News

Microsoft erweitert Unterstützung für SHA-2 und TLS in Windows

Ein IT-Unternehmen nach dem anderen befreit sich von dem kryptografischen Algorithmus SHA-1, unzuverlässig und zu Kollisionen neigend wie er ist.

Microsoft gehört zu den ersten Unternehmen, die ihre Kunden von SHA-1 wegführen wollen, und hat eine dementsprechende interne Verordnung herausgegeben, die verfügt, dass seine Entwickler den Algorithmus nach Januar 2016 nicht mehr zum Signieren von Code oder Zertifikaten verwenden werden.

Unter dem Schwall der Sicherheitsupdates am Patch-Dienstag letzter Woche tat Microsoft mit der Veröffentlichung zweier Bekanntmachungen noch einen weiteren wichtigen Schritt. Die eine Mitteilung informiert die Anwender darüber, dass das Unternehmen den Algorithmus SHA-2 für Windows 7 und Windows Server 2008 R2 verfügbar gemacht hat. Die zweite beinhaltet ein Update für die Microsoft EAP-Implementierung, das die Verwendung von Transport Layer Security (TLS) 1.1 oder 1.2 ermöglicht.

SHA-1-Kollisionen waren lange Jahre nur theoretisch möglich. Kollisionen treten auf, wenn es einem Cyberkriminellen gelingt, ein Zertifikat mit derselben Signatur zu erstellen wie bei dem Originalzertifikat. Obgleich das mathematisch möglich ist, macht die Durchführung einer Kollisions-Attacke selbst gegen einen schwachen SHA-1 erhebliche Hardware-Ressourcen erforderlich.

Doch diese Kluft schließt sich zusehends. Im Jahr 2012 veröffentlichte Bruce Schneier eine Studie, in der er zu dem Schluss kam, dass Kollisionen ab dem Jahr 2018 für die meisten Hacker erreichbar sein werden. Gemäß den von Jesse Walker angestellten Berechnungen auf der Grundlage des Preises von Mikroprozessoren und davon ausgehend, dass das Mooresche Gesetz auch noch im nächsten Jahrzehnt seine Gültigkeit behalten wird, werden die Serverkosten bei Amazon um die 173.000 Dollar betragen, was sich im Rahmen der finanziellen Möglichkeiten von kriminellen Gruppierungen oder Regierungsinstitutionen befindet.

Die Verwendung gefälschter Zertifikate ermöglicht es einem Übeltäter, sich als Microsoft, Google oder als eine beliebige andere Site seiner Wahl auszugeben, und dabei den Web-Traffic und die persönliche Kommunikation zu gefährden. Google und Mozilla haben ihren Leitfaden zur Abkehr von SHA-1 bekanntgegeben. Beginnend mit dem erwarteten Chrome-Release im November wird der Google-Browser Websites nicht länger vertrauen, deren Zertifikatsketten mit SHA-1 signiert sind. Mozilla bittet unterdessen Zertifikatsstellen und Websites, auf kryptografisch stärkere Versionen des Algorithmus‘ upzugraden, und erklärte, dass es Zertifikaten mit der Version SHA-1 nach dem 1. Januar 2017 nicht mehr vertrauen wird.

Die Entscheidung von Microsoft, die Version SHA-2 für Windows 7 verfügbar zu machen, bedeutet, dass dieses Betriebssystem nun auch zu den Windows-Versionen gehört, die SHA-2 bereits unterstützen, nämlich Windows 8 und 8.1, Windows Server 2012 und 2012 R2, Windows RT und RT 8.1. Laut Microsoft unterstützen Windows 8 und neuere Versionen den Algorithmus bereits in der Standardeinstellung und es ist kein Update erforderlich, für Windows Server 2003, Windows Vista und Windows Server 2008 ist das Update dagegen nicht verfügbar.

Microsofts Entscheidung TLS für EAP-Implementierungen zu ermöglichen, fügt sich in die Bestrebungen des Unternehmens, seine Web-basierten Services zu verschlüsseln. Im Juli erkärte Microsoft, dass sein E-Mail-Dienst Outlook.com TLS-Verschlüsselung für ein- und ausgehende Mails unterstützt, als Ergänzung zu Perfect Forward Secrecy. Der Cloud-Speicher OneDrive unterstützt laut Angaben von Microsoft seit Juli nun ebenfalls Perfect Forward Secrecy. PFS randomisiert private Chiffrierungsschlüssel, das bedeutet, dass es nicht möglich ist, alte Nachrichten zu entschlüsseln, sollte der Schlüssel kompromittiert werden.

Das EAP, oder auch Extensible Authentication Protocol (Erweiterbares Authentifizierungsprotokoll), wird in Windows-Clients und –Servern verwendet. Nach Angaben von Microsoft unterstützen Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012 und Windows RT nach dem Update TLS über eine simple Modifizierung der Registry. Ein Hacker, der in der Lage ist, eine alte TLS-Version auszunutzen, kann eine „Man-in-the-Middle“-Attacke durchführen, den Traffic abfangen und Plain-Text-Informationen aus einer geschützten Sitzung stehlen.

Quelle:        Threatpost

Microsoft erweitert Unterstützung für SHA-2 und TLS in Windows

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach