Sind Sie bereit für die Umstellung auf SHA-2?
Ist Ihr Unternehmen bereit für die Abschaffung von SHA-1? Die Fristen für die Umstellung auf SHA-2 stehen kurz bevor, und die Abschaffung rückt immer näher. Wie InfoWorld erklärt, galt SHA-1 einst als sicher, hat aber nachweislich kryptografische Schwachstellen. Sicherheitsexperten und Kryptographen sind der Meinung, dass SHA-1-Hash nicht mehr sicher ist - unddass seine Lebensdauer schnell abnimmt.
Eine kurze Zusammenfassung für alle, die mit SHA-1 und SHA-2 nicht vertraut sind:
- Hash-Werte tragen dazu bei, die Integrität eines bestimmten Datenteils zu gewährleisten, da sie praktisch garantiert eindeutig und unvorhersehbar sind. Secure Hash Algorithm (SHA) ist eine Art kryptografische Hash-Funktion, mit der sichergestellt werden kann, dass Daten nicht verändert worden sind.
- Die Nationale Sicherheitsbehörde (NSA) hat SHA-1 im Jahr 1995 entwickelt. Es handelt sich dabei um eine 160-Bit-Hash-Funktion, d. h., jede mögliche Datenmenge wird in eine 160-Bit-Zahl zerlegt.
- Bis vor kurzem war SHA-1 weit verbreitet und wurde von den meisten Geräten und Systemen unterstützt, die kryptografische Hash-Funktionen verwenden.
- Im Jahr 2002 wurde SHA-2 zum neuen empfohlenen Hashing-Standard. SHA-2 wird oft als SHA-2-Familie von Hashes bezeichnet, weil es Hashes verschiedener Größen enthält, darunter 224-, 256-, 384- und 512-Bit-Digests, und als kryptografisch stark gilt. Der in SHA-2 verwendete Verschlüsselungshash ist wesentlich stärker und unterliegt nicht denselben Schwachstellen wie SHA-1.
Im Wesentlichen ist SHA-1 nicht mehr stark, SHA-2 ist die sicherere Alternative, und alle Organisationen sollten den Übergang vollziehen. Das Risiko, weiterhin SHA-1-Zertifikate zu verwenden, ist unbestreitbar.
Aktualisierungen der Abschreibungsfristen
Der 31. Dezember 2016 ist das offizielle Datum für die Abschaffung von SHA-1. Wie InfoWorld berichtet, habenleider nicht alle Anbieter die gleichen Auslaufdaten - unddiese ändern sich ständig, was ein Grund mehr ist, die SHA-2-Migration so bald wie möglich abzuschließen.
Wie es aussieht, hat Microsoft seine Frist auf den 14. Februar 2017 verschoben. Google hat angekündigt, dass HTTP-Websites, deren Zertifikatsketten SHA-1 verwenden und nach dem 1.1.17 gültig sind, in der Benutzeroberfläche von Chrome nicht mehr als vollständig vertrauenswürdig erscheinen.
Schnittstelle. Am 20.10.15 kündigte Mozilla eine Neubewertung des Zeitpunkts an, ab dem alle SHA-1-Zertifikate SSL abgelehnt werden sollten (unabhängig davon, wann sie ausgestellt wurden). Der Plan war weiterhin, diese Änderung am 1.1.17 vorzunehmen, aber angesichts der jüngsten Angriffe auf SHA-1 erwog Mozilla auch die Möglichkeit eines Stichtags bereits am 7.1.16 (das war im vergangenen Juli).
Unabhängig von den von den Anbietern prognostizierten Abschreibungsdaten ist es am sichersten, den 31. Dezember 2016 als offiziellen Stichtag zu betrachten.
Versäumnis der Migration: die Folgen
Unternehmen und Nutzer, die SHA-2 nicht übernehmen, laufen Gefahr, der Authentizität von Daten nicht vertrauen zu können. Bei öffentlich zugänglichen Browsern werden die Benutzer über "nicht vertrauenswürdige Verbindungen" benachrichtigt oder haben sogar keinen Zugang - alles wegen eines anfälligen SHA-1-Zertifikats.
Angesichts der geringeren Kosten und der zunehmenden Fortschritte bei der Rechenleistung und der Kryptoanalyse ist es keine Frage, ob eine SHA-1-Kollision auftritt, sondern nur wann.
Organisationen, die Zertifikate ausstellen oder verwenden, brauchen einen Übergangsplan. Branchenführende Zertifizierungsstellen und Browser nehmen dies ernst. Dies gilt auch für Unternehmen, die ihre eigene PKI-Infrastruktur, Zertifizierungsstellen und digitalen Zertifikate verwalten. Sowohl große als auch kleine Unternehmen sind heute verwundbar, und die Reaktion nach einem Ausfall oder einer Sicherheitsverletzung wird hässlich sein und möglicherweise Millionen von Dollar kosten.
Ausführen des Umzugs
Wenn Sie professionelle Dienstleistungen von einem externen PKI-Experten benötigen, war es gestern an der Zeit, sich auf dessen Radar zu begeben, also zögern Sie nicht länger. Viele PKI-Beratungsunternehmen haben ihre Terminkalender bereits mit SHA-2-Umstellungsprojekten gefüllt.
Die besten Vorgehensweisen für die SHA-2-Migration hängen davon ab, wie Ihr Unternehmen Zertifikate ausstellt. Hier finden Sie jedoch einige allgemeine Vorschläge:
Von der internen CA ausgestellte Zertifikate | Von einer Drittanbieter-CA ausgestellte Zertifikate | Von mehreren Quellen ausgestellte Zertifikate |
|
|
|
Keine Alleingänge bei der SHA-2-Migration
Ausführliche Informationen zu den voraussichtlichen Abschaffungsterminen und bewährten Verfahren für die SHA-2-Migration finden Sie unter "SHA-1 Deprecation Challenges and Solutions", erstellt von CSS Research.
Wenn Sie Fragen zur SHA-2-Migration haben oder PKI-Expertise zur Unterstützung bei der Umstellung suchen, zögern Sie nicht, die PKI-Experten der CSS zu kontaktieren oder uns unter 877.715.5448 anzurufen, um sofortige Unterstützung zu erhalten. Die PKI-Experten von CSS arbeiten aktiv mit ihren Kunden zusammen, um sie bei der Bewältigung ihrer individuellen Situation durch PKI Health Checks und PKI Professional Service Engagements zu unterstützen.