Hash-Funktionen wie zum Beispiel SHA-1 sind im Digitalgeschäft wichtig um kleine Textstücke (ein Digest) aus grösseren Dokumenten zu machen. Dieser Digest ist dann ein einzigartiger Stellvertreter für dieses Dokument. Keine zwei Dokumente sollten den gleichen Digest haben. Letzte Woche gab Google bekannt, sie können eine PDF so verändern, dass zwei unterschiedliche PDFs den gleichen SHA-1 Hash-Wert zugewiesen bekommen. Folglich ist der Digest nicht mehr ein einzigartiger Stellvertreter.

Datenschutz symbolbild 384

Seit 2004 hört man: “SHA-1 wurde gebrochen.” Seither ruft der Entwickler von SHA (NIST - National Institute of Standards and Technology) dazu auf eine neuere Hash-Funktion zu verwenden.

Wieso ist das problematisch? HTTPS und SSL/TLS (sichere Webkommunikation) verwenden eine Zertifizierungs-Infrastruktur. Diese stellt beispielsweise sicher, dass https://ubs.com wirklich zur UBS gehört und nicht ein Webserver ist, den der freundliche Hacker von nebenan aufgesetzt hat. Dazu werden kleine Dokumente (SSL-Zertifikate) an Dritte gesendet (Zertifizierungsstellen), welche diese Zertifikate unterzeichnen und prüfen, dass ubs.com tatsächlich von der UBS ist. Dazu wurden in der Vergangenheit MD5 und SHA-1 Hash-Funktionen verwendet. Für nicht mehr sicher genug befunden (MD5 ist vollständig gebrochen und SHA-1 ist auf bestem Weg dahin), können diese Zertifikate gefälscht werden.

Was heisst das für System-Administratoren? Stellen Sie sicher, dass ihre SSL Zertifikate alle zwei bis drei Jahre geändert werden.

Prüfen Sie ob Ihre Website zurzeit noch immer SHA-1 Zertifikate benutzt. Falls ja, ersetzten Sie diese. Sie können folgende Website zur Überprüfung verwenden: https://shaaaaaaaaaaaaa.com/ (13 “a”).

Wenn Sie ein Zertifikat von einer Zertifizierungsstelle erhalten, stellen Sie sicher, dass es SHA-256 verwendet. Stellen Sie sicher, dass Sie einen Browser verwenden der neu genug ist, dass er a) SHA-256 unterstützt und b) eine dicke fette rote Warnung anzeigt, falls eine Seite noch immer SHA-1 (oder sogar MD5) verwendet. Die meisten Browser machen dies.

Totalrevision Datenschutzgesetz

Der Vorentwurf des totalrevidierten Datenschutzgesetzes befindet sich derzeit in der Vernehmlassung. Er bezweckt die Stärkung des Datenschutzes durch erhöhte Transparenz bei der Datenbearbeitung und mehr Kontrollmöglichkeiten der betroffenen Personen. Griffige Sanktionen und Handlungspflichten der verantwortlichen Personen sollen dabei die korrekte Umsetzung gewährleisten.

Links: Entwurf, Bericht

Eurospider Information Technology AG
Schaffhauserstrasse 18
8006 Zürich

Tel: +41 43 255 25 25
www.eurospider.com
eit eurospider com