Microsoft rät seinen Kunden davon ab, weiterhin die Hash-Funktion SHA-1 in kryptographischen Anwendungen wie SSL/TLS-Verschlüsselung und Code-Signierung zu verwenden. In einer Security Advisory kündigte das Unternehmen an, ab 1. Januar 2016 keine Zertifikate mehr zu akzeptieren, die den Algorithmus noch immer einsetzen.
Danach können Zertifizierungsstellen, die sich am Windows Root Certificate Program beteiligen, nur noch SHA-2-Zertifikate ausstellen. Verbrauchern empfiehlt Microsoft schon jetzt, von den Zertifizierungsstellen SHA-2-Zertifikate zu verlangen.
Laut Microsoft kommt SHA-1 in 98 Prozent aller weltweit ausgestellten Zertifikate zum Einsatz. Forscher hätten jedoch seit 2005 herausgefunden, dass der Algorithmus gegen Kollisionsangriffe anfällig ist und daher nicht mehr die grundlegenden Sicherheitsstandards erfüllt. Hinsichtlich Angriffen gegen Hashing-Algorithmen sei ein Angriffsmuster zu erkennen, das wesentliche Auswirkungen in der Praxis erwarten lässt.
„Die Grundursache des Problems ist eine bekannte Schwäche des SHA-1-Hashing-Algorithmus, die ihn Kollisionsangriffen aussetzt“, heißt es im Advisory FAQ. „Solche Angriffe könnten einem Angreifer erlauben, zusätzliche Zertifikate zu generieren, die über die gleiche digitale Signatur wie ein Original verfügen.“ Bei einem Kollisionsangriff wird versucht, zwei verschiedene Dokumente zu ermitteln, die auf einen identischen Hashwert führen.
„Wenn der Hashing-Algorithmus SHA-1 in digitalen Zertifikaten genutzt wird, könnte das einem Angreifer erlauben, Inhalte zu spoofen und Phishing-Angriffe sowie Man-in-the-Middle-Attacken auszuführen“, warnt Microsoft weiterhin. Die bisher bekannt gewordenen Angriffe auf SHA-1 deuteten eine ähnliche Entwicklung an, wie sie zuvor schon bei MD5 zu beobachten war.
Die US-Standardisierungsbehörde NIST (National Institute of Standards and Technology), die den Algorithmus veröffentlicht hatte, gab schon im September 2012 die Empfehlung an US-Bundesbehörden aus, auf den weiteren Einsatz von SHA-1 zu verzichten. Das Australian Signals Directorate (ASD) empfahl Regierungsbehörden seit Dezember 2011 den Wechsel zu SHA-2.
[mit Material von Michael Lee, ZDNet.com]
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
