1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hashfunktion: Der schwierige Abschied…

Auch GnuPG nutzt überall noch SHA1

  1. Thema

Neues Thema Ansicht wechseln


  1. Auch GnuPG nutzt überall noch SHA1

    Autor: Natanji 30.03.17 - 16:02

    Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe noch keinerlei Plan, davon endlich abzurücken.

    Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.

    Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System, die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das ist dann auch ein Problem für z.B. Paketmanager.

    Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

  2. Re: Auch GnuPG nutzt überall noch SHA1

    Autor: Rocky Horror Picture Show 01.04.17 - 03:36

    Natanji schrieb:
    --------------------------------------------------------------------------------
    > Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe
    > noch keinerlei Plan, davon endlich abzurücken.
    >
    > Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen
    > zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision
    > ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben
    > dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.
    >
    > Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort
    > sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System,
    > die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das
    > ist dann auch ein Problem für z.B. Paketmanager.
    >
    > Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu
    > nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

    Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes verwenden: SHA256, SHA384, SHA512, SHA224. In der Standardeinstellung wird SHA256 bevorzugt. Wem das nicht gefällt, kann diese Standardeinstellung auch ändern. Meine Einstellung z. B. sieht so aus: SHA512, SHA384, SHA256, SHA224, SHA1.

    Außerdem basiert GPG nicht auf Chain of Trust.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. STRABAG BRVZ GmbH & Co. KG, Köln
  2. M+C SCHIFFER GmbH, Neustadt (Wied)
  3. Chemnitzer Verlag und Druck GmbH & Co. KG, Chemnitz
  4. INFODAS, Nordrhein-Westfalen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 7,99€
  2. 44,49€
  3. (-82%) 11,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen Pro 4750G/4650G im Test: Die mit Abstand besten Desktop-APUs
Ryzen Pro 4750G/4650G im Test
Die mit Abstand besten Desktop-APUs

Acht CPU-Kerne und flotte integrierte Grafik: AMDs Renoir verbindet Zen und Vega überzeugend in einem Chip.
Ein Test von Marc Sauter

  1. AMD Ryzen Threadripper Pro unterstützen 2 TByte RAM
  2. Ryzen 3000XT im Test Schneller dank Xtra Transistoren
  3. Ryzen 4000 (Vermeer) "Zen 3 erscheint wie geplant 2020"

Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer


    Mars 2020: Was ist neu am Marsrover Perseverance?
    Mars 2020
    Was ist neu am Marsrover Perseverance?

    Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
    Von Frank Wunderlich-Pfeiffer