gpg: SHA1 durch SHA256 ersetzen

Es ist wieder einmal Zeit, einem alten Freund Lebewohl zu sagen.

Wir trauern um

SHA1

*1995       †2009

Viele Jahre hat SHA1 uns stets dabei unterstützt, unsere Nachrichten unverändert ans Ziel zu bringen. Als Nachfolger von SHA0, der viel zu früh von uns gegangen ist, gab uns SHA1 wieder Zuversicht. Doch letzlich mussten wir lernen, dass nichts von Dauer ist.

SHA1 – Du wirst stets unvergessen bleiben.

Die Beisetzung findet im engsten Kreise statt. Wir bitten von Beileidsbekundungen am Grab Abstand zu nehmen. Statt Blumen bitten wir um die Umstellung Ihrer Applikationen auf stärkere Hashverfahren.

In tiefer Trauer,
die Internetgemeinde.

Mehr Informationen gibts hier.

Aus diesem Artikel habe ich auch den Hinweis entnommen, wie man in GnuPG die Hash-Algorithmen ‚umstellt‘:

Zunächst sollte man dafür sorgen, dass alle Nachrichten, die man selbst signiert, nicht mehr mir SHA1 signiert werden. Dazu fügt man an die Datei gpg.conf im .gnupg Verzeichnis zwei drei Zeilen an:

cat >>~/.gnupg/gpg.conf <

Danach teilt man noch den Gesprächspartnern mit, dass man gerne mehr Sicherheit hätte, indem man die Vorgaben seines Schlüssels ändert:

$ gpg --edit-key $KEYID
[...]
> setpref SHA512 SHA384 SHA256 RIPEMD160 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
> save

und den geänderten Schlüssel wieder veröffentlicht:

$ gpg --keyserver keys.gnupg.net --send-key $KEYID

PS: Die 'Vorschau' von Blogger saugt 🙁
PPS: SHA-1 wird immer ale eine der letzten enthalten sein, weil der RFC das verlangt, aber wichtig ist die Reihenfolge - es ist dann nur noch Fallback.
Update: Wie das Update des Originalartikels habe ich "default-preference-list" hinzugefügt, damit neue keys gleich entsprechend erstellt werden.

Dieser Beitrag wurde unter de, IT, Linux, security, Tipps veröffentlicht. Setze ein Lesezeichen auf den Permalink.