Microsoft blockiert SHA-1 in Edge und Internet Explorer
Angekündigt war es schon länger, nun ist es soweit: Microsoft stellt seine Browser so um, dass sie auf HTTPS-Seiten, die SHA-1 für Signaturen verwenden, Fehlermeldungen anzeigen.
- Axel Vahldiek
Seit dem 9. Mai liefert Microsoft Updates für seine Browser Edge und Internet Explorer aus, um das geknackte Hash-Verfahren SHA-1 zu blockieren. Hash-Verfahren dienen eigentlich bei HTTPS-Verbindungen unter anderem zum Beglaubigen bzw. Prüfen des Kommunikationspartners. Es darf deshalb nicht möglich sein, zwei verschiedene Datensätze zu finden, die den gleichen Hash-Wert ergeben. Doch genau das ist bei SHA-1 nicht mehr gegeben: Bereits seit 2005 gilt dieses Verfahren als geknackt, im Februar diesen Jahres gelang der praktische Nachweis, dass man sogenannte Kollisionen berechnen kann.
Microsoft hatte – ähnlich wie Mozilla und Google – schon vor längerer Zeit bekannt gegeben, SHA-1 nicht mehr in seinen Browsern unterstützen zu wollen, nun ist es soweit. Das Update wird seit dem 9. Mai automatisch über die Windows-Update-Funktion verteilt. Details dazu nennt Microsoft im Security Advisory 4010323, die deutsche Übersetzung finden Sie hier. Wer die Updates manuell herunterladen will, findet die Links im Knowledge Base Artikel 4010323.
Betroffenen wird die Umstellung auf das Nachfolge-Hash-Verfahren SHA-2 empfohlen. Dessen Varianten SHA256 und SHA512 gelten als ausreichend sicher, dass sie auch langfristig die Unterscheidbarkeit verschiedener Dokumente garantieren können. Weitere Details liefert der heise-Security-Artikel Admins aufgepasst: SHA-1 vor dem Aus. (axv)
