Microsoft rät seinen Kunden davon ab, weiterhin die Hash-Funktion SHA-1 in kryptographischen Anwendungen wie SSL/TLS-Verschlüsselung und Code-Signierung zu verwenden. In einer Security Advisory kündigte das Unternehmen an, ab 1. Januar 2016 keine Zertifikate mehr zu akzeptieren, die den Algorithmus noch immer einsetzen.
Danach können Zertifizierungsstellen, die sich am Windows Root Certificate Program beteiligen, nur noch SHA-2-Zertifikate ausstellen. Verbrauchern empfiehlt Microsoft schon jetzt, von den Zertifizierungsstellen SHA-2-Zertifikate zu verlangen.
Laut Microsoft kommt SHA-1 in 98 Prozent aller weltweit ausgestellten Zertifikate zum Einsatz. Forscher hätten jedoch seit 2005 herausgefunden, dass der Algorithmus gegen Kollisionsangriffe anfällig ist und daher nicht mehr die grundlegenden Sicherheitsstandards erfüllt. Hinsichtlich Angriffen gegen Hashing-Algorithmen sei ein Angriffsmuster zu erkennen, das wesentliche Auswirkungen in der Praxis erwarten lässt.
„Die Grundursache des Problems ist eine bekannte Schwäche des SHA-1-Hashing-Algorithmus, die ihn Kollisionsangriffen aussetzt“, heißt es im Advisory FAQ. „Solche Angriffe könnten einem Angreifer erlauben, zusätzliche Zertifikate zu generieren, die über die gleiche digitale Signatur wie ein Original verfügen.“ Bei einem Kollisionsangriff wird versucht, zwei verschiedene Dokumente zu ermitteln, die auf einen identischen Hashwert führen.
„Wenn der Hashing-Algorithmus SHA-1 in digitalen Zertifikaten genutzt wird, könnte das einem Angreifer erlauben, Inhalte zu spoofen und Phishing-Angriffe sowie Man-in-the-Middle-Attacken auszuführen“, warnt Microsoft weiterhin. Die bisher bekannt gewordenen Angriffe auf SHA-1 deuteten eine ähnliche Entwicklung an, wie sie zuvor schon bei MD5 zu beobachten war.
Die US-Standardisierungsbehörde NIST (National Institute of Standards and Technology), die den Algorithmus veröffentlicht hatte, gab schon im September 2012 die Empfehlung an US-Bundesbehörden aus, auf den weiteren Einsatz von SHA-1 zu verzichten. Das Australian Signals Directorate (ASD) empfahl Regierungsbehörden seit Dezember 2011 den Wechsel zu SHA-2.
[mit Material von Michael Lee, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
