„SHA-1 Verschlësselung geknackt“ – Wat heescht dat fir mech?

SHA-1 ass eng Method fir ze verschlësselen, de Numm steet fir „Secure Hash algorithm 1“. Déi Method dengt dozou, een sougenannten Préifwäert, op englesch „hash value“, ze berechnen. Deen ass wéi eng digital Ënnerschrëft an déngt dozou, fir d‘Integritéit vun enger Noriicht oder Datei ze garantéieren. Wa mir eng verschlësselt Noriicht kréien, kéint et jo sinn, datt déi ënnerwee vun enger drëtter Persoun manipuléiert gi wier. Den hash ass fir all Noriicht eenzegaarteg – eng manipuléiert Noriicht kann also net de selwechten hash hunn wéi d‘Original. Wa mir also eng Datei kréien, déi een aneren Préifwäert huet wéi d‘Original, da wësse mir, datt mir där Datei net traue kënnen an se wahrscheinlech kompromittéiert gouf.

An der Praxis gëtt d‘SHA-1-Verfahren benotzt, fir d‘Echtheet an Integritéit vu groussen Donnéeën ze bestätegen, zum Beispill bei digitalen Signaturen vun Programmen, Updates, Backups, E-Mails, asw. Och bei der Verschlësselung vun Websäiten-Inhalter kommen d‘hashes zum Asaz a ginn automatesch vum Browser iwwerpréift.

Grafik: shattered.it

Wichteg bei engem Hash-Verfahren ass, datt et keng Kollisioun sollt ginn. Zwee ënnerschiddlech Dokumenter sollten nimools deen selwechten Hash erginn. Mä genee dat ass bei SHA-1 elo méiglech. Schonn zanter 2006 wësse mir, datt et theoretesch méiglech ass, mä elo hu Fuerscher vun der CWI Amsterdam a Google eng Method entwéckelt, fir SHA-1 och an der Praxis ze knacken. Si kënnen zwee PDF-Dokumenter maachen, déi ënnerschiddlech Inhalter, mä den selwechten hash hunn. Theoretesch wier et domadder méiglech, eng Persoun dozou ze bréngen, een Kontrakt digital ze signéieren an en spéider onbemierkt ofzeänneren.

Wat heescht dat fir mech als normalen User? Obwuel SHA-1 schonn zanter 2011 offiziell als iwwerholl gëllt, gëtt de System nach vu villen Applikatiounen benotzt. Ween Chrome oder Firefox als Browser benotzt, ass mëttlerweil automatesch geschützt. Och Google Drive an Gmail test Dateien automatesch op den Ugrëff. PDF-Dokumenter kënnen op der Websäit shattered.it getest ginn. Bis elo sinn nach keng Fäll bekannt, wou d‘Schwaachstell an SHA-1 ausgenotzt ginn ass.

BEE SECURE recommandéiert, datt dir een moderne Browser wéi Firefox oder Chrome benotzt an reegelméisseg Updates maacht. Ausserdeem sollt dir probéieren, ëmmer um Lafenden ze bleiwen, och wann dir Tools benotzt, déi aktuell als sécher gëllen. Eng Method, fir d‘Aktualitéit am Aen ze behalen sinn nieft dësem Podcast d‘News op bee-secure.lu

Quellen:

shattered.it

heise.de

blog.mozilla.org

Wikipedia: Secure Hash Algorithm

Creator: 
Image: