Microsoft rät seinen Kunden davon ab, weiterhin die Hash-Funktion SHA-1 in kryptographischen Anwendungen wie SSL/TLS-Verschlüsselung und Code-Signierung zu verwenden. In einer Security Advisory kündigte das Unternehmen an, ab 1. Januar 2016 keine Zertifikate mehr zu akzeptieren, die den Algorithmus noch immer einsetzen.
Danach können Zertifizierungsstellen, die sich am Windows Root Certificate Program beteiligen, nur noch SHA-2-Zertifikate ausstellen. Verbrauchern empfiehlt Microsoft schon jetzt, von den Zertifizierungsstellen SHA-2-Zertifikate zu verlangen.
Laut Microsoft kommt SHA-1 in 98 Prozent aller weltweit ausgestellten Zertifikate zum Einsatz. Forscher hätten jedoch seit 2005 herausgefunden, dass der Algorithmus gegen Kollisionsangriffe anfällig ist und daher nicht mehr die grundlegenden Sicherheitsstandards erfüllt. Hinsichtlich Angriffen gegen Hashing-Algorithmen sei ein Angriffsmuster zu erkennen, das wesentliche Auswirkungen in der Praxis erwarten lässt.
„Die Grundursache des Problems ist eine bekannte Schwäche des SHA-1-Hashing-Algorithmus, die ihn Kollisionsangriffen aussetzt“, heißt es im Advisory FAQ. „Solche Angriffe könnten einem Angreifer erlauben, zusätzliche Zertifikate zu generieren, die über die gleiche digitale Signatur wie ein Original verfügen.“ Bei einem Kollisionsangriff wird versucht, zwei verschiedene Dokumente zu ermitteln, die auf einen identischen Hashwert führen.
„Wenn der Hashing-Algorithmus SHA-1 in digitalen Zertifikaten genutzt wird, könnte das einem Angreifer erlauben, Inhalte zu spoofen und Phishing-Angriffe sowie Man-in-the-Middle-Attacken auszuführen“, warnt Microsoft weiterhin. Die bisher bekannt gewordenen Angriffe auf SHA-1 deuteten eine ähnliche Entwicklung an, wie sie zuvor schon bei MD5 zu beobachten war.
Die US-Standardisierungsbehörde NIST (National Institute of Standards and Technology), die den Algorithmus veröffentlicht hatte, gab schon im September 2012 die Empfehlung an US-Bundesbehörden aus, auf den weiteren Einsatz von SHA-1 zu verzichten. Das Australian Signals Directorate (ASD) empfahl Regierungsbehörden seit Dezember 2011 den Wechsel zu SHA-2.
[mit Material von Michael Lee, ZDNet.com]
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.