c't 25/2016
S. 30
News
SHA-1-Zertifikate

Admins aufgepasst – SHA-1 vor dem Aus

Browser-Hersteller ächten veraltetes Hash-Verfahren

Ab Januar geht es SHA-1 an den Kragen. Genauer: Microsoft, Google und Mozilla werden ihre Browser so umstellen, dass sie auf HTTPS-Seiten, die SHA-1 für Signaturen verwenden, Fehlermeldungen anzeigen. Das betrifft allein in Deutschland rund 30.000 Webseiten, darunter solche des Bundes und der Polizei.

Hash-Verfahren kommen bei HTTPS unter anderem zum Einsatz, um die Identität eines Kommunikationspartners zu beglaubigen beziehungsweise zu prüfen. So erzeugt die unterschreibende Zertifizierungsstelle einen eindeutigen Hash-Wert über die Daten des Zertifikats, die insbesondere den Namen des Inhabers (Subject) und dessen öffentlichen Schlüssel enthalten (SubjectPublicKeyInfo). Diesen Hash-Wert signiert sie mit ihrem geheimen RSA-Schlüssel. Der Browser überprüft die Identität der aufgerufenen Webseite, indem er selbst den Hash-Wert über Namen und Schlüssel bildet und ihn mit dem beglaubigten Hash vergleicht.

Gefährliche Kollisionen

Kommentare lesen (1 Beitrag)