Microsoft schaltet am Montag alle SHA-1-gesicherten Downloads ab

Verschlüsselung, Code, Kryptographie Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Ab der kommenden Woche wird Microsoft sein Download-Center um alle Dateien bereinigen, die noch mit dem alten Secure Hash Algorithm 1 (SHA-1)-Verfahren signiert wurden. Ab Montag sind diese dann nicht mehr verfügbar. SHA-1 ist seit geraumer Zeit als nicht mehr sicher eingestuft. Der Hashing-Algorithmus ist veraltet. Mit heutigen Mitteln lassen sich mit relativ überschaubarem Aufwand Kollisionen erzeugen - also Daten finden, die den gleichen Hash-Wert wie das Original aufweisen. Deshalb wird schon längst mit deutlich komplexeren Verfahren gearbeitet. Trotzdem dauert es eine gewisse Zeit, bis die langjährig genutzten kryptographischen Verfahren abgelöst werden.

Bei Download-Angeboten dienen die Hashes dem Zweck, die ordnungsgemäße Herkunft einer Datei überprüfen zu können. Nutzer können auf ihrem System den Hash-Wert der heruntergeladenen Datei ermitteln und diesen mit den Angaben des Anbieters abgleichen. Stimmen beide Werte überein, kann man sicher sein, dass es sich um das Originale File handelt. Würde ein Angreifer beispielsweise in den Download-Server einbrechen und die Datei durch eine manipulierte Variante mit integrierter Malware ersetzen, würden die Hashes nicht mehr übereinstimmen.

Aufwand wird immer kleiner

Das setzt aber eben voraus, dass der Hash-Algorithmus sicher genug ist und es nicht passieren kann, dass die Manipulationen so vorgenommen werden, dass genau die gleichen Hashes herauskommen. Diese Kollisionen können theoretisch immer gefunden werden - wenn man allerdings auf den Zufall setzt wäre der Aufwand schon bei Dateien einiger hundert Byte Größe sehr hoch. Ein nicht hinreichend starker Algorithmus sorgt hingegen auch dafür, dass die Zahl der Möglichkeiten gezielt eingeschränkt werden kann.

Und genau dies ist bei SHA-1 der Fall. Der finanzielle Aufwand zur Erzeugung von Kollisionen ist allein von Mai 2019 bis Januar 2020 von geschätzt 110.000 auf 50.000 Dollar gesunken, was bereits eine attraktive Option für bestimmte Angriffe sein kann. Deshalb ist das Verfahren zur Absicherung von Transaktionen im Web bereits weitgehend verschwunden und die Browser-Hersteller sind auf neuere Technologien wie SHA-2 gewechselt. Microsoft geht den Schritt nun also auch bei seinen Downloads mit.

Siehe auch:
Verschlüsselung, Code, Kryptographie Verschlüsselung, Code, Kryptographie Christian Ditaputratama (CC BY-SA 2.0)
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 11:10 Uhr USB 3.0 Hub Dock mit USB C Adapter Verteiler,RJ45 Gigabit Ethernet LAN Netzwerkadapter,3 USB 3.0 Ports,SD/TF Kartenleser,Micro USB Input Kompatibel mit Chromebook Windows,MacBook Pro/Air 2018/2019USB 3.0 Hub Dock mit USB C Adapter Verteiler,RJ45 Gigabit Ethernet LAN Netzwerkadapter,3 USB 3.0 Ports,SD/TF Kartenleser,Micro USB Input Kompatibel mit Chromebook Windows,MacBook Pro/Air 2018/2019
Original Amazon-Preis
24,99
Im Preisvergleich ab
?
Blitzangebot-Preis
19,54
Ersparnis zu Amazon 22% oder 5,45

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden