Hash-Funktionen wie zum Beispiel SHA-1 sind im Digitalgeschäft wichtig um kleine Textstücke (ein Digest) aus grösseren Dokumenten zu machen. Dieser Digest ist dann ein einzigartiger Stellvertreter für dieses Dokument. Keine zwei Dokumente sollten den gleichen Digest haben. Letzte Woche gab Google bekannt, sie können eine PDF so verändern, dass zwei unterschiedliche PDFs den gleichen SHA-1 Hash-Wert zugewiesen bekommen. Folglich ist der Digest nicht mehr ein einzigartiger Stellvertreter.

Datenschutz symbolbild 384

Seit 2004 hört man: “SHA-1 wurde gebrochen.” Seither ruft der Entwickler von SHA (NIST - National Institute of Standards and Technology) dazu auf eine neuere Hash-Funktion zu verwenden.

Wieso ist das problematisch? HTTPS und SSL/TLS (sichere Webkommunikation) verwenden eine Zertifizierungs-Infrastruktur. Diese stellt beispielsweise sicher, dass https://ubs.com wirklich zur UBS gehört und nicht ein Webserver ist, den der freundliche Hacker von nebenan aufgesetzt hat. Dazu werden kleine Dokumente (SSL-Zertifikate) an Dritte gesendet (Zertifizierungsstellen), welche diese Zertifikate unterzeichnen und prüfen, dass ubs.com tatsächlich von der UBS ist. Dazu wurden in der Vergangenheit MD5 und SHA-1 Hash-Funktionen verwendet. Für nicht mehr sicher genug befunden (MD5 ist vollständig gebrochen und SHA-1 ist auf bestem Weg dahin), können diese Zertifikate gefälscht werden.

Was heisst das für System-Administratoren? Stellen Sie sicher, dass ihre SSL Zertifikate alle zwei bis drei Jahre geändert werden.

Prüfen Sie ob Ihre Website zurzeit noch immer SHA-1 Zertifikate benutzt. Falls ja, ersetzten Sie diese. Sie können folgende Website zur Überprüfung verwenden: https://shaaaaaaaaaaaaa.com/ (13 “a”).

Wenn Sie ein Zertifikat von einer Zertifizierungsstelle erhalten, stellen Sie sicher, dass es SHA-256 verwendet. Stellen Sie sicher, dass Sie einen Browser verwenden der neu genug ist, dass er a) SHA-256 unterstützt und b) eine dicke fette rote Warnung anzeigt, falls eine Seite noch immer SHA-1 (oder sogar MD5) verwendet. Die meisten Browser machen dies.

KYC SPIDER LUNCH AM 4. MAI 17

Ger­ne la­den wir al­le Kun­den und In­ter­es­sen­ten zum KYC Spi­der Lunch am Don­ners­tag, 4. Mai 2017, ab 11.30 Uhr ein, wo die neue Ver­si­on von KYC On­line und die neue Web­site prä­sen­tiert wird. Der Lunch ist auch für eCPM Kun­den in­ter­es­sant, da die neue Ver­si­on eCPM V4 für KYC On­line zum Ein­satz kommt.

Totalrevision Datenschutzgesetz

Der Vorentwurf des totalrevidierten Datenschutzgesetzes befindet sich derzeit in der Vernehmlassung. Er bezweckt die Stärkung des Datenschutzes durch erhöhte Transparenz bei der Datenbearbeitung und mehr Kontrollmöglichkeiten der betroffenen Personen. Griffige Sanktionen und Handlungspflichten der verantwortlichen Personen sollen dabei die korrekte Umsetzung gewährleisten.

Links: Entwurf, Bericht

Eurospider Information Technology AG
Schaffhauserstrasse 18
8006 Zürich