Microsoft veröffentlicht konkreten Fahrplan zum Ausstieg aus SHA-1

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Seitens des Software-Konzerns Microsoft hat man nun einen genaueren Fahrplan vorgelegt, nachdem dem inzwischen als nicht mehr sicher geltenden SHA-1-Algorithmus die Unterstützung entzogen wird. Die erste Stufe startet demnach in diesem Sommer.

Infografik: Die Geschichte der KryptographieDie Geschichte der Kryptographie
Wenn dann das Anniversary Update für Windows 10 erscheint, bringt es auch in Sachen SHA-1 Neuigkeiten mit. Hier werden dann verschlüsselte Webseiten, die bei der Authentifizierung des ausgetauschten Keys mit dem alten Verfahren arbeiten, nicht mehr als sicher dargestellt. Im Konkreten bedeutet dies, dass dann im Internet Explorer und im neuen Edge-Browser das kleine Schloss in der Adresszeile nicht mehr angezeigt wird. Den Nutzern wird hier also nicht mehr suggeriert, ihre aktuelle Verbindung wäre sicher.

Der zweite Schritt folgt dann zum Jahreswechsel. Von da an werden Nutzer aktiv darauf hingewiesen, dass sie aktuell nicht mit einer sicheren Verbindung arbeiten. Dies geschieht dann auf ähnliche Weise, wie es heute bereits der Fall ist, wenn der Herausgeber eines SSL-Zertifikates unbekannt ist. Die Maßnahme soll sich dann auch nicht mehr auf Windows 10 und seine Browser, sondern auf alle bisherigen Microsoft-Produkte beziehen.

Kollisionen sind machbar

SHA-Hashes kommen zum Einsatz, um anhand der ermittelten Prüfsummen sicherzustellen, dass beim Nutzer auch der Schlüssel angekommen ist, der vom Server geschickt wurde und sich nicht eine dritte Partei in die vermeintlich sichere Verbindung einklinkt. Um einen gefälschten Schlüssel mit dem gleichen Hash-Wert herzustellen, bedarf es eigentlich riesiger Rechenkapazitäten und viel Zeit.

Allerdings gab es in der letzten Zeit sowohl hinsichtlich der Leistung von Computersystemen als auch bei den Methoden zur Erzeugung so genannter Kollisionen erhebliche Fortschritte. Wenn man heutzutage auf einen leistungsfähigen Cluster zurückgreift - was durch die Anmietung virtualisierter Systeme bei großen Anbietern kein Problem mehr ist - kann man einen gefälschten Schlüssel in vertretbarer Zeit generieren. Daher wird schon länger allgemein empfohlen, eine Nachfolgeversion zu verwenden, die wesentlich komplexer arbeitet. Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 19:40 Uhr Mittelerde Ultimate Collector's Edition [Blu-ray]
Mittelerde Ultimate Collector's Edition [Blu-ray]
Original Amazon-Preis
349,99
Im Preisvergleich ab
251,99
Blitzangebot-Preis
219,97
Ersparnis zu Amazon 37% oder 130,02

Video-Empfehlungen

Tipp einsenden