Auch wenn SHA-1 unsicher ist, wird sie weiterhin viel verwendet. Sogar Behörden wie das deutsche BSI oder das US-amerikanische NIST hielten sich bisher nicht einmal an ihre selbst erstellten Vorgaben.

Wegen der Vernachlässigung ihrer eigenen Empfehlungen bei der Signierung von SSL-Zertifikaten stieß das National Institute of Standards and Technology (NIST) auf kritische Stimmen. Die Standardisierungsbehörde benutzte auf ihrer Webseite noch Anfang letzten Jahres, den bereits überholten Algorithmus SHA-1 für SSL-Verbindungen. So berichtete Netcraft eine Beratungsfirma aus Großbritannien. Aufgrund der Kritik wurde von NIST dann auf SHA-256 umgestellt.

Wegen der hohen Wahrscheinlichkeit von Kollisionsangriffen galt die Bezeichnung „als nicht mehr sicher“ schon seit 2005 für die Hash-Funktion SHA-1. Die Ausführung ist diese Art von Attacken erfolgt schon seit 2009 und ist so teuer, dass derzeit nur staatlich finanzierte Attacken befürchtet sein könnten.  Das im Januar 2011 publizierte PDF NIST Special Publication 800-131A schlug bereits damals vor, den Algorithmus nicht mehr zu benutzen. Hätte die Organisation bis Dezember 2013 nach ihren eigenen Vorgaben gehandelt, hätte man SHA-1 aus der NIST-Webseite entfernen müssen.

SHA-1 wird auch noch vom BSI genutzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät ebenfalls davon ab SHA-1 auf SSL-Zertifikaten zu nutzen. Diesen Rat gab das BSI 2006 in einer E-Mail an die Bundesnetzagentur weiter:

„Bis Ende 2009 kann SHA-1 zur Zertifikaterstellung als brauchbar angesehen werden, wenn das X.509 Format gemäß ISIS-MTT benutzt wird. Bis 2010 eignet es sich für die Zertifikaterstellung, wenn es sicher ist, dass bei einem Angriff vor der Zertifikaterstellung zumindest 20 Bit Unsicherheit über eine Seriennummer gegeben ist.“

Das BSI hätte ab 2011, SHA-1 aus der eigenen Infrastruktur entfernen müssen. Bis heute wird aber das Zertifikat mit dem Algorithmus auf der eigenen Seite signiert. Die Firma TC TrustCenter hatte im März 2012 das bis ins Jahr 2015 geltende Zertifikat erstellt. Im Dezember 2012 wurde ein neueres Zertifikat ebenfalls mit SHA-1 Unterzeichnung für den BSI-Sicherheitstest erstellt. Bei den CAs liegt das Problem.

Die Benutzung von SHA-1 in Zertifikaten ist nicht auf NIST und BSI beschränkt. Etwa 98 % aller Webseiten, die mit HTTPS angewählt werden, nutzen laut Netcraft-Statistik weiterhin SHA-1. Das liegt daran, dass die Betreiber einer Webseite ein Zertifikat von einer Zertifizierungsstelle (Certificate Authorities – CAs) erhält und nicht selbst erstellt. Die bekanntesten Web-Browser haben die von den CAs vorgegebenen Zertifikate vorinstalliert. Wenn ein Nutzer eine HTTPS – Webseite ansteuert, wird durch diese Vorinstallation der CAs Zertifikate kein Alarm ausgelöst.  Genau diese CAs benutzen größtenteils immer noch SHA-1 bei der Erstellung ihrer Zertifikate.

So wie es nun bei NIST installiert wurde, werden die SHA-2-Standards, wie SHA-256 oder SHA-512 von den bekanntesten Betriebssystemen unterstützt. Damit könnte eine bessere Signierung der Zertifikate eingeführt werden. Ein einziges Problem besteht nur beim Internet Explorer auf Windows XP, sollte der Service Pack 3 nicht installiert sein. Man sollte aber davon ausgehen können, dass dieser Service Pack 3 auf XP-Versionen installiert ist, zumal Microsoft keine Unterstützung mehr für XP ohne dieses Pack anbietet.

Artikel von heise.de, 06.02.2014: Fragwürdige Hash-Funktion SHA-1 immer noch beliebt