1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hashfunktion: Der schwierige Abschied…

Auch GnuPG nutzt überall noch SHA1

  1. Thema

Neues Thema Ansicht wechseln


  1. Auch GnuPG nutzt überall noch SHA1

    Autor: Natanji 30.03.17 - 16:02

    Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe noch keinerlei Plan, davon endlich abzurücken.

    Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.

    Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System, die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das ist dann auch ein Problem für z.B. Paketmanager.

    Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

  2. Re: Auch GnuPG nutzt überall noch SHA1

    Autor: Rocky Horror Picture Show 01.04.17 - 03:36

    Natanji schrieb:
    --------------------------------------------------------------------------------
    > Die Fingerprints bei GPG sind SHA1 Hashes und es gibt soweit ich das sehe
    > noch keinerlei Plan, davon endlich abzurücken.
    >
    > Das ist insofern noch kein Problem, weil bisherige Verfahren um Kollisionen
    > zu finden soweit ich das verstehe darauf angewiesen sind, für die Kollision
    > ans Ende der "Originaldaten" noch weitere Daten anzufügen. Schlüssel haben
    > dagegen eine feste Länge und somit ist das noch relativ kollisionssicher.
    >
    > Aber das wird halt nicht so bleiben, und dann sind halt plötzlich sofort
    > sämtliche GPG-Signaturen anzweifelbar. Das bedeutet, das komplette System,
    > die komplette Chain of Trust auf der GPG basiert, bricht zusammen. Und das
    > ist dann auch ein Problem für z.B. Paketmanager.
    >
    > Dass heutzutage nicht einmal die *Möglichkeit* besteht z.B. SHA-256 zu
    > nutzen für die Fingerprints, sehe ich als Versagen von GnuPG.

    Der Fingerprint ist keine Signatur. Für die Signatur kann GPG außerdem folgende Hashes verwenden: SHA256, SHA384, SHA512, SHA224. In der Standardeinstellung wird SHA256 bevorzugt. Wem das nicht gefällt, kann diese Standardeinstellung auch ändern. Meine Einstellung z. B. sieht so aus: SHA512, SHA384, SHA256, SHA224, SHA1.

    Außerdem basiert GPG nicht auf Chain of Trust.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Vorwerk & Co. KG, Wuppertal
  2. Lidl Digital, Neckarsulm
  3. Stadtwerke München GmbH, München
  4. Fachhochschule Potsdam, Potsdam

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (aktuell u. a. EA-Aktion (u. a. FIFA 20 für 14,50€), Rage 2 für 11€, The Elder Scrolls V...
  2. 224,19€ (bei lego.com)
  3. (u. a. Asus VivoBook 14 S413IA-EB166T 14 Zoll Ryzen 5 8GB 512GB SSD für 730,13€, Asus VivoBook...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmierer als Künstler: Von der Freiheit, Neues in Code zu denken
Programmierer als Künstler
Von der Freiheit, Neues in Code zu denken

Abgabetermine und Effizienzansprüche der Auftraggeber drängen viele dazu, Code nach Schema F abzuliefern. Dabei kann viel Gutes entstehen, wenn man Programmieren als Form von Kunst betrachtet.
Von Maja Hoock

  1. Ubuntu Canonical unterstützt Flutter-Framework unter Linux
  2. Complex Event Processing Informationen fast in Echtzeit auswerten
  3. Musik Software generiert Nirvana-Songtexte

Zero SR/S: Brutale Beschleunigung, lange Ladezeiten
Zero SR/S
Brutale Beschleunigung, lange Ladezeiten

Motorradfahrern drohen Fahrverbote mit lärmenden Maschinen. Ist ein Elektromotorrad wie die Zero SR/S eine leise Alternative zum Verbrenner?
Ein Erfahrungsbericht von Peter Ilg

  1. Platzsparend Yamaha enthüllt kompakte Elektromotoren für Motorräder
  2. Blacktea Elektro-Moped mit 70 km Reichweite ab 2.300 Euro
  3. Akzeptable Reichweite Pursang E-Track als leichtes Elektromotorrad für Pendler

Mars 2020: Was ist neu am Marsrover Perseverance?
Mars 2020
Was ist neu am Marsrover Perseverance?

Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
Von Frank Wunderlich-Pfeiffer