![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Google hat gestern bekannt gegeben, dass das kryptografische SHA-1-Hash-Verfahren geknackt sei. Man konnte zwei verschiedene PDF-Dokumente mit dem gleichen SHA-1 Hash-Code erzeugen.<\/p>\nGoogle hat gestern bekannt gegeben, dass das kryptografische SHA-1-Hash-Verfahren geknackt sei. Man konnte zwei verschiedene PDF-Dokumente mit dem gleichen SHA-1 Hash-Code erzeugen.<\/p>\n
<\/p>\n
Kryptografische Hash-Verfahren kommen in vielen Bereichen zum Einsatz. So kann man einen Hash-Wert f\u00fcr eine Datei berechnen und ver\u00f6ffentlichen. Bekommt jemand dieses Datei und ermittelt er einen \u00fcbereinstimmenden Hash-Code, sollte dieser eigentlich gew\u00e4hrleisten, dass die Datei mit dem Original \u00fcbereinstimmt, also nicht manipuliert wurde. \u00c4hnliches gilt beispielsweise f\u00fcr die per SSL-Protokoll \u00fcbermittelten Datenpakete im Internet. <\/p>\n
Historisch werden eine Reihe von Hash-Verfahren eingesetzt, von denen sich einige zwischenzeitlich als unsicher, da knack bar, erwiesen haben. Das MD5-Verfahren zur Berechnung von Hash-Werten galt bereits seit l\u00e4ngerem als unsicher und sollte nicht mehr zum Signieren verwendet werden. Neben MD5 gibt es aber weitere kryptografische Hash-Verfahren wie SHA-1, SHA-256 etc. <\/p>\n
Das SHA-1-Verfahren wurde bereits seit l\u00e4ngerem als potentiell unsicher angesehen, da mit steigender Rechenleistung die Wahrscheinlichkeit, dass jemand den Hash-Code knackt, gegeben war. Ich erinnere an meinen Artikel SHA1-Hash bis Ende 2015 geknackt?<\/a> \u2013 wo das Problem beschrieben wurde. Betriebssystem- und Browserhersteller haben daher bereits 2016 damit begonnen, die Unterst\u00fctzung f\u00fcr SHA-1 Zertifikate herunter zu fahren. Und von den Google Chrome-Entwicklern gab es den Hinweis<\/a>, dass SHA-1-Zertifikate ab im Google Chrome Version 57 (Release im M\u00e4rz 2017) nicht mehr unterst\u00fctzt werden. <\/p>\n Nun hat Google in diesem Blog-Beitrag<\/a> bekannt gegeben, dass man die erste Kollision bei SHA-1-Hash-Codes erzeugen konnte. Gelungen ist dies Forschern des CWI Amsterdam in Zusammenarbeit mit Google. Es gelang zwei PDF-Dokumente zu erzeugen, die den gleichen SHA-1-Hash-Code aufweisen, aber unterschiedliche Inhalte aufweisen. <\/p>\n Dazu war aber ein riesiger Aufwand erforderlich, es wurden 6500 Jahre CPU-Zeit und nochmal 100 Jahre GPU-Zeit zur Berechnung dieser Kollision ben\u00f6tigt. Mit weiteren Optimierungen kann dieser Aufwand aber reduziert werden. Damit gilt das SHA-1-Verfahren als geknackt und damit unsicher, es sollte nicht mehr eingesetzt werden. <\/p>\n Bei Interesse findet sich bei heise.de dieser deutschsprachige Artikel \u2013 und bei Arstechnica gibt es diesen englischsprachigen Beitrag mit weiteren Erl\u00e4uterungen zum Thema.<\/p>\n \u00c4hnliche Artikel:<\/strong> Google hat gestern bekannt gegeben, dass das kryptografische SHA-1-Hash-Verfahren geknackt sei. Man konnte zwei verschiedene PDF-Dokumente mit dem gleichen SHA-1 Hash-Code erzeugen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[4689,4328],"class_list":["post-187821","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-sha-1","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187821"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187821\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Google hat SHA-1 geknackt<\/h3>\n
![](\"https:\/\/3.bp.blogspot.com\/-Ca6n5XsDQU4\/WK6ljCSebeI\/AAAAAAAAAa4\/MXeyy0z13yIqp9DEWVLiqjJ_xSP2u7YOgCLcB\/s640\/Collision-illustrated.png\"\/)
(Source: Google)<\/p>\n
Mit MD5 signierte JAR-Dateien werden ab April 2017 geblockt<\/a>
SHA1-Hash bis Ende 2015 geknackt?<\/a>
Google unsicher? SHA-1-Kollateralsch\u00e4den im Google Chrome<\/a>
Nachtrag: Kollateralschaden (TLS\/SHA-1) von Update KB3172605<\/a>
Abschied von SHA-1 in 2016 hei\u00dft reagieren \u2026<\/a>
Zertifikatfehler bei Google Chrome\/Slimjet-Browser fixen<\/a>
Chrome-Bug zeigt https als unsicher an<\/a>
Microsoft aktualisiert Trusted Root Certificate<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"