Empfohlen, 2019

Tipp Der Redaktion

Microsoft verfolgt Firefox bei der Prüfung eines frühen Verbots von SHA-1-Website-Zertifikaten

Microsoft erwägt, die Blockierung des SHA-1-Hashalgorithmus auf Windows weiter voranzutreiben, so früh wie Juni nächsten Jahres ein Hinweis auf eine ähnliche Entscheidung von Mozilla.

Der Redmond-basierte Software-Hersteller hatte zuvor gesagt, dass Windows SHA-1-signierte TLS (Transport Layer Security) -Zertifikate ab dem 1. Januar 2017 blockieren würde, denkt aber jetzt darüber nach Datum im Hinblick auf jüngste Fortschritte in Angriffen auf den SHA-1-Algorithmus, eine kryptographische Hash-Funktion von der US National Security Agency entwickelt.

Es gab Bedenken über die Sicherheit des Algorithmus, die Microsoft, Google und Mozilla zu kündigen Das Ihre Browser akzeptieren keine SHA-1-SSL-Zertifikate (Secure Sockets Layer) mehr.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Forscher haben bewiesen, dass ein gefälschtes digitales Zertifikat die gleiche SHA-1 aufweist Hash als legitimer Hashwert kann erstellt werden, und Benutzer können dann mit einer gefälschten Site über eine so genannte Hash-Kollision betrogen werden.

Im Oktober warnte ein Team von Kryptoanalysten, dass der SHA-1-Standard früher zurückgezogen werden sollte als die Unternehmen, die als die Kosten vorgeschlagen wurden, um die Verschlüsselung zu brechen, waren 2015 mit frei verfügbaren Cloud-Computing-Einrichtungen schneller als erwartet auf 75.000 bis 120.000 US-Dollar gesunken, was eine SHA-1-Kollision durch Online-kriminelle Gruppen erschwinglich macht.

"Wir werden weiterhin koordinieren mit anderen Browser-Anbietern, um die Auswirkungen dieser Timeline auf Basis von Telemetrie und aktuellen Projektionen für die Durchführbarkeit von SHA-1-Kollisionen zu bewerten ", schrieb Kyle Pflug, Programmmanager für Microsoft Edge, am Mittwoch in einem Blog-Beitrag.

Mo Zilla sagte im Oktober, dass angesichts der jüngsten Angriffe ein Cut-Off vom 1. Juli 2016 in Betracht gezogen wurde, um alle SHA-1 SSL-Zertifikate abzulehnen, unabhängig davon, wann sie ausgestellt wurden, vor einem früheren geplanten Datum des 1. Januars. 2017.

Top