1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hashfunktion: Der schwierige Abschied…

Auch GnuPG nutzt überall noch SHA1

  1. Thema

Neues Thema Ansicht wechseln


  1. Auch GnuPG nutzt überall noch SHA1

    Autor: Natanji 30.03.17 - 16:02

    Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe noch keinerlei Plan, davon endlich abzurücken.

    Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.

    Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System, die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das ist dann auch ein Problem für z.B. Paketmanager.

    Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

  2. Re: Auch GnuPG nutzt überall noch SHA1

    Autor: Rocky Horror Picture Show 01.04.17 - 03:36

    Natanji schrieb:
    --------------------------------------------------------------------------------
    > Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe
    > noch keinerlei Plan, davon endlich abzurücken.
    >
    > Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen
    > zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision
    > ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben
    > dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.
    >
    > Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort
    > sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System,
    > die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das
    > ist dann auch ein Problem für z.B. Paketmanager.
    >
    > Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu
    > nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

    Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes verwenden: SHA256, SHA384, SHA512, SHA224. In der Standardeinstellung wird SHA256 bevorzugt. Wem das nicht gefällt, kann diese Standardeinstellung auch ändern. Meine Einstellung z. B. sieht so aus: SHA512, SHA384, SHA256, SHA224, SHA1.

    Außerdem basiert GPG nicht auf Chain of Trust.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Deutsches Patent- und Markenamt, München
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Hagen, Düsseldorf, Köln
  3. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  4. VARO Energy Germany GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 29,99€
  3. (-15%) 46,74€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kryptographie: Die europäische Geheimdienst-Allianz Maximator
Kryptographie
Die europäische Geheimdienst-Allianz Maximator

Mit der Maximator-Allianz haben fünf europäische Länder einen Gegenpart zu den angelsächsischen Five Eyes geschaffen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Security Bundestagshacker kopierten Mails aus Merkels Büro
  2. Trumps Smoking Gun Vodafone und Telefónica haben keine Huawei-Hintertür
  3. Sicherheitsforscher Daten durch Änderung der Bildschirmhelligkeit ausleiten

Echo Auto im Test: Tolle Sprachsteuerung und neue Alexa-Funktionen
Echo Auto im Test
Tolle Sprachsteuerung und neue Alexa-Funktionen

Im Auto ist die Alexa-Sprachsteuerung noch praktischer als daheim. Amazon hat bei Echo Auto die wichtigsten Einsatzzwecke im Fahrzeug bedacht.
Ein Test von Ingo Pakalski

  1. Echo Auto Amazon bringt Alexa für 60 Euro ins Auto
  2. Echo Flex mit zwei Modulen im Test Gut gedacht, mäßig gemacht
  3. Amazon Zahlreiche Echo-Modelle nicht mehr bis Weihnachten lieferbar

Materiejets aus schwarzem Loch: Schneller als das Licht?
Materiejets aus schwarzem Loch
Schneller als das Licht?

Das schwarze Loch stößt Materie mit einer Geschwindigkeit aus, die wie Überlichtgeschwindigkeit aussieht.
Ein Bericht von Andreas Lutter

  1. Oumuamua Ein ganz normal merkwürdiger interstellarer Asteroid

  1. Amazon: Prime Video erhält Profile
    Amazon
    Prime Video erhält Profile

    Amazon liefert eine immer wieder gewünschte Funktion in Prime Video nach und erlaubt künftig Profile für bis zu sechs Zuschauer.

  2. Chilisoße: Tencent offenbar von Game-Key-Betrügern reingelegt
    Chilisoße
    Tencent offenbar von Game-Key-Betrügern reingelegt

    Einen hohen Schaden sollen Betrüger bei Tencent verursacht haben - mit einem vorgetäuschten E-Sport-Deal rund um Chilisoße.

  3. Motorola: Moto G 5G Plus kostet ab 350 Euro
    Motorola
    Moto G 5G Plus kostet ab 350 Euro

    Mit dem Moto G 5G Plus bringt Motorola den schnellen Netzstandard ins Mittelklassesegment. Dazu kommen eine Vierfachkamera und ein großer Akku.


  1. 17:00

  2. 16:58

  3. 16:03

  4. 15:50

  5. 15:34

  6. 15:15

  7. 15:00

  8. 14:51