Fragwürdige Hash-Funktion SHA-1 immer noch beliebt

Das National Institute of Standards and Technology (NIST) ist in die Kritik geraten, da es seine eigenen Empfehlungen zur Signierung von SSL-Zertifikaten nicht befolgt hat. Wie die britische Beratungsfirma Netcraft berichtet, nutzte die Standardisierungsbehörde noch Anfang des Jahres den schon länger als unsicher geltenden Algorithmus SHA-1 für SSL-Verbindungen der eigenen Webseite. Nach der Kritik stellte NIST auf SHA-256 um.

Die Hash-Funktion SHA-1 gilt seit 2005 als nicht mehr sicher, da sie anfällig für Kollisionsangriffe ist. Praktikabel sind diese Angriffe seit spätestens 2009, wenn auch so teuer, dass momentan nur staatlich finanzierte Angriffe zu befürchten sind. Die NIST Special Publication 800-131A (PDF) von Januar 2011 empfiehlt bereits, den Algorithmus nicht mehr einzusetzen. Bis spätestens Ende Dezember 2013 hätte SHA-1 danach von der NIST-Webseite verbannt werden müssen, wenn die Organisation ihren eigenen Empfehlungen gefolgt wäre.

Auch das BSI nutzt noch SHA-1

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, SHA-1 nicht für die Signatur auf SSL-Zertifikaten zu benutzen. In einer E-Mail an die Bundesnetzagentur von 2006 heißt es: "SHA-1 kann zur Zertifikaterstellung als bis Ende 2009 geeignet angesehen werden, sofern das X.509 Format gemäß ISIS-MTT verwendet wird. Eine Eignung für die Zertifikaterstellung bis Ende 2010 ist gegeben, falls gewährleistet ist, dass für einen Angreifer vor der Zertifikaterstellung mindestens 20 Bit Unsicherheit über die Seriennummer gegeben sind."

Ab spätestens 2011 hätte also auch das BSI SHA-1 nicht mehr für die eigene Infrastruktur verwenden dürfen. Trotzdem ist das Zertifikat der eigenen Seite nach wie vor mit dem Algorithmus signiert. Das BSI-Zertifikat wurde von der Firma TC TrustCenter im März 2012 ausgestellt und ist bis 2015 gültig. Das neuere Zertifikat für den BSI-Sicherheitstest ist vom Dezember 2012, wurde allerdings auch mit SHA-1 unterzeichnet.

Das Problem liegt bei den CAs

BSI und NIST stehen mit der Nutzung von SHA-1 bei Zertifikaten allerdings nicht alleine da. Laut einer Netcraft-Statistik nutzen noch mehr als 98 Prozent aller per HTTPS ansteuerbaren Webseiten SHA-1. Das liegt darin begründet, dass Webseitenbetreiber ihre Zertifikate nicht selbst erstellen können, sondern von Zertifizierungsstellen, sogenannten Certificate Authorities (CAs), beziehen müssen. Nur deren Zertifikate sind in den gängigen Web-Browsern vorinstalliert und lösen keine Warnung aus, wenn ein Nutzer die Webseite über HTTPS ansteuert. Und eben diese CAs nutzen zum Großteil noch SHA-1 um ihre Zertifikate zu erstellen.

Algorithmen des SHA-2-Standards, wie SHA-256 und SHA-512, werden auf allen gängigen Betriebssystemen unterstützt und könnten deswegen zum Signieren der Zertifikate verwendet werden – so wie jetzt beim NIST geschehen. Lediglich der Internet Explorer auf Windows XP hat ein Problem, wenn Service Pack 3 nicht installiert ist. Das sollte aber ohnehin installiert sein, da XP-Versionen ohne Service Pack 3 von Microsoft nicht mehr unterstützt werden. (fab)