- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Lebensdauer von SHA-1 begrenzt


Todesstoß für SHA-1? – zu früh für Panik, aber Zeit zum Handeln
Für Verschlüsselungsexperten ist die Sache klar: SHA-1 ist tot

- Anzeigen -





Von Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro

Durch den erfolgreichen Angriff von Google und CWI ist die Sicherheit oder Unsicherheit des Hash-Algorithmus zur sicheren Signatur von Inhalten "SHA-1" in aller Munde. Manche Publikationen sprechen sogar reißerisch von dessen "Todesstoß". Doch was technisch möglich ist, stellt sich deshalb noch lange nicht als wirtschaftlich sinnvoll heraus. Ja, jetzt steht zwar endgültig fest, dass die Lebensdauer von SHA-1 begrenzt ist. Dennoch liegt kein Grund zur Panik vor. Vielmehr gilt es jetzt, eine nüchterne Risikoanalyse anzustellen und auf deren Basis den Umstieg auf stärkere Hash-Algorithmen zu planen. Je nach Risikoprofil kann und darf sich das durchaus auf Jahre erstrecken.

Für Verschlüsselungsexperten ist die Sache klar: SHA-1 ist tot. Wenn sich ein Algorithmus mittels eines einzigen Grafikprozessors (GPU) in einem Zeitraum von 110 Jahren und zu Kosten von 110.000 US-Dollar kompromittieren lässt, dann ist diesem Algorithmus nicht mehr zu vertrauen. Und tatsächlich ist die Gefahr für Unternehmen groß und unter Umständen existenzgefährdend, wenn vertraulichen Informationen oder Kundendaten nicht mehr vertraut werden kann, weil sich – wie von Google und CWI gezeigt – für verschiedene Inhalte auf Basis von SHA-1 ein und derselbe Hash-Wert erzeugen lässt. Durch einen solchen Kollisionsangriff wäre Manipulationen Tür und Tor geöffnet.

Und sicher lässt sich die Zeit für die Erzeugung eines identischen Hash-Wertes noch weiter verkürzen, wenn mehr Rechenressourcen aufgewendet werden. Doch um diese Bedrohung zu einem einträglichen Geschäft für Cyberkriminelle zu machen, bedarf es erst noch massiver Kostensenkungen. Und die werden noch einige Zeit auf sich warten lassen. Daher wäre Panikmache zum gegenwärtigen Zeitpunkt fehl am Platz, da mit breiten Angriffswellen auf SHA-1 nicht unmittelbar zu rechnen ist.

Risikoprofile erstellen
Auf der anderen Seite wäre es freilich falsch, daraus den Schluss zu ziehen, man könne weiterhin die Hände in den Schoß legen – wie 2005, als chinesische Forscher die Zahl der Rechenoperationen zur Erzeugung eines Kollisionsangriffs auf SHA-1 von 280 auf 263 reduzieren konnten.

Denn aufgrund des sich jetzt abzeichnenden Kostenaufwands könnte ein gezielter Angriff abhängig vom Wert des Zieles ab sofort in den Bereich des Möglichen gerückt sein. Unternehmen und Behörden sind daher gut beraten, ihr Risikomanagement auf den neuesten Stand zu bringen und dahingehend zu befragen, in welchem Zeithorizont die verschiedenen Systeme je nach Risikoprofil auf einen stärkeren Hash-Algorithmus wie zum Beispiel SHA256 oder SHA512 umgestellt werden müssen. Für hochsensible Bereiche mag da bereits unmittelbarer Handlungsbedarf bestehen.

Das ist das Gute an der Arbeit von Kryptographieexperten, wenn sie Algorithmen erfolgreich brechen: Sie geben uns dadurch den nötigen Denkanstoß und die nötige Zeit, um in Ruhe und nüchtern kalkulierend geeignete Gegenmaßnahmen einzuleiten – Zeit, die wir zum Nachdenken, Planen und Handeln nutzen sollten, und eben nicht für blinde Panik.
(Trend Micro: ra)

eingetragen: 10.03.17
Home & Newsletterlauf: 17.03.17


Trend Micro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • IT-Produkte ohne Backdoors

    Am 29.03.2019 das Bundesinnenministerium einen Referentenentwurf zum geplanten "IT-Sicherheitsgesetz 2.0" in die Ressortabstimmung eingebracht. Dazu äußert sich René Hofmann, zuständig für strategische Accounts bei Securepoint, norddeutscher Hersteller von IT-Sicherheitslösungen.

  • Höchst riskante Sicherheitslücke

    Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung gegenüber Datenschutz und Sicherheitsrisiken eingesetzt - ob privat oder im beruflichen Umfeld. Dennoch zeigen europäische Arbeitnehmer weltweit die geringste Disziplin, wenn es um die Cybersicherheit in ihren Unternehmen geht: Studien zeigen, dass ein Großteil der Angestellten sich nicht regelmäßig über IT-Sicherheit Gedanken macht. Ein signifikanter Anteil ist sogar der Auffassung, dass die Prävention von Sicherheitsbedrohungen nicht in seinen Aufgabenbereich falle - obwohl man sich über die rechtlichen Folgen eines Datendiebstahls im Klaren ist. Bei einem Verstoß gegen die DSGVO müssen Unternehmen beispielsweise mit Bußgeldern in Höhe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes weltweit rechnen.

  • Kompromisse in der IT-Sicherheit & im IT-Betrieb

    Eine neue Umfrage von Tanium zeigt: Weltweit halten sich CIOs und CISOs bei der Umsetzung relevanter Maßnahmen zurück, obwohl diese für die Widerstandsfähigkeit gegenüber Störungen und Cyber-Gefahren entscheidend wären. 90 Prozent der befragten CIOs and CISOs in Deutschland führten ein wichtiges Sicherheitsupdate oder einen Patch nicht durch, aus Sorge vor möglichen negativen Auswirkungen auf den Geschäftsbetrieb. Im weltweiten Durchschnitt - in Deutschland, den USA, Großbritannien, Frankreich und Japan - machten 81 Prozent diese Erfahrung.

  • Sicherheitsrisiko: "Genehmigte Schwachstellen"

    Im letzten Jahr standen bestimmte Staaten unter dem Verdacht, verantwortlich für Cyberangriffe im großen Stil sowie für die Eröffnung von "Cyberspionage-Schulen" zu sein. Darüber hinaus wurde ein Embargo gegen bestimmte Lieferanten angekündigt, denn es herrschte Besorgnis über mögliche Spionagetätigkeiten sowie ein neuer Verdacht hinsichtlich der Einführung von Backdoors in ausländischen Technologien. Insbesondere Huawei bekam die damit verbundenen Kosten zu spüren. Viele Diskussionen um Cybersicherheit stellen daher aktuell verstärkt den Begriff des digitalen Vertrauens in den Fokus.

  • Unternehmen dürfen nicht selbstgefällig werden

    Die Rechtsanwaltskanzlei DLA Piper veröffentlichte ihre "GDPR Data Breach"-Studie, die Details zu den gemeldeten Datenverstößen in der EU seit Inkrafttreten der DSGVO im Mai 2018 aufführt. Deutschland liegt bei etwa 12.600 Verstößen. Ross Brewer, Vice President & Managing Director EMEA, LogRhythm äußert sich folgendermaßen: "Dieser Bericht zeigt das Ausmaß der heutigen Bedrohungslandschaft auf. Tatsache ist, dass fast 60.000 Datenverstöße in acht Monaten extrem hoch klingen, das ist aber nicht unbedingt überraschend.