Java: Das Ende von MD5 und SHA-1 naht
Oracle hat angekündigt, dass mit seinem nächsten Quartalsupdate MD5 für die Signatur von JAR-Paketen ausgemustert wird. Ebenso soll das JDK nur noch in Ausnahmen SHA-1-Zertifikate anerkennen.
- Fabian A. Scherschel
Mit dem nächsten Critical Patch Update (CPU) im April will Oracle JAR-Dateien, deren Signatur-Hashes mit dem MD5-Algorithmus erzeugt wurden, nicht mehr als vertrauenswürdig ansehen. Außerdem soll das JDK dann keine SHA-1-Zertifikate mehr akzeptieren – mit Ausnahme von selbst signierten Zertifikaten, wie sie im Firmenumfeld im Einsatz sind. Oracle wollte MD5 eigentlich schon mit dem diesmonatigen CPU den Hahn abdrehen, wurde aber nach eigenen Angaben von Kunden gebeten, die Änderung noch aufzuschieben.
Im JDK sind MD5-Hashes schon seit 2016 standardmäßig deaktiviert. Der Algorithmus gilt schon lange als unsicher. Java benutzt ihn schon seit über zehn Jahren nicht mehr als Standardauswahl, um JAR-Pakete zu unterschreiben. Auf ähnliche Weise sorgen seit Jahren bekannte Angriffe auf SHA-1 dafür, dass auch dieser Algorithmus mittlerweile fast überall ausgemustert wird. Die Änderungen gelten für die Java-Versionen 6, 7 und 8. (fab)