Der Browser nutzt außerdem WebGL 2 und ermöglicht eine bessere Videowiedergabe ohne GPU.

    24.01.20179 Kommentare

  3. Oracle: Java entzieht MD5 und SHA-1 das Vertrauen

    Oracle: Java entzieht MD5 und SHA-1 das Vertrauen

    Oracles Java soll ab April keinen Code mehr ausführen, der mit dem unsicheren MD5-Algorithmus signiert worden ist. Dieses Update musste Oracle auf Druck der Kunden sogar verschieben. Zudem soll sich Java von SHA-1-Zertifikaten verabschieden.

    23.01.20179 Kommentare

  1. Blog-Software: Gravierender Fehler in Wordpress Auto-Update gefunden

    Blog-Software: Gravierender Fehler in Wordpress Auto-Update gefunden

    Weil der zentrale Update-Server von Wordpress unsichere Hashfunktionen zulässt, hätten Angreifer Code ausführen und massenhaft Wordpress-Installationen angreifen können. Die Sicherheitslücke wurde mittlerweile geschlossen.

    23.11.201651 Kommentare

  2. Zertifikate: Auch Google wirft Wosign und Startcom raus

    Zertifikate: Auch Google wirft Wosign und Startcom raus

    Nach Mozilla und Apple wird auch Google die Zertifikate von Wosign und Startcom aus dem Truststore des Chrome-Browsers entfernen. Dabei geht das Unternehmen einen entscheidenden Schritt weiter - und dürfte Admins Mehrarbeit bescheren.

    01.11.201649 Kommentare

  3. Wosign und Startcom: Mozilla macht Ernst mit dem Rauswurf

    Wosign und Startcom: Mozilla macht Ernst mit dem Rauswurf

    Mozilla hat auf der Entwicklermailingliste angekündigt, Zertifikaten von Wosign und Startcom mit der übernächsten Firefox Version 51 nicht mehr zu vertrauen. Die Version ist für den kommenden Januar geplant.

    14.10.20169 Kommentare

  1. TLS-Zertifikate: Wosign gelobt Besserung und räumt auf

    TLS-Zertifikate: Wosign gelobt Besserung und räumt auf

    Die chinesische Zertifizierungsstelle Wosign will den drohenden Abschied aus Mozillas Root-Programm offenbar mit drastischen Maßnahmen verhindern - der CEO muss gehen, die Firma wird aufgespaltet. Die rückdatierten SHA-1-Zertitikate erklärt Wosign mit einem Systemfehler.

    10.10.201619 Kommentare

  2. TLS-Zertifikate: Auch Apple wendet sich gegen Wosign und Startcom

    TLS-Zertifikate: Auch Apple wendet sich gegen Wosign und Startcom

    Apple tut, was Mozilla bislang nur erwägt: Wosign und Startcom werden aus dem Truststore von iOS und MacOS entfernt. Eine Möglichkeit zur erneuten Bewerbung ist offenbar nicht vorgesehen.

    05.10.201620 Kommentare

  3. Dropbox-Hack: 68 Millionen Passworthashes veröffentlicht

    Dropbox-Hack: 68 Millionen Passworthashes veröffentlicht

    Ein Sicherheitsforscher hat alle Hashes aus dem Dropbox-Hack des Jahres 2012 veröffentlicht - zu Recherchezwecken, wie er sagt. Etwa die Hälfte davon ist angreifbar.

    04.10.20166 Kommentare

  1. Zertifikate: Mozilla will Startcom und Wosign das Vertrauen entziehen

    Zertifikate: Mozilla will Startcom und Wosign das Vertrauen entziehen

    Nach mehreren Problemen mit Startcom- und Wosign-Zertifikaten will Mozilla den Zertifikaten der Unternehmen offenbar das Vertrauen entziehen. Auch Google könnte diesem drastischen Schritt folgen.

    26.09.201641 Kommentare

  2. Geleakte Zugangsdaten: Der Dropbox-Hack im Jahr 2012 ist wirklich passiert

    Geleakte Zugangsdaten: Der Dropbox-Hack im Jahr 2012 ist wirklich passiert

    Dropbox warnt zahlreiche Nutzer vor einem Einbruch in die eigenen Systeme aus dem Jahr 2012. Betroffene Accounts sollten mit einem neuen Passwort versehen werden.

