SHA-1 is a Shambles

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

SHA-1 is a Shambles

Beitrag von dufty2 » 23.01.2020 08:30:28

Das "Knacken" ist jetzt billig geworden nur noch 10k € pro Collision:
https://threatpost.com/exploit-fully-br ... a-1/151697
bzw.
https://eprint.iacr.org/2020/014.pdf

Auf packages.debian.org wird es mittlerweile auch nicht mehr angeboten:
SHA1-Prüfsumme Nicht verfügbar

TomL

Re: SHA-1 is a Shambles

Beitrag von TomL » 23.01.2020 11:16:28

Ich habe mir das gerade mal angesehen und verzweifel mal wieder an meinen zu lang zurückliegenden Englischkenntnissen.... das heisst, ich kann nicht erkennen, ob meine Interpretation dieser Texte überhaupt richtig ist. Aber so wie ich das verstanden habe, wurde ein seit Jahren als Outdated markierter Algorithmus gehackt, der allein dazu dient, verschlüsselte Pakete zu signieren. Das heisst, nicht der primäre datenschutzrelevante und verschlüsselte Traffic wurde gehackt, sondern nur die Möglichkeit eine blinde und ziellose Manipulation dieser verschlüsselten Pakete durch einen MITM zu entdecken. Ein scheinbar wirklich kritischer Moment wäre allerdings die Schlüsselverhandlung.... wobei ich das nicht so recht für mich selbst verständlich in Worte fassen kann.

Also im Grunde genommen bewerte ich das für mich trotzdem als nicht beunruhigend, weil ich sowieso SHA256 zur Paket-Authentifizierung verwende. Und so alte Geräte oder Software, die nur SHA1 unterstützt kenne ich gar nicht mehr. Ich bewerte das ganz ähnlich, wie auch RSA512 oder RSA1024 jetzt und RSA2048 in naher Zukunft outdated ist.... man verwendet es besser heute schon nicht mehr....

Lieg ich damit total daneben? :roll:

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: SHA-1 is a Shambles

Beitrag von uname » 23.01.2020 13:22:55

Ich verwende auch SHA256. Aber selbst wenn irgendeine Datei nur SHA-1 als Prüfsumme hätte würde ich dem vertrauen. Als ob irgendjemand ein schadhaftes Paket extra nachbaut. Im Windowsumfeld werden Prüfsummen meist gar nicht überprüft. Das erscheint mir dann weit riskanter. ;-) Ein wenig wie sich über schwache TLS/SSL-Verschlüsselung aufregen und dann besser gar keine verwenden, da der Browser dann vielleicht keine Fehlermeldung ausspuckt ;-)

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: SHA-1 is a Shambles

Beitrag von schorsch_76 » 23.01.2020 14:43:24

Das Problem ist, das SHA1 in git verwendet wird. git hat bisher keine Crypto-/Hashagilität. Das wird aber gerade nachgerüstet was sich aber als nicht so einfach erweist.

https://www.golem.de/news/hashfunktion- ... 39145.html

Ein Worst Case Szenario wäre, wenn jemand Linus Kernel Tree manipulert und die commit ID gleich bleibt. Jede SW die git als Versionsverwaltung nutzt ist davon betroffen. Subversion setzt auch auf SHA1.

https://www.bleepingcomputer.com/news/s ... ositories/

Joey Hess wie so ein Angriff aussehen würde:
https://lwn.net/Articles/715722/

TomL

Re: SHA-1 is a Shambles

Beitrag von TomL » 23.01.2020 15:28:17

uname hat geschrieben: ↑ zum Beitrag ↑
23.01.2020 13:22:55
Aber selbst wenn irgendeine Datei nur SHA-1 als Prüfsumme hätte würde ich dem vertrauen. Als ob irgendjemand ein schadhaftes Paket extra nachbaut.
Das sehe ich auch so, ich hätte mit solchen Paketen ebenfalls kein Problem. Ich sehe das größere Problem allerdings im Datentransport über Netzwerke, und gerade auch durchs Internet - was ja eigentlich durch TLS "beschützt" wird. Da besteht wahrscheinlich die Möglichkeit die Schlüsselverhandlung innerhalb des Diffie-Hellman-Algorithmus zu kompromittieren, wenn übertragene Pakete durch den Message-Auth nicht mehr sicher authentifiziert werden können. Und ist die Schlüsselverhandlung kompromittiert, ist es der anschließende Sitzungsschlüssel vermutlich auch. :roll:

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: SHA-1 is a Shambles

Beitrag von wanne » 24.01.2020 19:16:17

Da besteht wahrscheinlich die Möglichkeit die Schlüsselverhandlung innerhalb des Diffie-Hellman-Algorithmus zu kompromittieren, wenn übertragene Pakete durch den Message-Auth nicht mehr sicher authentifiziert werden können. Und ist die Schlüsselverhandlung kompromittiert, ist es der anschließende Sitzungsschlüssel vermutlich auch.
Ja. Aber bis jemand so schnell ist, dass er das machen kann werden vermutlich noch ein paar Jahre ins Land gehen. Problematischer ist es direkt das Zertifikat anzugreifen. Und dann mit gefälschtem Zertifikat zu falsche Inhalte auszuliefern. Chrome Akzeptiert Zertifikate deswegen per default schon seit Januar 2017 nicht mehr.
Aber die Welt ist weit größer als Browser. SHA1 ist leider super verbreitet. Ich wette dass bei so manchem Andmin noch die ein oder andere Anwendung rum steht die SHA1 macht und vor deren Update er sich seit Ewigkeiten drückt.
Da ist die Meldung, dass es jetzt langsam wirklich keine Ausreden mehr gibt ganz sinnvoll. Btw. ist sha1 verdammt oft eingebaut worden als SHA2 schon lange draßen war. Das finde ich ärgerlich. So wie jetzt wieder viele SHA2 nehmen obwohl es längst SHA3 gibt. Wenn schon erst jetzt umgerüstet wird dann doch bitte auf das aktuellste... Und nicht immer bis auf den letzten Moment warten, bis es wirklich ganz kaputt ist.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten