Welche Hashfunktionen unsicher bzw. sicher sind habe ich bereits bei den
jeweiligen Beschreibungen der Funktionen
MD4, MD5, SHA und SHA-1
(alle unsicher), der
SHA-2-Familie
(ab 256 Bit Hashlänge, also SHA-256, noch einige Jahre sicher) und
SHA-3
(ebenfalls noch einige Jahr sicher) erwähnt. Aber was die
Angriffe genau bedeuten wurde bisher nicht erklärt. Jetzt ist es soweit.
Die Hashfunktionen der
SHA-2-Familie
sind noch für einige Zeit sicher. Trotzdem gibt es bereits einen
Nachfolger: 2007 startete das US-amerikanischen National Institute of
Standards and Technology (NIST) einen
Wettbewerb
zur Suche nach einem neuen kryptographischen Hashalgorithmus als
Nachfolger von SHA-2, genannt SHA-3. So ein Wettbewerb hatte sich bereits
bei der Suche nach dem DES-Nachfolger
AES
bewährt, und auch bei der Suche nach SHA-3 war man erfolgreich.
2. November 2007: Das NIST startet eine neue Castingshow
Nachdem die weit verbreiteten Hashfunktionen
MD4, MD5, SHA und SHA-1
alle Schwächen zeigten, war es Zeit für eine neue sichere
Hashfunktion. Das war und ist die Funktion SHA-2. Die es so gar nicht
gibt, denn es handelt sich um mehrere Funktionen mit unterschiedlichen
Ausgabelängen. Die Algorithmen der SHA-2-Familie wurden erstmals in
FIPS PUB 180-2
(PDF)
(in dem auch SHA-1 definiert ist) spezifiziert. SHA-2 ist zwar
ein Nachfolger von SHA-1, aber zumindest bisher noch sicher.
Drahtlose Kommunikation, nicht nur im WLAN, hat gegenüber
kabelgebundener Kommunikation zwei große Nachteile: Jeder kann die
Kommunikation belauschen, und jeder kann versuchen, seine eigenen
Geräte mit den Kommunikationsteilnehmern zu verbinden.
Wow, ich hatte gar nicht gedacht, dass es so was noch gibt: Ein Patchday
ganz ohne 0-Day-Exploits oder zumindest -Schwachstellen. Aber weder
Microsoft
noch
Adobe
haben am heutigen August-Patchday 0-Days gemeldet.
Adobe hat noch nicht mal ein Update für den Flash Player
veröffentlicht, und hat das für diesen Monat auch nicht vor.
Obwohl - eigentlich ist das verdächtig, so löchrig wie der bisher
war. Aber vielleicht wollen die ja nur im September einen uneinholbaren
Rekord behobener Schwachstellen aufstellen und heben sich die
Schwachstellen aus diesem Monat dafür auf.
Im
Windows Developer 9.16
ist ein Artikel über die Sicherheit im Internet of Things erschienen.
Sie haben die Wahl: Sicherheit oder Geräte des Internet of Things.
Beides zusammen geht leider sehr oft nicht. Denn aus Sicherheitssicht ist
das nicht das Internet of Things, sondern das Internet of Targets!
Neuere Hashfunktionen als der bereits vorgestellte Algorithmus
MD2
sind MD4 und MD5 sowie SHA und SHA-1. Wobei "Neuer" erst mal sehr
relativ ist und außerdem nicht gleichzeitig auch "Sicher"
bedeutet.