Das Ende des SHA-1 Algorithmus ist gekommen

Im Oktober ist es mittels einem kleinen GPU Cluster gelungen den SHA-1 Algorithmus zeitnah und kostengünstig mit einer Collision-Attack anzugreifen. Das Ergebnis daraus, ist eine dringende Warnung der Wissenschaftler SHA-1 nicht mehr bis Ende 2016 zu verwenden, sondern diesen schon deutlich früher abzuschaffen. Neben Google und Mozilla will jetzt auch Microsoft SHA-1 schon früher auf die “Blacklist” setzen. Dies hat weitreichende Auswirkungen auf die eigene IT Infrastruktur und bedeutet zudem einen akuten Handlungsbedarf.

Das Ende von SHA-1 hat tiefreichende Auswirkungen auf die gesamte IT Landschaft eines Unternehmens. Vor allem betrifft das Ende von SHA-1 eben nicht “die anderen” die was tun müssen, sondern jeden, der die Betriebsverantwortung innehat. Die Zertifikate von Webservern ist nur die Spitze des Eisbergs von den Auswirkungen, wenn SHA-1 nicht mehr unterstützt wird. Betroffen sind aber weit aus mehr Systeme und die Zeit drängt.

  • Administrative Zugänge
  • Embedded Systems
  • Netzwerkkomponenten: Modems, Router, Switches, Firewalls, WLAN, …
  • VPN Verbindungen
  • Remote Access, wie RemoteApp oder Citrix
  • OWA, ActiveSync, Outlook Anywhere
  • Mail Server
  • Management Systeme
  • Monitoring Systeme
  • Produktionsanlagen

Die Liste ließe sich noch viel weiter fortführen, aber diese Beispiele zeigen schon die massiven Auswirkungen, wenn SHA-1 nicht mehr funktioniert. Daher gibt es hier Handlungsbedarf alle betroffenen Systeme ausfindig zu machen, diese zu prüfen, zu aktualisieren und ggf. diese zu ersetzen, wenn es keine passende Unterstützung vom Hersteller mehr gibt. Dies gilt auch für VPN Verbindungen. Hier müssen alle Verbindungen hinsichtlich der Verwendung von SHA-1 hin geprüft und aktualisiert werden. Es ist auch nicht mehr viel Zeit um das Problem erst in weiter Zukunft zu sehen. Dieses Jahr ist so gut wie zu Ende und die erste Jahreshälfte in 2016 ist ebenfalls schnell vorüber, bei den vielen Komponenten, die geprüft werden müssen. Warten und Aussitzen führt unweigerlich und sehenden Auges ins Verderben.

Die Aufgabe die nun ansteht ist zu prüfen, welche Systeme denn davon alle betroffen sind. Bei der Menge an Systemen, die eine WebGUI nutzen und den vielen “Altlasten” muss hier entsprechend viel Zeit investiert werden. Sind die betroffenen Systeme gefunden, geht es damit weiter zu prüfen, wie diese auf einen aktuellen Stand gebracht werden können oder welche Alternativen es gibt. Zu den Systemen mit WebGUI kommen noch die hinzu, die SHA-1 zum Zwecke der Verschlüsselung von Verbindungen nutzen. Das Ende von SHA-1 ist viel umfassender als es auf dem Ersten Blick scheint.

Hier eine kleine Zusammenfassung von Artikeln und Informationen zum Ende von SHA-1.

Todesstoß für SHA-1

Google Chrome

Mozilla

Heise Artikel Microsoft

Microsoft Blog