1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Chrome: Zertifizierungsstellen auf…

Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

  1. Thema

Neues Thema Ansicht wechseln


  1. Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: hugo765 06.09.14 - 21:30

    Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(
    Siehe hier: http://developer.android.com/reference/javax/net/ssl/SSLSocket.html


    Oracle ist nicht viel besser bei Java.

    Dabei gibt es schon seit 2012 SHA-3



    1 mal bearbeitet, zuletzt am 06.09.14 21:31 durch hugo765.

  2. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: hannob (golem.de) 06.09.14 - 22:07

    Du bringst da glaube ich was durcheinander. Der Link von Dir bezieht sich auf die Ciphersuiten, die für die Datenübertragung bei TLS verwendet werden.
    Das hat aber mit den Zertifikatssignaturen, um die es im Artikel geht, nichts zu tun. Bei TLS kommen auch Hash-Algorithmen zum Einsatz, allerdings für HMAC. Da sind Kollissionsangriffe kein Problem, insofern ist das deutlich weniger kritisch.

  3. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: hugo765 07.09.14 - 01:06

    Ahh, die Info kann ich gerade aktuell gut gebrauchen.
    Jedenfalls, wenn der Angreifer aber keinen normalen Man-in-the-middle-Angriff macht, sondern Daten verändern kann sieht das womöglich anders aus vermute ich.

    Denn laut englischer Wikipedia:
    "For example, HMACs are not vulnerable.[9] For the attack to be useful, the attacker must be in control of the input to the hash function."

    Aber ich denke die meisten Man-in-the-middle-Angriff sind nur mit Leserechten.

  4. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: Anonymer Nutzer 07.09.14 - 02:13

    hugo765 schrieb:
    --------------------------------------------------------------------------------
    > Jedenfalls, wenn der Angreifer aber keinen normalen
    > Man-in-the-middle-Angriff macht, sondern Daten verändern kann >sieht das womöglich anders aus vermute ich.

    Und was passiert bei einem normalen Janusangriff das dich dies vermuten lässt?

    > Denn laut englischer Wikipedia:
    > "For example, HMACs are not vulnerable.[9] For the attack to be useful, the
    > attacker must be in control of the input to the hash function."

    > Aber ich denke die meisten Man-in-the-middle-Angriff sind nur mit
    > Leserechten.

    Ist dieser einzelne Satz jetzt Grund für deine Vermutung?

    Wikipedia:
    "MACs unterscheiden sich von digitalen Signaturen darin, dass die Überprüfung des MACs Kenntnis desselben geheimen Schlüssels erfordert, der zu seiner Berechnung genutzt wurde.[8] Daher kann jeder, der einen MAC überprüfen kann, diesen auch berechnen;[8] entsprechend ist er nicht in der Lage, gegenüber Dritten zu beweisen, von wem die Nachricht stammt."

    Und wie soll die MAC in einem durch WPA oder WPA2 geschützten Netzwerk ausgelesen werden?

  5. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: Lord LASER 08.09.14 - 12:03

    > Dabei gibt es schon seit 2012 SHA-3

    Die Entscheidung für Keccak fiel 2012. Standardisiert ist es noch nicht. Es gibt von FIPS 202 (SHA-3) vorerst nur einen Draft (http://csrc.nist.gov/groups/ST/hash/sha-3/sha-3_standard_fips202.html).

    Man will mit SHA-3 auch gleich Dinge wie frei wählbare Bitlänge des Hashes, Treehashing, Salting und MAC Operationen mitstandardisieren (http://csrc.nist.gov/groups/ST/hash/sha-3/documents/Keccak-slides-at-NIST.pdf). Eile brauchts da nicht, SHA2 gilt als sicher.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadt Norderstedt, Norderstedt
  2. Deutsche Rentenversicherung Bund, Berlin
  3. Knorr-Bremse Systeme für Nutzfahrzeuge GmbH, Schwieberdingen
  4. BVV Versicherungsverein des Bankgewerbes a.G., Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmieren lernen: Informatik-Apps für Kinder sind oft zu komplex
Programmieren lernen
Informatik-Apps für Kinder sind oft zu komplex

Der Informatikunterricht an deutschen Schulen ist in vielen Bereichen mangelhaft. Apps versprechen, Kinder beim Spielen einfach an das Thema heranzuführen. Das können sie aber bislang kaum einhalten.
Von Tarek Barkouni

  1. Kano-PC Kano und Microsoft bringen Lern-Tablet mit Windows 10

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

Fitnesstracker im Test: Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
Fitnesstracker im Test
Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

Alle kosten um die 30 Euro, haben ähnliche Funktionen - trotzdem gibt es bei aktuellen Fitnesstrackern von Aldi, Honor und Xiaomi spürbare Unterschiede. Als größte Stärke des Geräts von Aldi empfanden wir kurioserweise eine technische Schwäche.
Von Peter Steinlechner

  1. Wearable Acer und Vatikan präsentieren smarten Rosenkranz
  2. Apple Watch Series 5 im Test Endlich richtungsweisend
  3. Suunto 5 Sportuhr mit schlauem Akku vorgestellt

  1. Vodafone: Kabelfernsehkunden sterben in Zukunft aus
    Vodafone
    Kabelfernsehkunden sterben in Zukunft aus

    Vodafone sieht bei jungen Menschen wenig Interesse, Kabelfernsehen zu abonnieren. Ein deutscher Netflix-Manager sprach über den Streaminganbieter.

  2. FBI-Wunsch: Apple verzichtete auf iCloud-Verschlüsselung
    FBI-Wunsch
    Apple verzichtete auf iCloud-Verschlüsselung

    Apple war einer Bitte des FBI laut der Nachrichtenagentur Reuters nachgekommen und verzichtete auf die Einführung verschlüsselter iPhone-Backups in der iCloud. Apple habe einem Streit mit Beamten aus dem Weg gehen wollen, erklärte eine Reuters-Quelle - geholfen hat es indes nicht.

  3. Rainbow Six Siege: Ubisoft verklagt DDoS-Anbieter
    Rainbow Six Siege
    Ubisoft verklagt DDoS-Anbieter

    Seit Monaten gibt es DDOS-Angriffe gegen Rainbow Six Siege, nun klagt Ubisoft gegen einen Anbieter. Der offeriert das Lahmlegen der Server ab 150 Euro, offenbar stecken auch Deutsche hinter den Attacken.


  1. 19:21

  2. 18:24

  3. 17:16

  4. 17:01

  5. 16:47

  6. 16:33

  7. 15:24

  8. 15:09