Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2880823

Ablehnung des SHA-1 Hashalgorithmus für das Microsoft-Programm für Stammzertifikate

Veröffentlicht: Dienstag, 12. November 2013

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft kündigt eine Richtlinienänderung am Microsoft-Programm für Stammzertifikate an. Die neue Richtlinie lässt nach dem 1. Januar 2016 nicht mehr zu, dass Stammzertifizierungsstellen X.509-Zertifikate veröffentlichen, in denen der SHA-1 Hashalgorithmus für SSL und das Signieren von Codes verwendet wird. Durch das Verwenden des SHA-1 Hashalgorithmus in digitalen Zertifikaten kann ein Angreifer Inhalte nachahmen, Phishingangriffe oder Man-in-the-Middle-Angriffe durchführen.

Empfehlung: Microsoft empfiehlt Zertifizierungsstellen, neu generierte Zertifikate mit dem SHA-1 Hashalgorithmus nicht mehr zu signieren und mit der Migration zu SHA-2 zu beginnen. Außerdem empfiehlt Microsoft Benutzern, ihre SHA-1-Zertifikate so bald wie möglich durch SHA-2-Zertifikate zu ersetzen. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

VerweiseIdentifizierung
Allgemeine Informationen Einführung in das Microsoft-Programm für Stammzertifikate
Technische Anforderungen Windows-Programm für Stammzertifikate – Technische Anforderungen

Was genau umfasst diese Empfehlung?
Diese Empfehlung soll Endbenutzer dabei unterstützen, das Risiko bestimmter Anwendungen zu beurteilen, in denen digitale X.509-Zertifikate verwendet werden, die mit dem SHA-1 Hashalgorithmus signiert wurden. Des Weiteren wird Administratoren und Zertifizierungsstellen empfohlen, SHA-2 anstelle von SHA-1 als Algorithmus zum Signieren digitaler Zertifikate zu verwenden.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein. Bereits seit einiger Zeit steht eine Alternative zum Signaturmechanismus SHA-1 zur Verfügung, Von der Verwendung von SHA-1 als Hashalgorithmus für die Signierung wird abgeraten, dies ist keine empfohlene Vorgehensweise mehr. Microsoft wird jedoch alle Gelegenheiten beurteilen, um Technologien zu stärken, mit denen betrügerische Zertifikate erkannt werden können. Obwohl dies keine Sicherheitsanfälligkeit in einem Microsoft-Produkt ist, veröffentlicht Microsoft diese Empfehlung, um Benutzern das eigentliche Risiko zu erklären.

Wodurch wird diese Bedrohung verursacht?
Die Hauptursache des Problems ist eine bekannte Schwäche des SHA-1 Hashalgorithmus, durch den dieser Konfliktangriffen ausgesetzt wird. Solche Angriffe können einem Angreifer ermöglichen, zusätzliche Zertifikate zu generieren, die die gleiche digitale Signatur haben wie ein Original. Diese Probleme sind wohl bekannt, und es wurde von der Verwendung von SHA-1-Zertifikaten für bestimmte Zwecke abgeraten, bei denen Widerstand gegen diese Angriffe erforderlich ist. Bei Microsoft wurde durch den Sicherheitsentwicklungszyklus erforderlich, dass Microsoft den SHA-1 Hashalgorithmus nicht mehr standardmäßig bei Microsoft-Software verwendet.

Was versteht man unter einem „digitalen Zertifikat“?
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, mit dem die Online-Identitäten von Individuen, Unternehmen und Computern bescheinigt werden. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit dazugehörigen Informationen verpackt ist: wer ihn besitzt, wofür er verwendet werden kann, wann er abläuft und so weiter. Weitere Informationen finden Sie unter Grundlagen der Kryptografie mit öffentlichen Schlüsseln und Digital Certificates (Englisch).

Was ist der Zweck eines digitalen Zertifikats?
Digitale Zertifikate werden hauptsächlich dazu verwendet, die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise gibt es keinen Grund, sich überhaupt Gedankten über Zertifikate zu machen, mit Ausnahme gelegentlichen Nachricht, dass ein Zertifikat abgelaufen oder ungültig ist. In solchen Fällen sollten Sie den Anweisungen in der Nachricht folgen.

Was ist eine Zertifizierungsstelle (CA)?
Zertifizierungsstellen sind die Unternehmen, die Zertifikate veröffentlichen. Sie richten öffentliche Schlüssel ein, die Personen oder andere Zertifizierungsstellen gehören, und überprüfen deren Echtheit. Außerdem überprüfen sie die Identität einer Person oder eines Unternehmens, die um ein Zertifikat bittet.

  • Prüfen der Richtlinienänderungen am Microsoft- Programm für Stammzertifikate

    Benutzer, die mehr über das Thema in dieser Empfehlung erfahren möchten, sollten Windows Root Certificate Program – Technical Requirements (Englisch) lesen.

  • Aktualisieren von SHA-1 auf SHA-2

    Zertifizierungsstellen sollten neu generierte Zertifikate nicht mehr signieren, bei denen der SHA-1 Hashalgorithmus verwendet wurde. Endbenutzer sollten Zertifizierungsstellen auffordern, den SHA-2 Hashalgorithmus zu verwenden, um SHA-2-Zertifikate von ihren Zertifizierungsstellen zu erhalten.

    Auswirkungen der Aktion: Ältere hardwarebasierte Lösungen müssen u. U. aktualisiert werden, um diese neueren Technologien zu unterstützen.

  • Aktualisieren Sie Windows regelmäßig.

    Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie Automatische Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Weitere Informationen:

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (12. November 2013): Die Empfehlung wurde veröffentlicht.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2015 Microsoft