1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Chrome: Zertifizierungsstellen auf…

Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: hugo765 06.09.14 - 21:30

    Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(
    Siehe hier: http://developer.android.com/reference/javax/net/ssl/SSLSocket.html


    Oracle ist nicht viel besser bei Java.

    Dabei gibt es schon seit 2012 SHA-3



    1 mal bearbeitet, zuletzt am 06.09.14 21:31 durch hugo765.

  2. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: hab (Golem.de) 06.09.14 - 22:07

    Du bringst da glaube ich was durcheinander. Der Link von Dir bezieht sich auf die Ciphersuiten, die für die Datenübertragung bei TLS verwendet werden.
    Das hat aber mit den Zertifikatssignaturen, um die es im Artikel geht, nichts zu tun. Bei TLS kommen auch Hash-Algorithmen zum Einsatz, allerdings für HMAC. Da sind Kollissionsangriffe kein Problem, insofern ist das deutlich weniger kritisch.

  3. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: hugo765 07.09.14 - 01:06

    Ahh, die Info kann ich gerade aktuell gut gebrauchen.
    Jedenfalls, wenn der Angreifer aber keinen normalen Man-in-the-middle-Angriff macht, sondern Daten verändern kann sieht das womöglich anders aus vermute ich.

    Denn laut englischer Wikipedia:
    "For example, HMACs are not vulnerable.[9] For the attack to be useful, the attacker must be in control of the input to the hash function."

    Aber ich denke die meisten Man-in-the-middle-Angriff sind nur mit Leserechten.

  4. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: Anonymer Nutzer 07.09.14 - 02:13

    hugo765 schrieb:
    --------------------------------------------------------------------------------
    > Jedenfalls, wenn der Angreifer aber keinen normalen
    > Man-in-the-middle-Angriff macht, sondern Daten verändern kann >sieht das womöglich anders aus vermute ich.

    Und was passiert bei einem normalen Janusangriff das dich dies vermuten lässt?

    > Denn laut englischer Wikipedia:
    > "For example, HMACs are not vulnerable.[9] For the attack to be useful, the
    > attacker must be in control of the input to the hash function."

    > Aber ich denke die meisten Man-in-the-middle-Angriff sind nur mit
    > Leserechten.

    Ist dieser einzelne Satz jetzt Grund für deine Vermutung?

    Wikipedia:
    "MACs unterscheiden sich von digitalen Signaturen darin, dass die Überprüfung des MACs Kenntnis desselben geheimen Schlüssels erfordert, der zu seiner Berechnung genutzt wurde.[8] Daher kann jeder, der einen MAC überprüfen kann, diesen auch berechnen;[8] entsprechend ist er nicht in der Lage, gegenüber Dritten zu beweisen, von wem die Nachricht stammt."

    Und wie soll die MAC in einem durch WPA oder WPA2 geschützten Netzwerk ausgelesen werden?

  5. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: Lord LASER 08.09.14 - 12:03

    > Dabei gibt es schon seit 2012 SHA-3

    Die Entscheidung für Keccak fiel 2012. Standardisiert ist es noch nicht. Es gibt von FIPS 202 (SHA-3) vorerst nur einen Draft (http://csrc.nist.gov/groups/ST/hash/sha-3/sha-3_standard_fips202.html).

    Man will mit SHA-3 auch gleich Dinge wie frei wählbare Bitlänge des Hashes, Treehashing, Salting und MAC Operationen mitstandardisieren (http://csrc.nist.gov/groups/ST/hash/sha-3/documents/Keccak-slides-at-NIST.pdf). Eile brauchts da nicht, SHA2 gilt als sicher.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Fachinformatiker (m/w/d) Systemintegration für den IT-Support
    Goldbeck GmbH, verschiedene Standorte
  2. DevOps Engineer (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  3. PreSales Solution Architect (w/m/d) im Vertriebsinnendienst
    Ascom Deutschland GmbH, Ratingen, Berlin, Frankfurt am Main
  4. HMI / SCADA Programmierer (m/w/d)
    OPTIMA pharma GmbH, Schwäbisch Hall

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Resident Evil: Retribution für 23,99€, Hellboy 2: Die goldene Armee für 24,86€, Shaun...
  2. Prime-Video 30 Tage gratis nutzen - danach 7,99€/Monat, jederzeit kündbar
  3. 744€
  4. (u. a. Indie & Action Promo (u. a. Warhammer 40.000: Space Wolf für 3,99€, Strategy & Tactics...


Haben wir etwas übersehen?

E-Mail an news@golem.de