NIST schickt SHA-1 in Rente und rät zum Umstieg auf SHA-2 und höher

Kevin Bocek – Vice President of Security Strategy and Threat Intelligence bei Venafi

Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

Das National Institute of Standards and Technology (NIST) warnt ein letztes Mal davor, dass die SHA-1-Technologie, mit der ein Großteil des Internets betrieben wurde und die auch heute noch eingesetzt wird, längst überholt ist. Jedes Unternehmen, dass noch mit SHA-1 arbeitet, ist äußerst anfällig für Cyberangriffe. Die Technologie beruht auf den frühen 1990er Jahren und ist zu anfällig geworden. Geschäftsführer könnten sich sicherlich nicht vorstellen, einen Laptop, ein Mobiltelefon, eine Registrierkasse oder gar einen Lieferwagen aus dem Jahr 1993 zu benutzen. In der IT wird sich aber zu viel auf die SHA-1-Technologie verlassen; es ist ein Traum für Cyberkriminelle.

Seit Jahren ist bekannt, dass der SHA-1-Algorithmus anfällig für bestimmte Arten von Angriffen ist. Bereits 2017 zeigten Forscher von Google, dass der SHA-1-Algorithmus mit einem Kollisionsangriff geknackt werden kann – eine Technik, die seitdem für Cyberkriminelle immer erschwinglicher geworden ist. Das NIST forderte vor fast 17 Jahren die Abschaffung von SHA-1. 2017 konnten öffentliche Websites in Webbrowsern nicht mehr mit digitalen TLS-Zertifikaten mit SHA-1-Technologie authentifiziert werden. Doch in Unternehmen ist die lauernde Bedrohung noch immer nicht verschwunden.

Es gibt mehrere Gründe, warum die Migration auf einen neueren, sichereren digitalen Fingerabdruck für Maschinenidentitäten wie SHA-2 oder SHA-3 eine Herausforderung darstellt. Beispielsweise kann die Aktualisierung von Anwendungen zeit- und ressourcenaufwändig sein und Investitionen erfordern, um bestehende Systeme und Prozesse zu ersetzen, die auf SHA-1 basieren. Ein typisches globales Unternehmen verfügt über Hunderttausende von Maschinen, insbesondere virtuelle Maschinen, die über eine Vielzahl von Umgebungen verteilt sind. Die meisten Unternehmen haben jedoch nicht die Werkzeuge oder den Überblick, um alle SHA-1-Zertifikate in ihrer Umgebung zu finden. Dies bedeutet, dass die Migration zu SHA-2 oder SHA-3 sehr komplex sein kann, und dass Unternehmen die Migration aufgrund der Unterbrechung ihrer Abläufe, die die Abkehr von SHA-1 verursachen könnte, vermeiden werden. Untersuchungen haben gezeigt, dass das Problem umso größer ist, je größer das Unternehmen ist. Der Grund dafür ist mangelndes Wissen darüber, was zu beheben ist sowie fehlende Automatisierung. Dies führt dazu, dass die Lösung des Problems häufig in die Zukunft verschoben wird.

Die vom NIST gesetzte Frist für den Ausstieg aus der Verwendung von SHA-1 gibt Unternehmen, die den Kopf in den Sand gesteckt haben, einen Anstoß in die richtige Richtung, um mit der Planung ihres Umstiegs zu beginnen und mögliche Probleme auf dem Weg dorthin zu minimieren. Der beste Weg, dies zu ermöglichen, ist eine Steuerungsebene, die die Verwaltung der Maschinenidentitäten eines Unternehmens automatisiert – einschließlich derjenigen, die SHA-1 verwenden. Auf diese Weise können sie den Prozess der Suche nach allen vorhandenen SHA-1-Zertifikaten und deren Ersatz automatisieren. Das ist ein Risiko und ein Kostenfaktor, der nicht länger ignoriert werden kann und sollte.