Ab 9. Mai 2021 verwendet Microsoft nur noch SHA-2

[English]Microsoft wird ab dem 9. Mai 2021 nur noch den sichereren SHA-2-Algorithmus in seinen Prozessen und -Diensten (auch in TLS-Zertifikaten, Code Signing und File Hashing) zulassen. Die  SHA-1-Verwendung ist dann nicht mehr möglich.


Anzeige

Die Ankündigung erfolgte am 14. April 2021 im Blog-Beitrag Microsoft to use SHA-2 exclusively starting May 9, 2021 (danke an den Benutzer für den Hinweis). Zu diesem Zeitpunkt wird Microsoft die vertrauenswürdige Stammzertifizierungsstelle Secure Hash Algorithm 1 (SHA-1) auslaufen lassen. Ab dem 9. Mai 2021 um 16:00 Uhr pazifischer Zeit werden alle wichtigen Microsoft-Prozesse und -Dienste – einschließlich TLS-Zertifikaten, Code Signing und File Hashing – ausschließlich den SHA-2-Algorithmus verwenden.

Der Hintergrund: SHA-1 gilt als unsicher

Der Hash-Algorithmus SHA-1 gilt inzwischen als nicht mehr sicher, denn im Laufe der Zeit gilt SHA-1 aufgrund der im Algorithmus gefundenen Schwachstellen, der gestiegenen Prozessorleistung und des Aufkommens von Cloud Computing als zu unsicher. Da es inzwischen bessere Alternativen wie den Secure Hash Algorithm 2 (SHA-2) gibt, werden diese bevorzugt.

Microsoft hat aus diesem Grund bereits die Signierung von Windows-Updates im Jahr 2019 auf die ausschließliche Verwendung des sichereren SHA-2-Algorithmus umgestellt und anschließend alle mit Windows signierten SHA-1-Inhalte am 3. August 2020 aus dem Microsoft Download Center zurückgezogen. Ich hatte im Blog-Beitrag Windows 7: Ab April 2019 wird ein ‘SHA-2-Update’ benötigt über die Implikationen für Windows 7 berichtet (die neueren Betriebssystemen unterstützten bereits SHA-2).

Was bedeutet das?

Im besten Fall bekommen Administratoren und Nutzer das nicht einmal mit. Das Auslaufen der Microsoft SHA-1 Trusted Root Certificate Authority wirkt sich nur auf SHA-1-Zertifikate aus, die mit der Microsoft SHA-1 Trusted Root Certificate Authority verkettet sind. Manuell installierte Unternehmens- oder selbstsignierte SHA-1-Zertifikate sind davon nicht betroffen. Microsoft empfiehl jedoch dringend, auf SHA-2 umzusteigen (sofern noch nicht erfolgt).

In obigem Artikel schreibt Microsoft, dass man keine Probleme durch das Auslaufen des SHA-1-Zertifikats erwartet, denn alle wichtigen Anwendungen und Dienste wurden getestet.

Ähnliche Artikel
SHA-2-Patch für Windows 7 kommt wohl im März 2019
Knipst der Wechsel zu SHA-2 “das Web” aus?
Windows 7: Ab April 2019 wird ein ‘SHA-2-Update’ benötigt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Ab 9. Mai 2021 verwendet Microsoft nur noch SHA-2

  1. MIST, M$FT macht wieder mal nur halbe Sachen!
    Statt alle (von Ahnungslosen und Merkbefreiten wie beispielsweise Mozilla: siehe https://seclists.org/fulldisclosure/2021/Mar/14) noch immer mit SHA-1 gefrickelten Signaturen ungültig zu erklären (wie u.a. vom CA/B-Forum für alle Web-Browser und CAs ihrer Mitglieder vorgeschrieben) beschränken sie sich auf ihre eigenen Untaten.

  2. M. Otte sagt:

    Hallo,
    ich habe eine Frage.
    Wir setzten im Unternehmen „Microsoft Dynamics Navision 2009R2“ ein.
    Die Binary stammt aus dem Jahr 2010 und wurde von Microsoft mit sha1 signiert.
    Heißt das wir können die Software ab dem 09.05.21 nicht mehr einsetzen???

  3. Fedi sagt:

    Hallo Herr Born,

    eine Stichprobe auf meinem Rechner hat eine Vielzahl an Programmen einschließlich Setup-Paketen ergeben, welche mit SHA1 signiert sind.
    Bedeutet das, dass ich diese Software zukünftig werden neu installieren noch starten kann?

    • Günter Born sagt:

      Kann ich nicht sagen, wa ich nicht weiß, ob MS für alte Setup-Pakete noch eine SHA1-Weiche eingebaut hat – ließe sich sicherlich (notfalls in einer VM) aber testen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.