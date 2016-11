Software::Distributionen::Ubuntu

Debian und Ubuntu schalten SHA-1 für APT ab

Für Debian und Ubuntu sollen ab 1. Januar 2017 SHA-1-signierte Repositorien abgeschaltet werden.

Canonical

Am 1. Januar 2017 wird weltweit der »Secure Hash Algorithm 1« (SHA-1) in Rente gehen. SHA bezeichnet eine Gruppe standardisierter kryptologischer Hashfunktionen, deren Schwächen bereits seit 2005 bekannt sind. Seither verging kaum ein Jahr, in dem nicht ein erfolgreiches Angriffsszenario gegen SHA-1 vorgeführt wurde. Zuletzt ermittelten 2015 die Forscher Marc Stevens, Pierre Karpman und Thomas Peyrin in einer Studie (PDF), dass ein erfolgreicher Angriff auf SHA-1 bereits für 100.000 US-Dollar gefahren werden kann.

Gängige Browser warnen bereits seit längerem, falls damit signierte Zertifikate verwendet werden. Mit SHA-1 signierte Zertifikate sollen bereits seit 2015 nicht mehr ausgestellt werden. Erst kürzlich entzog Mozilla der Certificate-Authority (CA) WoSign und deren Tochterfirma StartCom das Vertrauen, da sie mit SHA-1 signierte Zertifikate zurückdatiert hatten.

Jetzt hat Debian- und Ubuntu-Core-Entwickler Julian Andres Klode auf der Ubuntu-Mailingliste bekannt gegeben, dass SHA-1 auch in APT (Advanced Package Tool) ab 1. Januar blockiert werden soll. Das bedeutet, dass mit SHA-1 unterzeichnete GPG-Signaturen nicht mehr als gültig anerkannt werden und eine Fehlermeldung provozieren

In den nächsten Tagen soll mit dem Erscheinen von APT 1.4~beta1 im Entwicklungszweig für »Zesty Zapus« und in »Debian Unstable« die Testphase beginnen, in der im Fall eines SHA-1-signierten Repositoriums ein Fehler oder eine Warnung ausgegeben wird. Apt 1.4 soll mit Ubuntu 17.04 »Zesty Zapus« im April 2017 ausgeliefert werden. Ab 1. Januar sollen dann auch APT 1.2 in Ubuntu 16.04 »Xenial Xerus« und 1.3 in Ubuntu 16.10 »Yakkety Yak« sowie 1.3 in »Debian Testing« mit einbezogen werden. Bei »Xenial Xerus« könnte sich das Ausrollen leicht verzögern, so Klode. Für Debian soll ein Diskussionsfaden auf der Entwickler-Liste eröffnet werden, um Debian-spezifische Fragen zu besprechen.