Microsoft liefert seit dem 9. Mai Updates für seine Browser Edge und Internet Explorer aus. Damit wird das unsichere Hash-Verfahren SHA-1 blockiert. Normalerweise dienen Hash-Verfahren bei HTTPS-Verbindungen unter anderem zum Beglaubigen bzw. Prüfen des Kommunikationspartners.

Zwei verschiedene Datensätze zu finden, die den gleichen Hash-Wert ergeben, darf nicht möglich sein, was bei SHA-1 allerdings der Fall ist. Dieses Verfahren gilt bereits seit 2005 als geknackt. Der praktische Nachweis, dass sogenannte Kollisionen berechnet werden können, gelang im Februar diesen Jahres.

Ähnlich wie Mozilla und Google hatte Microsoft bereits bekannt gegeben, SHA-1 nicht mehr in seinen Browsern unterstützen zu wollen. Mit dem Update ist es soweit und wird seit dem 9. Mai automatisch über die Windows-Update-Funktion verteilt. Im Security Advisory 4010323 nennt Microsoft Details dazu. Für das manuelle Herunterladen der Updates dienen die Links im Knowledge Base Artikel 4010323.

Das Nachfolge-Hash-Verfahren SHA-2 wird für Betroffene empfohlen. Die Varianten SHA256 und SHA512 können auch langfristig die Unterscheidbarkeit verschiedener Dokumente garantieren und gelten daher als ausreichend sicher.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE