Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hashfunktion: Der schwierige Abschied…

Auch GnuPG nutzt überall noch SHA1

  1. Thema

Neues Thema Ansicht wechseln


  1. Auch GnuPG nutzt überall noch SHA1

    Autor: Natanji 30.03.17 - 16:02

    Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe noch keinerlei Plan, davon endlich abzurücken.

    Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.

    Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System, die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das ist dann auch ein Problem für z.B. Paketmanager.

    Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

  2. Re: Auch GnuPG nutzt überall noch SHA1

    Autor: Rocky Horror Picture Show 01.04.17 - 03:36

    Natanji schrieb:
    --------------------------------------------------------------------------------
    > Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe
    > noch keinerlei Plan, davon endlich abzurücken.
    >
    > Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen
    > zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision
    > ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben
    > dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.
    >
    > Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort
    > sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System,
    > die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das
    > ist dann auch ein Problem für z.B. Paketmanager.
    >
    > Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu
    > nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

    Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes verwenden: SHA256, SHA384, SHA512, SHA224. In der Standardeinstellung wird SHA256 bevorzugt. Wem das nicht gefällt, kann diese Standardeinstellung auch ändern. Meine Einstellung z. B. sieht so aus: SHA512, SHA384, SHA256, SHA224, SHA1.

    Außerdem basiert GPG nicht auf Chain of Trust.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen bei München
  2. BüchnerBarella Holding GmbH & Co. KG, Gießen
  3. SP_Data GmbH & Co. KG, Herford
  4. BWI GmbH, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 34,99€
  2. 4,99€
  3. 4,99€
  4. 34,95€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

Anno 1800 im Test: Super aufgebaut
Anno 1800 im Test
Super aufgebaut

Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
Von Peter Steinlechner

  1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
  2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
  3. Systemanforderungen Anno 1800 braucht schnelle CPU

Linux: Wer sind die Debian-Bewerber?
Linux
Wer sind die Debian-Bewerber?

Nach schleppendem Beginn stellen sich vier Kandidaten als Debian Project Leader zur Wahl. Zwei von ihnen kommen aus dem deutschsprachigen Raum und stellen Golem.de ihre Ziele vor.
Von Fabian A. Scherschel

  1. Betriebssystem Debian-Entwickler tritt wegen veralteter Werkzeuge zurück
  2. Linux Debian-Update verhindert Start auf ARM-Geräten
  3. Apt Bug in Debian-Paketmanager feuert Debatte über HTTPS an

  1. Elektro-SUV: Audi reduziert E-Tron-Produktion wegen fehlender Akkus
    Elektro-SUV
    Audi reduziert E-Tron-Produktion wegen fehlender Akkus

    Audis erstes Elektro-SUV kann nicht in den gewünschten Stückzahlen gebaut werden, weil Akkus fehlen, heißt es aus informierten Kreisen. Statt 55.830 E-Tron sollen nur 45.242 Einheiten gebaut werden. Auch für ein anderes Elektro-Modell drohen Schwierigkeiten.

  2. Smarte Lautsprecher: Amazon und Google bieten Gratis-Musikstreaming
    Smarte Lautsprecher
    Amazon und Google bieten Gratis-Musikstreaming

    Amazon und Google wollen ihre digitalen Assistenten auf smarten Lautsprechern aufwerten. Dazu bieten beide Unternehmen ihre Musikstreamingdienste für Besitzer der smarten Lautsprecher kostenlos und dafür mit Werbeeinblendungen an. Aber es gibt viele weitere Beschränkungen.

  3. Remake: Agent XIII kämpft wieder um seine Identität
    Remake
    Agent XIII kämpft wieder um seine Identität

    Ein Mann ohne Erinnerung ist die Hauptfigur im 2003 veröffentlichten Actionspiel XIII, in dem es um nichts weniger geht als die Ermordung des Präsidenten der USA. Nun kündigen französische Entwickler eine Neuauflage an.


  1. 15:00

  2. 14:30

  3. 14:00

  4. 13:30

  5. 13:00

  6. 12:30

  7. 12:00

  8. 09:00