Obwohl Linux als freie Software kostenlos verfügbar ist, setzen viele beim Unternehmenseinsatz auf Enterprise-Distributionen mit Support. Wo die Stärken der ... (mehr)

Zukunftsunsicher

Erste Kollisionen von SHA-1 werden vermutlich innerhalb der nächsten Jahre vermeldet. Für praxisrelevante Angriffe ist aber die genaue Art der Kollision entscheidend: Die Probleme bei MD5 wurden erst dann relevant, als es auch möglich war, sinnvolle Daten, etwa Zertifikate, mit einer Kollision zu erzeugen. Doch das dauerte bei MD5 nur kurze Zeit, und die Angriffe wurden schnell besser.

Infos

  1. SHA-3-Wettbewerb beim NIST: http://csrc.nist.gov/groups/ST/hash/sha-3/
  2. Keccak-Algorithmus: http://keccak.noekeon.org/
  3. Alle Vorschläge im SHA-3-Wettbewerb: http://ehash.iaik.tugraz.at/wiki/The_SHA-3_Zoo
  4. Blogeintrag von Bruce Schneier: http://www.schneier.com/blog/archives/2012/09/sha-3_will_be_a.html
  5. Vortrag auf 25C3 über gefälschte MD5-Signatur: http://media.ccc.de/browse/congress/2008/25c3-3023-en-making_the_theoretical_possible.html
  6. Analyse der MD5-Kollision im Flame-Virus: http://www.research.leiden.edu/news/cryptanalyst.html

Der Autor

Hanno Böck ist freier Journalist und ehrenamtlicher Entwickler bei Gentoo Linux. Nebenher arbeitet er beim Webhosting-Unternehmen schokokeks.org mit, das für den Betrieb seiner Dienste ausschließlich auf freie Software setzt.

comments powered by Disqus
Mehr zum Thema

Verfahren für Password-Hashing

Dass Kennwörter nicht im Klartext in Benutzerdatenbanken von Unternehmen lagern, ist heute zum Glück etablierter Standard. Über den korrekten Umgang mit Benutzerpasswörtern und das passende Hash-Verfahren ranken sich dennoch viele Mythen und Halbwahrheiten. Viel zu häufig sind auch gehashte Zugangsdaten nicht vor Angriffen von Hackern sicher. Der Security-Tipp in diesem Monat greift das Problem auf und diskutiert unterschiedliche Verfahren für die sichere Speicherung von Passwörtern in der Benutzerdatenbank.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020