(Bild: aehdeschaine, CC BY-ND 2.0 )
Microsoft überlegt ob der neuen Qualität von Angriffen auf den Hash-Algorithmus, diesen schon Mitte 2016 auf die verbotene Liste zu setzen. Google und Mozilla gehen ähnliche Wege.
Microsoft wollte den unsicheren Algorithmus SHA-1 eigentlich zum 1. Januar 2017 nicht mehr in seiner Software unterstützen. Dieser wird unter anderem noch zum Signieren von SSL/TLS-Zertifikaten unterstützt. Jetzt denkt die Firma laut darüber nach, diesen Termin auf Juni 2016 vorzuziehen. Grund ist ein neuer Angriff, der SHA-1 nun endgültig den Rest geben könnte. So hatten Sicherheitsforscher im Oktober einen Bericht vorgelegt, in dem sie zeigen, wie sie mit SHA-1 erzeugte Hashes innerhalb von Tagen knacken können.
Um keine Kompatibilitätsprobleme zu verursachen, will Microsoft das Vorhaben mit anderen Browser-Herstellern abstimmen. Mozilla hatte kürzlich noch einmal seinen Plan bestätigt, Firefox-Nutzer ab dem 1. Januar 2016 vor SHA-1-Zertifikaten zu warnen und diese ab dem 1. Januar 2017 ganz zu blocken. Auch Google hat seit Jahren vor, mit Chrome ähnliche Wege zu gehen. Details dazu, für welche Einsatzgebiete Microsoft SHA-1-Zertifikate blockieren will, stehen in einem eigenen TechNet-Artikel. (fab)