1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Chrome: Zertifizierungsstellen…

Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: hugo765 06.09.14 - 21:30

    Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(
    Siehe hier: http://developer.android.com/reference/javax/net/ssl/SSLSocket.html


    Oracle ist nicht viel besser bei Java.

    Dabei gibt es schon seit 2012 SHA-3



    1 mal bearbeitet, zuletzt am 06.09.14 21:31 durch hugo765.

  2. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: hab (Golem.de) 06.09.14 - 22:07

    Du bringst da glaube ich was durcheinander. Der Link von Dir bezieht sich auf die Ciphersuiten, die für die Datenübertragung bei TLS verwendet werden.
    Das hat aber mit den Zertifikatssignaturen, um die es im Artikel geht, nichts zu tun. Bei TLS kommen auch Hash-Algorithmen zum Einsatz, allerdings für HMAC. Da sind Kollissionsangriffe kein Problem, insofern ist das deutlich weniger kritisch.

  3. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: hugo765 07.09.14 - 01:06

    Ahh, die Info kann ich gerade aktuell gut gebrauchen.
    Jedenfalls, wenn der Angreifer aber keinen normalen Man-in-the-middle-Angriff macht, sondern Daten verändern kann sieht das womöglich anders aus vermute ich.

    Denn laut englischer Wikipedia:
    "For example, HMACs are not vulnerable.[9] For the attack to be useful, the attacker must be in control of the input to the hash function."

    Aber ich denke die meisten Man-in-the-middle-Angriff sind nur mit Leserechten.

  4. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: Anonymer Nutzer 07.09.14 - 02:13

    hugo765 schrieb:
    --------------------------------------------------------------------------------
    > Jedenfalls, wenn der Angreifer aber keinen normalen
    > Man-in-the-middle-Angriff macht, sondern Daten verändern kann >sieht das womöglich anders aus vermute ich.

    Und was passiert bei einem normalen Janusangriff das dich dies vermuten lässt?

    > Denn laut englischer Wikipedia:
    > "For example, HMACs are not vulnerable.[9] For the attack to be useful, the
    > attacker must be in control of the input to the hash function."

    > Aber ich denke die meisten Man-in-the-middle-Angriff sind nur mit
    > Leserechten.

    Ist dieser einzelne Satz jetzt Grund für deine Vermutung?

    Wikipedia:
    "MACs unterscheiden sich von digitalen Signaturen darin, dass die Überprüfung des MACs Kenntnis desselben geheimen Schlüssels erfordert, der zu seiner Berechnung genutzt wurde.[8] Daher kann jeder, der einen MAC überprüfen kann, diesen auch berechnen;[8] entsprechend ist er nicht in der Lage, gegenüber Dritten zu beweisen, von wem die Nachricht stammt."

    Und wie soll die MAC in einem durch WPA oder WPA2 geschützten Netzwerk ausgelesen werden?

  5. Re: Erst ab Android L unterstützt Android nativ SHA-2 im TLS :(

    Autor: Lord LASER 08.09.14 - 12:03

    > Dabei gibt es schon seit 2012 SHA-3

    Die Entscheidung für Keccak fiel 2012. Standardisiert ist es noch nicht. Es gibt von FIPS 202 (SHA-3) vorerst nur einen Draft (http://csrc.nist.gov/groups/ST/hash/sha-3/sha-3_standard_fips202.html).

    Man will mit SHA-3 auch gleich Dinge wie frei wählbare Bitlänge des Hashes, Treehashing, Salting und MAC Operationen mitstandardisieren (http://csrc.nist.gov/groups/ST/hash/sha-3/documents/Keccak-slides-at-NIST.pdf). Eile brauchts da nicht, SHA2 gilt als sicher.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Systemadministrator*in (m/w/d) Serversysteme Produktions-IT
    SCHOTT AG, Mitterteich
  2. Trainee (w/m/d) IT System Engineer / Workplace
    Computacenter AG & Co. oHG, verschiedene Standorte
  3. Software Entwickler Digitalisierung (m/w/d)
    Bauhaus AG, Mannheim
  4. SAP CO Experte - SAP R/3 und S/4 HANA (m/w/d)
    Gebr. Heller Maschinenfabrik GmbH, Nürtingen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 359€
  2. (u. a. LG OLED65C17LB für 1.499€ inkl. 200€ Direktabzug)
  3. danach 7,99€/Monat für Prime-Mitglieder (sonst 9,99€) - jederzeit kündbar
  4. 756,29€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minidisc gegen DCC: Der vergessene Formatkrieg der 90er-Jahre
Minidisc gegen DCC
Der vergessene Formatkrieg der 90er-Jahre

Vor 30 Jahren hat Sony die Minidisc als Nachfolger der Kompaktkassette angekündigt - und Philips die Digital Compact Cassette. Dass sich an diese nur noch Geeks erinnern, hat Gründe.
Von Tobias Költzsch


    Probefahrt mit BMW i4 M50: Für mehr Freude am Fahren
    Probefahrt mit BMW i4 M50
    Für mehr Freude am Fahren

    Der neue BMW i4 M50 bringt seine 400 kW Motorleistung sehr souverän auf die Straße. Und das auf einer Verbrennerplattform.
    Ein Bericht von Friedhelm Greis

    1. Daymak Spiritus Elektroauto macht Krypto-Mining auf drei Rädern
    2. Foxconn Eigene Elektroautos unter dem Namen Foxtron vorgestellt
    3. E-Kleinstwagen Microlino bekommt ein Exoskelett als Offroader

    New World im Test: Amazon liefert ordentlich Abenteuer
    New World im Test
    Amazon liefert ordentlich Abenteuer

    Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
    Von Peter Steinlechner

    1. New World Exploit macht Spieler unbesiegbar und unbeweglich
    2. New World Kommunikations-Bug wird für einige Spieler zu Katastrophe
    3. Amazon Games New World meldet inaktive Spieler ab