Das Hashverfahren SHA-1 wurde durch Forscher von Google und das Centrum Wiskunde & Informatica in Amsterdam ausgehebelt. Erstmals gelang ihnen ein sogenannter Kollisionsangriff. Dadurch lassen sich per SHA-1 signierte Dateien gegen schädliche Dateien austauschen.

Im Zusammenhang mit kryptologischen Hashfunktionen spricht man bei zwei unterschiedlichen Daten von einer Kollision. Diese Dateien können Dokumente, Binärdateien oder auch Sicherheitszertifikate sein, die denselben Hashwert ergeben. Eine Kollision muss ausgeschlossen sein, damit eine Hashfunktion als sicher gelten darf. Genau dies ist den Forschern aber jetzt gelungen.

In einem Whitepaper (PDF) lassen sich Details zu dem Kollisionsangriff finden. Google hält den Code, der es jedem erlaubt, zwei PDF-Dateien mit demselben SHA-1-Hashwert zu erstellen, jedoch noch 90 Tage zurück. „Um eine aktive Nutzung des Angriffs zu verhindern, haben wir Gmail und die GSuite um Schutzmaßnahmen erweitert, die unsere PDF-Kollision erkennen. Zudem stellen wir der Öffentlichkeit ein kostenloses Erkennungssystem zur Verfügung.“

Zusätzlich weist Google darauf hin, dass SHA-1 bereits seit 2011 von der Standardisierungsorganisation NIST SHA-1 als veraltet eingestuft wurde. Es sei zudem nicht mehr erlaubt, Websites mit SHA-1-Zertifikaten zu signieren. Bereits seit der Veröffentlichung von Chrome Version 56 im Januar 2017 warne der Browser vor solchen Zertifikaten. Mozilla habe das Feature für den Firefox für Frühjahr 2017 angekündigt. Für Software-Updates, Prüfsummen, E-Mail-Verschlüsselung und Signaturen für digitale Zertifikate werde SHA-1 aber weiterhin eingesetzt.

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE