Microsoft rät seinen Kunden davon ab, weiterhin die Hash-Funktion SHA-1 in kryptographischen Anwendungen wie SSL/TLS-Verschlüsselung und Code-Signierung zu verwenden. In einer Security Advisory kündigte das Unternehmen an, ab 1. Januar 2016 keine Zertifikate mehr zu akzeptieren, die den Algorithmus noch immer einsetzen.
Danach können Zertifizierungsstellen, die sich am Windows Root Certificate Program beteiligen, nur noch SHA-2-Zertifikate ausstellen. Verbrauchern empfiehlt Microsoft schon jetzt, von den Zertifizierungsstellen SHA-2-Zertifikate zu verlangen.
Laut Microsoft kommt SHA-1 in 98 Prozent aller weltweit ausgestellten Zertifikate zum Einsatz. Forscher hätten jedoch seit 2005 herausgefunden, dass der Algorithmus gegen Kollisionsangriffe anfällig ist und daher nicht mehr die grundlegenden Sicherheitsstandards erfüllt. Hinsichtlich Angriffen gegen Hashing-Algorithmen sei ein Angriffsmuster zu erkennen, das wesentliche Auswirkungen in der Praxis erwarten lässt.
„Die Grundursache des Problems ist eine bekannte Schwäche des SHA-1-Hashing-Algorithmus, die ihn Kollisionsangriffen aussetzt“, heißt es im Advisory FAQ. „Solche Angriffe könnten einem Angreifer erlauben, zusätzliche Zertifikate zu generieren, die über die gleiche digitale Signatur wie ein Original verfügen.“ Bei einem Kollisionsangriff wird versucht, zwei verschiedene Dokumente zu ermitteln, die auf einen identischen Hashwert führen.
„Wenn der Hashing-Algorithmus SHA-1 in digitalen Zertifikaten genutzt wird, könnte das einem Angreifer erlauben, Inhalte zu spoofen und Phishing-Angriffe sowie Man-in-the-Middle-Attacken auszuführen“, warnt Microsoft weiterhin. Die bisher bekannt gewordenen Angriffe auf SHA-1 deuteten eine ähnliche Entwicklung an, wie sie zuvor schon bei MD5 zu beobachten war.
Die US-Standardisierungsbehörde NIST (National Institute of Standards and Technology), die den Algorithmus veröffentlicht hatte, gab schon im September 2012 die Empfehlung an US-Bundesbehörden aus, auf den weiteren Einsatz von SHA-1 zu verzichten. Das Australian Signals Directorate (ASD) empfahl Regierungsbehörden seit Dezember 2011 den Wechsel zu SHA-2.
[mit Material von Michael Lee, ZDNet.com]
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
