Microsoft entfernt nächste Woche alle Windows-Downloads, die mit SHA-1 signiert sind

Microsoft hat diese Woche angekündigt, dass es alle Windows-Downloads aus dem Microsoft Download Center entfernt, die am 3. August 2020 kryptographisch mit SHA-1-Zertifikaten signiert sind. Der SHA-1-Algorithmus wurde häufig verwendet, um ausführbare Dateien und TLS- und SSL-Zertifikate, die in Webdomänen verwendet werden, zu codieren, um die Legitimität eines Herausgebers zu authentifizieren.

Sicherheitsanalysten veröffentlichten 2015 einen Bericht, in dem beschrieben wird, wie SHA-1 Kollisionsangriffen ausgesetzt ist, aufgrund derer Angreifer Kopien digitaler Zertifikate erstellen könnten, um ein Unternehmen oder eine andere Website zu imitieren. Diese Kopien können dann bei Phishing-Angriffen, zum Vorsepoof von Unternehmen oder bei Man-in-the-Middle-Angriffen verwendet werden, um verschlüsselte Netzwerksitzungen abzuhören. Aufgrund der Fehler bei SHA-1-Zertifikaten haben Microsoft und andere Ersteller sich von SHA-1-Zertifikaten entfernt und müssen SHA-2 für die Installation von Windows-Updates verwenden.

Microsoft erklärte in einem neuen Support-Bulletin, das gestern veröffentlicht wurde, dass alle Windows-Inhalte, die mit dem Secure Hash Algorithm 1 (SHA-1) signiert wurden, aus dem Microsoft Download Center auf Hochständigungssicherheit eingestellt werden.

„Um die Entwicklung von Branchensicherheitsstandards zu unterstützen und Sie weiterhin geschützt und produktiv zu halten, hinterlässt Microsoft am 3. August 2020 Inhalte, die windows-signiert für Secure Hash Algorithm 1 (SHA-1) sind, aus dem Microsoft Download Center. Dies ist der nächste Schritt in unseren ständigen Bemühungen, den Secure Hash Algorithm 2 (SHA-2) zu genehmigen, der moderne Sicherheitsanforderungen besser erfüllt und zusätzlichen Schutz vor gängigen Angriffsvektoren bietet.“

„SHA-1 ist ein veralteter kryptografischer Hash, von dem viele in der Sicherheitsgemeinschaft glauben, dass er nicht mehr sicher ist. Die Verwendung des SHA-1-Hashalgorithmus in digitalen Zertifikaten könnte es einem Kriminellen ermöglichen, Inhalte vorzuladen, Phishing-Angriffe auszuführen oder Man-in-the-Middle-Angriffe auszuführen.“ „Microsoft verwendet SHA-1 nicht mehr, um Windows-Betriebssystemupdates aufgrund von Sicherheitsbedenken im Zusammenhang mit dem Algorithmus zu überprüfen, und hat die geeigneten Updates bereitgestellt, um Kunden zu SHA-2 zu verschieben, wie zuvor angekündigt. Dementsprechend haben Geräte ohne SHA-2-Unterstützung seit August 2019 keine Windows-Updates erhalten.

Obwohl Microsoft nur SHA-2-signierte Inhalte für offizielle Inhalte unterstützt, können mit SHA-1 signierte Windows-Dateien weiterhin im Betriebssystem ausgeführt werden. Wenn sich ältere SHA-1-signierte Dateien im Microsoft Download Center befinden, die Sie immer noch routinemäßig verwenden, sollten Sie sie herunterladen, bevor Microsoft sie am 3. August entfernt.