[English]Microsoft wird ab dem 9. Mai 2021 nur noch den sichereren SHA-2-Algorithmus in seinen Prozessen und -Diensten (auch in TLS-Zertifikaten, Code Signing und File Hashing) zulassen. Die SHA-1-Verwendung ist dann nicht mehr möglich.
Anzeige
Die Ankündigung erfolgte am 14. April 2021 im Blog-Beitrag Microsoft to use SHA-2 exclusively starting May 9, 2021 (danke an den Benutzer für den Hinweis). Zu diesem Zeitpunkt wird Microsoft die vertrauenswürdige Stammzertifizierungsstelle Secure Hash Algorithm 1 (SHA-1) auslaufen lassen. Ab dem 9. Mai 2021 um 16:00 Uhr pazifischer Zeit werden alle wichtigen Microsoft-Prozesse und -Dienste – einschließlich TLS-Zertifikaten, Code Signing und File Hashing – ausschließlich den SHA-2-Algorithmus verwenden.
Der Hintergrund: SHA-1 gilt als unsicher
Der Hash-Algorithmus SHA-1 gilt inzwischen als nicht mehr sicher, denn im Laufe der Zeit gilt SHA-1 aufgrund der im Algorithmus gefundenen Schwachstellen, der gestiegenen Prozessorleistung und des Aufkommens von Cloud Computing als zu unsicher. Da es inzwischen bessere Alternativen wie den Secure Hash Algorithm 2 (SHA-2) gibt, werden diese bevorzugt.
Microsoft hat aus diesem Grund bereits die Signierung von Windows-Updates im Jahr 2019 auf die ausschließliche Verwendung des sichereren SHA-2-Algorithmus umgestellt und anschließend alle mit Windows signierten SHA-1-Inhalte am 3. August 2020 aus dem Microsoft Download Center zurückgezogen. Ich hatte im Blog-Beitrag Windows 7: Ab April 2019 wird ein 'SHA-2-Update' benötigt über die Implikationen für Windows 7 berichtet (die neueren Betriebssystemen unterstützten bereits SHA-2).
Was bedeutet das?
Im besten Fall bekommen Administratoren und Nutzer das nicht einmal mit. Das Auslaufen der Microsoft SHA-1 Trusted Root Certificate Authority wirkt sich nur auf SHA-1-Zertifikate aus, die mit der Microsoft SHA-1 Trusted Root Certificate Authority verkettet sind. Manuell installierte Unternehmens- oder selbstsignierte SHA-1-Zertifikate sind davon nicht betroffen. Microsoft empfiehl jedoch dringend, auf SHA-2 umzusteigen (sofern noch nicht erfolgt).
Anzeige
In obigem Artikel schreibt Microsoft, dass man keine Probleme durch das Auslaufen des SHA-1-Zertifikats erwartet, denn alle wichtigen Anwendungen und Dienste wurden getestet.
Ähnliche Artikel
SHA-2-Patch für Windows 7 kommt wohl im März 2019
Knipst der Wechsel zu SHA-2 "das Web" aus?
Windows 7: Ab April 2019 wird ein 'SHA-2-Update' benötigt
Anzeige
MIST, M$FT macht wieder mal nur halbe Sachen!
Statt alle (von Ahnungslosen und Merkbefreiten wie beispielsweise Mozilla: siehe https://seclists.org/fulldisclosure/2021/Mar/14) noch immer mit SHA-1 gefrickelten Signaturen ungültig zu erklären (wie u.a. vom CA/B-Forum für alle Web-Browser und CAs ihrer Mitglieder vorgeschrieben) beschränken sie sich auf ihre eigenen Untaten.
Hallo,
ich habe eine Frage.
Wir setzten im Unternehmen "Microsoft Dynamics Navision 2009R2" ein.
Die Binary stammt aus dem Jahr 2010 und wurde von Microsoft mit sha1 signiert.
Heißt das wir können die Software ab dem 09.05.21 nicht mehr einsetzen???
Wenn die Software noch im Support ist, wird sich MS im Fall der Fälle drum kümmern. Eine reine Binärsignatur sollte imho auch weiter gültig sein.
Hallo Herr Born,
eine Stichprobe auf meinem Rechner hat eine Vielzahl an Programmen einschließlich Setup-Paketen ergeben, welche mit SHA1 signiert sind.
Bedeutet das, dass ich diese Software zukünftig werden neu installieren noch starten kann?
Kann ich nicht sagen, wa ich nicht weiß, ob MS für alte Setup-Pakete noch eine SHA1-Weiche eingebaut hat – ließe sich sicherlich (notfalls in einer VM) aber testen.