image

Microsoft stapt vanaf 9 mei volledig over op SHA-2-algoritme

donderdag 15 april 2021, 12:15 door Redactie, 7 reacties

Vanaf 9 mei aanstaande maakt Microsoft voor alle grote diensten en processen, zoals tls-certificaten, het signeren van code en hashen van bestanden, gebruik van het SHA-2-algoritme en zal het zwakkere SHA-1-algoritme volledig zijn uitgefaseerd. Dat heeft het techbedrijf zelf aangekondigd.

Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Sinds 2005 zijn er echter collision-aanvallen op het SHA-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Al sinds 2011 wordt daarom aangeraden SHA-1 uit te faseren.

Microsoft besloot in 2019 het veiligere SHA-2-algoritme voor het signeren van Windows-updates te gebruiken en verwijderde vorig jaar augustus alle Windows-gesigneerde SHA-1-content van het Microsoft Download Center. Op 9 mei aanstaande zal Microsoft de eigen SHA-1 Trusted Root Certificate Authority laten verlopen. Volgens het techbedrijf heeft dit alleen gevolgen voor SHA-1-certificaten die aan de Microsoft SHA-1 Trusted Root Certificate Authority zijn gekoppeld.

Het zal geen gevolgen hebben voor enterprise of zelfgesigneerde SHA-1-certificaten. Toch krijgen organisaties die van dergelijke certificaten gebruikmaken het advies om op SHA-2 over te stappen. "We verwachten dat het verlopen van het SHA-1-certificaat geen noemenswaardige problemen zal opleveren. Alle grote applicaties en diensten zijn getest en we hebben een uitgebreide analyse uitgevoerd van mogelijke problemen en oplossingen", zegt Microsofts Rommel Degracia.

Het kan echter zijn dat gebruikers desondanks toch met problemen te maken krijgen. Zo kunnen gebruikers een foutmelding krijgen bij het installeren van een driver, kan Smart Screen het starten van bepaalde applicaties blokkeren of kan er een melding bij het installeren van een applicatie verschijnen.

Reacties (7)
15-04-2021, 13:20 door Anoniem
Het is goed dat nieuwe software met SHA-256 gesigneerd is. Aan de andere kant kun je zeggen dat software van een paar jaar oud met SHA-1 al zolang in het ecosysteem is, dat het zeker geen malware is.
15-04-2021, 14:21 door Anoniem
Door Anoniem: Het is goed dat nieuwe software met SHA-256 gesigneerd is. Aan de andere kant kun je zeggen dat software van een paar jaar oud met SHA-1 al zolang in het ecosysteem is, dat het zeker geen malware is.

Dat laatste is een misverstand, malware wordt regelmatig gesigneerd met gestolen certificaten. Het maakt niet echt verschil welke cryptografische hash er wordt gebruikt, het risico van diefstal wordt niet uitgesloten.
15-04-2021, 14:53 door Erik van Straten
Door Anoniem:
Door Anoniem: Het is goed dat nieuwe software met SHA-256 gesigneerd is. Aan de andere kant kun je zeggen dat software van een paar jaar oud met SHA-1 al zolang in het ecosysteem is, dat het zeker geen malware is.

Dat laatste is een misverstand, malware wordt regelmatig gesigneerd met gestolen certificaten. Het maakt niet echt verschil welke cryptografische hash er wordt gebruikt, het risico van diefstal wordt niet uitgesloten.
Wellicht belangrijker: bijv. een kwaadwillende (of daartoe gedwongen) softwareontwikkelaar kan een paar jaar geleden 2 onderling (iets) verschillende digitaal ondertekende programma's hebben gemaakt met exact dezelfde SHA1 hash. Zie https://shattered.io/.

Nb. het is dus niet zo dat een kwaadwillende een gegeven bestand zodanig kan wijzigen dat dit dezelfde SHA1 hash oplevert.
15-04-2021, 16:13 door Anoniem
Microsofts Rommel Degracia :-))
16-04-2021, 09:32 door Anoniem
He he eindelijk ms......nou nog 128 gigb processors/software ....weer een stukje veiliheid????.
16-04-2021, 09:35 door Anoniem
als je een lek toe laat...?....is alles rommel...geachte....anoniem
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.