Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hashfunktion: Der schwierige Abschied…

Auch GnuPG nutzt überall noch SHA1

  1. Thema

Neues Thema Ansicht wechseln


  1. Auch GnuPG nutzt überall noch SHA1

    Autor: Natanji 30.03.17 - 16:02

    Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe noch keinerlei Plan, davon endlich abzurücken.

    Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.

    Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System, die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das ist dann auch ein Problem für z.B. Paketmanager.

    Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

  2. Re: Auch GnuPG nutzt überall noch SHA1

    Autor: Rocky Horror Picture Show 01.04.17 - 03:36

    Natanji schrieb:
    --------------------------------------------------------------------------------
    > Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe
    > noch keinerlei Plan, davon endlich abzurücken.
    >
    > Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen
    > zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision
    > ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben
    > dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.
    >
    > Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort
    > sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System,
    > die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das
    > ist dann auch ein Problem für z.B. Paketmanager.
    >
    > Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu
    > nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

    Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes verwenden: SHA256, SHA384, SHA512, SHA224. In der Standardeinstellung wird SHA256 bevorzugt. Wem das nicht gefällt, kann diese Standardeinstellung auch ändern. Meine Einstellung z. B. sieht so aus: SHA512, SHA384, SHA256, SHA224, SHA1.

    Außerdem basiert GPG nicht auf Chain of Trust.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. speisekarte.de, Nürnberg
  2. Arburg GmbH & Co. KG, Loßburg
  3. akf bank GmbH & Co KG, Wuppertal
  4. PTV GROUP, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 4,95€ anstatt 9,95€ pro Monat
  2. 188€ (Vergleichspreis 214,49€)
  3. 144,90€ (Vergleichspreis 173,90€)
  4. 319€ + Versand (Vergleichspreis 357,47€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

Coachingbuch: Metapher mit Mängeln
Coachingbuch
Metapher mit Mängeln

Der Persönlichkeitscoach Thomas Hohensee plädiert in seinem neuen Buch dafür, problematische Kindheitsmuster zu behandeln wie schadhafte Programme auf einem Rechner: mit Reset, Updates und Neustart. Ein origineller Ansatz - aber hält er dem Thema stand?
Von Cornelia Birr

  1. Elektronisch Arzneimittelrezept kommt auf Smartphone
  2. Relayr Rückstandsglaube als Startup-Vorteil
  3. Liberty Global Ericsson übernimmt Netzwerkbetrieb bei Unitymedia

Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

  1. FTTH/B: Nur 8,5 Prozent der deutschen Haushalte haben Glasfaser
    FTTH/B
    Nur 8,5 Prozent der deutschen Haushalte haben Glasfaser

    Besonders in Bundesländern ohne kommunale Netzbetreiber sieht die Glasfaserversorgung (FTTB/H) schlimm aus. Das belegen aktuelle Angaben der Bundesregierung. Schleswig-Holstein steht wegen seiner klugen Förderpolitik am besten da.

  2. Buglas: Stadtnetzbetreiber wollen Open Access für 5G-Netze
    Buglas
    Stadtnetzbetreiber wollen Open Access für 5G-Netze

    Kommunale Netzbetreiber haben eigene Pläne für lokale Mobilfunknetze. Anderen Netzbetreibern will man Open-Access-Zugang gewähren.

  3. Förderung: Verzicht auf Vectoring kostet viele Millionen Euro
    Förderung
    Verzicht auf Vectoring kostet viele Millionen Euro

    Das Upgrade von Vectoring auf Glasfaser für die Kommunen kostet einige hundert Millionen Euro. Doch auch andere Kosten steigen stark an.


  1. 22:01

  2. 21:24

  3. 20:49

  4. 20:12

  5. 18:52

  6. 18:05

  7. 17:57

  8. 17:27