zurück zum Artikel

Oracle hat angekündigt, dass mit seinem nächsten Quartalsupdate MD5 für die Signatur von JAR-Paketen ausgemustert wird. Ebenso soll das JDK nur noch in Ausnahmen SHA-1-Zertifikate anerkennen.

Mit dem nächsten Critical Patch Update (CPU) im April will Oracle JAR-Dateien, deren Signatur-Hashes mit dem MD5-Algorithmus erzeugt wurden, nicht mehr als vertrauenswürdig ansehen [1]. Außerdem soll das JDK dann keine SHA-1-Zertifikate mehr akzeptieren [2] – mit Ausnahme von selbst signierten Zertifikaten, wie sie im Firmenumfeld im Einsatz sind. Oracle wollte MD5 eigentlich schon mit dem diesmonatigen CPU [3] den Hahn abdrehen, wurde aber nach eigenen Angaben von Kunden gebeten, die Änderung noch aufzuschieben.

Im JDK sind MD5-Hashes schon seit 2016 standardmäßig deaktiviert [4]. Der Algorithmus gilt schon lange als unsicher. Java benutzt ihn schon seit über zehn Jahren nicht mehr als Standardauswahl, um JAR-Pakete zu unterschreiben. Auf ähnliche Weise sorgen seit Jahren bekannte Angriffe auf SHA-1 dafür, dass auch dieser Algorithmus mittlerweile fast überall ausgemustert wird [5]. Die Änderungen gelten für die Java-Versionen 6, 7 und 8. (fab [6])

URL dieses Artikels:
https://www.heise.de/-3606356

Links in diesem Artikel:
[1] https://blogs.oracle.com/java-platform-group/entry/oracle_jre_will_no_longer
[2] https://www.java.com/en/jre-jdk-cryptoroadmap.html
[3] https://www.heise.de/news/Kritische-Luecken-in-Java-Co-Oracle-wirft-Riesen-Patchpaket-ab-3601613.html
[4] https://www.heise.de/news/Java-Neue-JDK-Versionen-bringen-strengere-Sicherheitsvorgaben-3178164.html
[5] https://www.heise.de/news/Admins-aufgepasst-SHA1-Zertifikate-vor-dem-endgueltigen-Aus-3460868.html
[6] mailto:contact@fab.industries

Copyright © 2017 Heise Medien