Login
Newsletter
Werbung

Thema: Debian und Ubuntu vertrauen SHA1 nicht mehr

6 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Fortschritt am Mi, 16. März 2016 um 18:08 #

Da SHA1 bereits seit längerer Zeit, als gebrochen gilt.
Nun bleibt abzuwarten, ob man SHA256 einsetzt, oder doch gleich zu SHA3 greift.
Am besten wäre wohl SHA3, da dieses Hashverfahren ohne Beteiligung von NSA & Co entwickelt wurde.

  • 0
    Von Tronar am Mi, 16. März 2016 um 20:08 #

    Das bedarf einer Präzisierung:
    Was die Chinesen 2005 schafften, war ein sogenannter Geburtstagsangriff (birthday collision attack). Der ist nur dann von Bedeutung, wenn man Dateien signiert, die man nicht selbst erstellt hat. Um dem zu entgehen, genügt es, ein einziges Bit der zu signierenden Datei zu verändern, bevor man sie signiert. Da Debian die Paketdateien selbst erstellt, war das nicht relevant. Aber mittlerweile ist es anders, SHA1 ist nun wirklich unsicher.

    0
    Von Julian Andres Klode am Do, 17. März 2016 um 01:38 #

    Mache mich demnächst mal auf die Suche nach GPL-kompatiblen SHA3 Implementierungen in C(++). Selbstschreiben will ich die nicht.

    Wäre schön, das schon in Debian stretch zu haben, dann können wir das für buster (stretch + 1) im Debian Archiv ausrollen; und APT würde dann sowohl SHA256 als auch SHA3-256 oder SHA3-512 verifizieren (also ist ein Hash falsch, ist die Datei fehlerhaft!).

    GPG unterstützt noch kein SHA-3, das kann noch länger dauern... :( - aber wenn wir schonmal sonst bereit sind, ist doch alles gut :)

0
Von Trish am Do, 24. März 2016 um 19:37 #

US gov't federal agencies have been directed to cease all reliance on SHA-1 by the end of 2010

Also die Amis benutzen SHA-1 seit Ende 2010 nicht mehr und das fällt Debian und Ubuntu "schon" 2016 auf? :D

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung