Anfälligkeit in SHA-1 nachgewiesen

23 Februar 2017

Das SHA-1-Zertifikate theoretisch anfällig für Nachahmungen sind ist nichts Neues. Bereits im Jahr 2014 wurde die Umstellung auf den neuen SHA-2-Algorithmus gefördert. Heute hat ein niederländischer Forscher SHA-1 in der Praxis geknackt.

Was bedeutet das?

Nach Jahren der Forschung hat der niederländische Forscher Marc Stevens vom CWI Amsterdam (Forschungsinstitut für Mathematik und Informatik) den SHA-1-Algorithmus in der Praxis geknackt. Um SHA-1 zu knacken, erlaubte Google ihm, 9,2 Billionen Berechnungen auf ihren Servern durchzuführen. Dieser Prozess dauerte Monate, aber es hat gezeigt, dass SHA-1 in der Praxis knackbar ist.

Qualitative Hashing-Funktionen unterscheiden sich davon, dass sie eine geringe Chance haben, denselben Hash zu geben. Das Verknüpfen eines Fingerabdrucks zu einem Hash ist einzigartig, was die Möglichkeit verhindert, einen einzigen Hash zweimal zu erhalten. Stevens gelang es, zwei PDF-Dateien den gleichen Fingerabdruck zu geben, was in der Praxis zu einem knackenden SHA-1 führte.

Was ist SHA-1?

Zertifikatsbehörden generieren SSL Zertifikate und signieren diese digital. Um ein Zertifikat zu signieren, stehen mehrere Algorithmen zur Verfügung. Dazu werden unter anderem SHA-1 und SHA-2 verwendet. Schwächen und Schwachstellen wurden im SHA-1-Algorithmus gefunden, was dazu führte, dass das National Institute of Standards and Technology (NIST) seit 2014 empfohlen hat Zertifikate mit SHA-2 zu signieren. Zertifikatsbehörden stellen keine SHA-1 SSL Zertifikate mehr zur Verfügung und Browser unterstützen nicht mehr die älteren Zertifikate, die noch mit diesem schwachen Algorithmus signiert wurden.

Was passiert mit SHA-1?

Obwohl SHA-1 seit langem nicht mehr unterstützt wurde, sind die mit SHA-1 signierten Zertifikate bis heute noch im Umlauf. Laut Netcraft-Statistiken wurden im Januar 2017 etwa 135.000 SHA-1 Zertifikate verwendet. Leider sind meist ältere Systeme nicht mit SHA-2 kompatibel und zwingen sie, die unsichere Alternative SHA-1 zu nutzen. Diese Forschung beweist, dass die Umstellung auf eine neuere und sicherere Alternative dringend ist. Verwenden Sie noch ein SHA-1 Zertifikat? Ersetzten Sie es jetzt kostenlos mit einem SHA-2 Zertifikat.

Weitere Informationen unter https://shattered.io/

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.