Categories: Sicherheit

Microsoft warnt vor Hashing-Verfahren SHA-1

Microsoft rät seinen Kunden davon ab, weiterhin die Hash-Funktion SHA-1 in kryptographischen Anwendungen wie SSL/TLS-Verschlüsselung und Code-Signierung zu verwenden. In einer Security Advisory kündigte das Unternehmen an, ab 1. Januar 2016 keine Zertifikate mehr zu akzeptieren, die den Algorithmus noch immer einsetzen.

Danach können Zertifizierungsstellen, die sich am Windows Root Certificate Program beteiligen, nur noch SHA-2-Zertifikate ausstellen. Verbrauchern empfiehlt Microsoft schon jetzt, von den Zertifizierungsstellen SHA-2-Zertifikate zu verlangen.

Laut Microsoft kommt SHA-1 in 98 Prozent aller weltweit ausgestellten Zertifikate zum Einsatz. Forscher hätten jedoch seit 2005 herausgefunden, dass der Algorithmus gegen Kollisionsangriffe anfällig ist und daher nicht mehr die grundlegenden Sicherheitsstandards erfüllt. Hinsichtlich Angriffen gegen Hashing-Algorithmen sei ein Angriffsmuster zu erkennen, das wesentliche Auswirkungen in der Praxis erwarten lässt.

„Die Grundursache des Problems ist eine bekannte Schwäche des SHA-1-Hashing-Algorithmus, die ihn Kollisionsangriffen aussetzt“, heißt es im Advisory FAQ. „Solche Angriffe könnten einem Angreifer erlauben, zusätzliche Zertifikate zu generieren, die über die gleiche digitale Signatur wie ein Original verfügen.“ Bei einem Kollisionsangriff wird versucht, zwei verschiedene Dokumente zu ermitteln, die auf einen identischen Hashwert führen.

„Wenn der Hashing-Algorithmus SHA-1 in digitalen Zertifikaten genutzt wird, könnte das einem Angreifer erlauben, Inhalte zu spoofen und Phishing-Angriffe sowie Man-in-the-Middle-Attacken auszuführen“, warnt Microsoft weiterhin. Die bisher bekannt gewordenen Angriffe auf SHA-1 deuteten eine ähnliche Entwicklung an, wie sie zuvor schon bei MD5 zu beobachten war.

Die US-Standardisierungsbehörde NIST (National Institute of Standards and Technology), die den Algorithmus veröffentlicht hatte, gab schon im September 2012 die Empfehlung an US-Bundesbehörden aus, auf den weiteren Einsatz von SHA-1 zu verzichten. Das Australian Signals Directorate (ASD) empfahl Regierungsbehörden seit Dezember 2011 den Wechsel zu SHA-2.

[mit Material von Michael Lee, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago