Microsoft hat damit begonnen, Updates, die nur mit SHA-1 signiert sind, aus dem Download-Bereich zu entfernen. Weiterhin hat Redmond eine neue Landing-Page für Entwickler von Linux- und Android-Software auf GitHub aufgesetzt.
Anzeige
Windows SHA-1-Inhalte verschwinden
Microsoft hat ja bereits vor Jahren angekündigt, Update-Pakete für Windows künftig nur noch mit SHA-2-Signaturen zu versehen, SHA-1 ist unsicher. SHA-1 ist ein veralteter kryptographischer Hash, den Sicherheitsforscher für nicht mehr sicher halten. Die Verwendung des SHA-1-Hashing-Algorithmus in digitalen Zertifikaten könnte es einem Angreifer ermöglichen, Inhalte zu fälschen, Phishing-Angriffe oder Man-in-the-Middle-Angriffe durchzuführen. Für Windows 7 SP1 und Windows Server 2008/R2 wurde eine SHA-2-Unterstützung per Update nachgerüstet – dort werden keine SHA-1-signierten Updates mehr eingesetzt. Dementsprechend haben ab August 2019 Geräte ohne SHA-2-Unterstützung keine Windows-Updates erhalten.
Microsoft to remove SHA-1 Windows content from the Microsoft Download Center – https://t.co/S7NE3UmINI pic.twitter.com/FpGtztmYYL
— MSPoweruser (@mspoweruser) July 29, 2020
Dem obigen Tweet entnehme ich, dass Microsoft nun damit beginnt, die Inhalte im Microsoft Download-Bereich zu säubern und alles rauszuwerfen, was keine SHA-1-Signatur besitzt. Die betreffende Ankündigung findet sich in der Techcommunity in diesem Beitrag. Dazu heißt es:
To support evolving industry security standards, and continue to keep you protected and productive, Microsoft will retire content that is Windows-signed for Secure Hash Algorithm 1 (SHA-1) from the Microsoft Download Center on August 3, 2020.
Ab dem 3. August 2020 lassen sich keine SHA-1 signierten Inhalte mehr aus dem Download-Center herunterladen. Dies ist der nächste Schritt zur Einführung des Secure Hash Algorithmus 2 (SHA-2), der die modernen Sicherheitsanforderungen besser erfüllt und zusätzlichen Schutz vor gängigen Angriffsvektoren bietet. Auf Twitter finden sich hier noch einige Ergänzungen.
Neue Entwickler Landing-Page auf GitHub
Microsoft hat auch eine neue Webseite für Entwickler auf GitHub aufgesetzt, auf der sich diese über Probleme bei der Entwicklung von Software für Linux und Android, bei Verwendung von Windows als Plattform, informieren können. Bei Interesse finden sich bei den Kollegen von heise einige Informationen.
Anzeige
Ähnliche Artikel:
Abschied von SHA-1 in 2016 heißt reagieren …
Aus die Maus: SHA-1 im IE und im Edge geblockt
Nachtrag: Kollateralschaden (TLS/SHA-1) von Update KB3172605
Google unsicher? SHA-1-Kollateralschäden im Google Chrome
Symantec veröffentlicht Patch für SHA-2-Bug in Windows 7
Bekommen Windows 7-Nutzer ein SHA-2-Update Problem?
Windows 7 Neuinstallation und der Boot-Fehler 0xc0000428
Anzeige
Heißt das jetzt, wenn man z.B. auf einer alten Maschine noch ein Windows 7 neu aufsetzt, dass man alle alten Updates aus der Pre-SHA-2 Zeit nicht mehr herunterladen und installieren kann? Oder werden die durch eine SHA-2 Variante ersetzt? Falls nicht, könnte das zu Problemen führen, ein neu aufgesetztes oder seit Jahren nicht mehr aktualisiertes Windows 7 auf den aktuellen Update-Stand zu bringen?
Ging mir auch durch den Kopf. Imho ist der Schluss aber falsch. Wenn ich ein Windows 7 SP1 oder einen Windows Server 2008 R2 aufsetze, zieht sich dieser ja die Update-Pakete von den Update-Servern. Da ändert sich nichts.
Was nicht mehr funktioniert: Ich lade mir ein altes Update-Paket aus dem Microsoft Download-Bereich, welches mit SHA-1 signiert ist. Aber da hat Microsoft sowieso über die Zeit viel rasiert – merke ich an den vielen gebrochenen Links, die mir im Blog gemeldet werden.
@Andreas
Dir ist schon klar, dass MS die PC-Nutzer mit allen Mitteln zum Umstieg auf Windows 10 zwingen will?