    31.08.201615 Kommentare

  3. Live-Betriebssystem: Tails 2.4 umfasst sichere Mails und neuen Tor-Browser

    Live-Betriebssystem: Tails 2.4 umfasst sichere Mails und neuen Tor-Browser

    Wer seine Kommunikation schützen will oder an besonders schützenswerten Projekten arbeitet, setzt oft auf Tails. In der neuen Version sollen Mails sicherer abgeholt werden, der neue Torbrowser kommt ohne SHA1-Unterstützung.

    11.06.20167 Kommentare

  1. Security: Operas VPN ist nur ein HTTP-Proxy

    Security: Operas VPN ist nur ein HTTP-Proxy

    Opera wirbt in der neuesten Developer-Version des Browsers mit einem integrierten VPN - doch das stimmt nicht ganz. Das angebliche VPN hat außerdem ein Privatsphäre-Problem.

    25.04.201616 Kommentare

  2. Zertifikate: Mozilla erteilt Ausnahme für SHA-1-Zertifikate

    Zertifikate: Mozilla erteilt Ausnahme für SHA-1-Zertifikate

    Ab diesem Jahr wollte Mozilla SHA-1 nicht mehr vertrauen. Nun hat es doch die Ausstellung mehrerer Zertifikate auf Basis des nachweislich unsicheren Hash-Algorithmus genehmigt.

    29.02.20166 Kommentare

  3. Firefox: Mozilla schmeißt SHA 1 raus - und gleich wieder rein

    Firefox: Mozilla schmeißt SHA 1 raus - und gleich wieder rein

    Das Ende von SHA 1 naht - doch jetzt gibt es einen Rückschritt beim Abschied von dem alten Algorithmus. Weil es in Firmennetzwerken Probleme mit TLS-Man-In-The-Middle-Proxys wie Antivirenscannern und Firewalls gibt, hat Mozilla die Zertifikate wieder aktiviert - vorerst.

    08.01.20167 Kommentare

  4. MD5/SHA1: Sloth-Angriffe nutzen alte Hash-Algorithmen aus

    MD5/SHA1: Sloth-Angriffe nutzen alte Hash-Algorithmen aus

    Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

    07.01.20164 Kommentare

  5. HTTPS: Cloudflare und Facebook wollen SHA1 weiternutzen

    HTTPS: Cloudflare und Facebook wollen SHA1 weiternutzen

    Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.

    10.12.20152 Kommentare

  6. Open Source: Apple öffnet seine Kryptobibliotheken

    Open Source: Apple öffnet seine Kryptobibliotheken

    Apple-Entwickler können künftig den Quellcode verschiedener sicherheitsrelevanter Komponenten von iOS und OS X überprüfen. Das Security-Framework und die Common-Crypto-Bibliothek stehen unter Open-Source-Lizenz. Eine weitere Komponente kann jedoch nur angesehen werden.

    02.11.20159 Kommentare

  7. Hash-Funktion: SHA-3 ist jetzt offiziell ein Standard

    Hash-Funktion: SHA-3 ist jetzt offiziell ein Standard

    Das US-Handelsministerium hat die Hashfunktion SHA-3 jetzt offiziell als Federal Information Processing Standard (FIPS) 202 anerkannt. Das Nist hatte den Entwurf vor mehr als einem Jahr eingereicht. Grundlegende Änderungen gab es seitdem nicht.

    05.08.201524 Kommentare

  8. Google: Chrome 42 schaltet NPAPI ab

    Google: Chrome 42 schaltet NPAPI ab

    In der aktuellen Version des Chrome-Browsers ist die alte NPAPI standardmäßig abgeschaltet. Anwender können nun außerdem Push-Nachrichten in Web-APPs verwenden und der Browser warnt vor Zertifikaten mit SHA-1-Signatur.

    15.04.201530 Kommentare

  9. Google: Chrome 42 wird vor Zertifikaten mit SHA-1-Signatur warnen

    Google: Chrome 42 wird vor Zertifikaten mit SHA-1-Signatur warnen

    Die aktuelle Beta des Chrome-Browser warnt bereits vor einigen Zertifikaten, die mit SHA-1 signiert sind. Mit dem kommenden Chrome 42 wird dies wahrscheinlich auch in der stabilen Version umgesetzt. SHA-1 gilt schon seit einigen Jahren als potenziell unsicher.

    08.04.201510 Kommentare

  10. Chrome: Zertifizierungsstellen auf SHA-1-Ende nicht vorbereitet

    Chrome: Zertifizierungsstellen auf SHA-1-Ende nicht vorbereitet

    Google hat seine Pläne zur Abschaffung von SHA-1-Signaturen konkretisiert. Trotz langjähriger Warnungen gibt es noch Tausende Zertifikate mit SHA-1-Signaturen, die bald Probleme bekommen werden.

    06.09.201436 Kommentare

  11. Zertifikate: Google will vor SHA-1 warnen

    Zertifikate: Google will vor SHA-1 warnen

    Google will Zertifikate, die mit SHA-1 signiert sind, bis spätestens 2017 loswerden. Der Chrome-Browser wird bald entsprechende Warnungen anzeigen. SHA-1 gilt schon seit einigen Jahren als potentiell unsicher.

    20.08.201414 Kommentare

  12. Hash-Funktionen: Bösartige SHA-1-Variante erzeugt

    Hash-Funktionen: Bösartige SHA-1-Variante erzeugt

    Forschern gelang es, durch kleine Veränderungen eine Variante der SHA-1-Hashfunktion mit einer Hintertür zu erzeugen. Die Sicherheit von SHA-1 selbst beeinträchtigt das nicht, es lassen sich aber Lehren für die Entwicklung von Algorithmen daraus ziehen.

    06.08.20149 Kommentare

  13. Hash-Funktion: Entwurf für SHA-3-Standard liegt vor

    Hash-Funktion: Entwurf für SHA-3-Standard liegt vor

    Die US-Behörde Nist hat einen Entwurf für die Standardisierung der Hashfunktion SHA-3 vorgelegt. Drei Monate lang besteht nun die Möglichkeit, diesen zu kommentieren.

    05.04.201432 Kommentare

  14. SHA-1: Eigene Empfehlungen nicht gelesen

    SHA-1: Eigene Empfehlungen nicht gelesen

    Nach Empfehlungen der US-Behörde Nist darf der Hash-Algorithmus SHA-1 für digitale Signaturen 2014 nicht mehr genutzt werden, das Nist hielt sich aber selbst nicht daran. Auch das BSI kennt offenbar seine eigenen Empfehlungen in Sachen Hash-Funktionen nicht.

    05.02.201438 Kommentare

  15. TLS-Protokoll: BSI legt Mindeststandard für Verschlüsselung fest

    TLS-Protokoll: BSI legt Mindeststandard für Verschlüsselung fest

    Das BSI fordert, in den Regierungsstellen TLS 1.2 mit Perfect Forward Secrecy einzusetzen. Bis alles umgestellt ist, ginge auch noch übergangsweise TLS 1.0, wenn Maßnahmen gegen bekannte Angriffe ergriffen würden.

    08.10.20131 Kommentar

  16. Verschlüsselung: Was noch sicher ist

    Verschlüsselung: Was noch sicher ist

    Die NSA soll auch in der Lage sein, verschlüsselte Verbindungen zu knacken. Ein Überblick über kryptographische Algorithmen und deren mögliche Probleme.

    09.09.2013215 Kommentare

  17. Suche nach neuen Hash-Algorithmen

    Das National Institute of Standards and Technology (NIST) startet die Suche nach neuen Hash-Algorithmen, nachdem Anfang 2005 Angriffe gegen SHA-1 bekannt wurden. In einem ähnlichen Verfahren wurde 2000 der "Advanced Encryption Standard" (AES) als Nachfolger für DES gekürt.

    24.01.200727 Kommentare

  18. Neue Angriffsmethoden lassen SHA-1 wackeln

    Bereits im Februar wurde bekannt, dass drei chinesische Forscher den Hash-Algorithmus SHA-1 geknackt haben. In einem weiteren Schritt gelang es nun Xiaoyun Wang, die schon an der Veröffentlichung aus dem Februar 2005 beteiligt war, mit zwei Mitstreitern die Komplexität der Angriffe auf SHA-1 weiter zu senken, auf ein Niveau, bei dem Angriffe mit aktueller Hardware möglich werden, erklärt der IT-Sicherheitsexperte Bruce Schneier.

    19.08.200516 Kommentare

  19. SHA-1 - Auf der Suche nach Alternativen

    Nachdem in der letzten Woche bekannt wurde, dass der Hash-Algorithmus SHA-1 wahrscheinlich geknackt wurde, d.h. dass sich Kollisionen viel einfacher finden lassen, als bislang geglaubt, wird nun eine Migration weg von SHA-1 gefordert. Aber auch ganz neue Ansätze stehen zur Diskussion.

    21.02.20055 Kommentare

  20. SHA-1 geknackt?

    Der Hash-Algorithmus SHA-1 wurde jetzt von drei chinesischen Forschern geknackt, das berichtet der IT-Sicherheitsexperte Bruce Schneier in seinem Blog. Dabei handle es sich nicht um eine verkürzte oder vereinfachte Version, sondern "das wahre Ding".

    16.02.200545 Kommentare

  21. Schwachstellen in den Hash-Algorithmen SHA und MD5?

    Bereits im Vorfeld der Konferenz Crypto 2004 hatten Gerüchte über Kollisionen in diversen Hash-Algorithmen, darunter auch SHA-0, SHA-1 und MD5, für Aufregung gesorgt. Die von Eli Biham und Rafi Chen im Rahmen der Rump-Session präsentierten aktuellen Forschungsergebnisse weisen aber nur Kollisionen für SHA-0 nach, aber auch in Bezug auf SHA-1 präsentierten die Forscher Neues.

    18.08.20040 Kommentare


Anzeige

Empfohlene Artikel
  1. Hashfunktion
    Der schwierige Abschied von SHA-1
    Hashfunktion: Der schwierige Abschied von SHA-1

    Die Hashfunktion SHA-1 ist seit kurzem endgültig gebrochen. Doch an vielen Stellen ist sie noch im Einsatz. Beispielsweise in Git, in Bittorrent und, was manche überraschen wird, auch in TLS.

  2. Kollisionsangriff
    Hashfunktion SHA-1 gebrochen
    Kollisionsangriff: Hashfunktion SHA-1 gebrochen

    Forschern von Google und der Universität Amsterdam ist es gelungen, zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash zu erzeugen. Dass SHA-1 unsicher ist, war bereits seit 2005 bekannt.


Gesuchte Artikel
  1. Test The Last of Us
    Meisterwerk der Playstation-3-Endzeit
    Test The Last of Us: Meisterwerk der Playstation-3-Endzeit

    Auf der gerade zu Ende gegangenen E3 2013 hat sich Sony mit überwiegend positivem Presseecho für die nächste Konsolengeneration in Stellung gebracht. The Last of Us lässt uns trotzdem für einen Augenblick vergessen, dass die Zeit der Playstation 3 schon bald vorbei sein soll.
    (Last Of Us Test)

  2. Rechner aus der DDR
    Die Verklärung der Kleincomputer
    Rechner aus der DDR: Die Verklärung der Kleincomputer

    Computer in der DDR hießen Z1013, KC 85 und Polycomputer 880. Sie waren zwar besser als nichts - geliebt wurden sie damals aber nicht sehr. Heute ist das anders.
    (Ddr Computerszene)

  3. Polar M600
    Sechs LEDs für eine Pulsmessung
    Polar M600: Sechs LEDs für eine Pulsmessung

    Das Wettrüsten bei der optischen Pulsmessung von Sportuhren hat offenbar begonnen: In seiner M600 lässt Polar sechs LEDs die Herzfrequenz erfassen. Das Gerät soll dank Android Wear auch eine vollwertige Smartwatch sein.
    (Polar M600)

  4. Apple
    Akkuprobleme beim neuen Macbook Pro
    Apple: Akkuprobleme beim neuen Macbook Pro

    Beim neuen Macbook Pro mit Touch Bar häufen sich Klagen von Anwendern über zu kurze Akkulaufzeiten. Teilweise erreichen die Nutzer weniger als die Hälfte der angegebenen Laufzeit.
    (Macbook Pro Touch Bar)


Verwandte Themen
Wosign, SHA-3, Diffie-Hellman, Bruce Schneier, NIST, Perfect Forward Secrecy, RC4, GPG, NSS, Elliptische Kurven, HTTPS, Brute Force, SSH, SSL

Alternative Schreibweisen
SHA1

RSS Feed
RSS FeedSHA-1

Folgen Sie uns
       


Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige