PQC Quick Win 2: SHA-1 und MD5 endgültig aus dem Haus verbannen

PQC Quick Win 2: SHA-1 und MD5 endgültig aus dem Haus verbannen

Streng genommen ist das Aufräumen alter Hash-Funktionen kein PQC-Thema. Es ist klassische Krypto-Hygiene, die seit Jahren überfällig ist. Trotzdem gehört es in diesen Sprint – aus drei Gründen: Erstens findet man bei der Suche nach SHA-1 und MD5 fast immer noch Treffer in KMU-Umgebungen. Zweitens sind beide Verfahren klassisch gebrochen, also auch ohne jeden Quantencomputer angreifbar. Drittens ist diese Aufräumarbeit eine perfekte Vorübung für die Algorithmus-Wechsel, die in der eigentlichen PQC-Migration anstehen.

Was ist mit MD5 und SHA-1 los?

MD5 ist seit 2004 für Kollisionsangriffe praktisch gebrochen, SHA-1 spätestens seit der “SHAttered”-Veröffentlichung 2017. NIST hat SHA-1 Ende 2022 offiziell für ungeeignet erklärt; das BSI führt beide Verfahren in der TR-02102-1 nicht mehr als empfohlen. Ein Angreifer kann mit überschaubarem Aufwand zwei unterschiedliche Eingaben konstruieren, die denselben Hash erzeugen – das genügt, um Signaturen zu fälschen, Pakete zu manipulieren oder Integritätsnachweise auszuhebeln.

Wichtig: Quantencomputer ändern an dieser Lage nichts zum Besseren. Die zukünftige Bedrohung trifft eine ohnehin schon untaugliche Grundlage. Wer also SHA-1 oder MD5 noch im Einsatz hat, hat zwei Krypto-Schulden gleichzeitig – die klassische und die PQ-bezogene.

Wo SHA-1 und MD5 in KMU-Umgebungen typischerweise lauern

Die meisten Treffer sind weder spektakulär noch böswillig – sie sind über die Jahre gewachsene Reste:

• Alte Zertifikate: Selten in der öffentlichen PKI, aber regelmäßig in interner CA-Hierarchie oder bei sehr alten Geräten (Drucker, USV-Webinterfaces, Industriesteuerungen).
• Skripte und CI/CD-Pipelines: md5sum/sha1sum zur Integritätsprüfung in Build- und Deployment-Skripten, alte Checksums für Downloads.
• Legacy-Software: Ältere ERP-Module, Branchenlösungen oder Eigenentwicklungen, die Hashes zur Cache-Bildung, Datenbankschlüsselableitung oder Authentifizierung nutzen.
• Backup- und Archivierungslösungen: Manifeste mit MD5/SHA-1 sind in der Backup-Welt erstaunlich langlebig.
• Netzwerkprotokolle: Alte VPN-Profile (IPsec IKEv1, manche L2TP-Setups), SNMPv3-Konfigurationen, Funkprotokolle in IoT-Geräten.
• Passwort-Speicher in selbst gebauten Anwendungen: Wo der eigene Entwickler “den Hash” gewählt hat, war es lange Zeit MD5 oder SHA-1.

So spüren Sie die Treffer in einem Arbeitstag auf

• TLS-Zertifikate: Das Ergebnis Ihrer Krypto-Inventur Light (Quick Win 1) zeigt für jeden geprüften Endpunkt das Signaturverfahren. Auch interne CA-Hierarchie in die Prüfung einbeziehen.
• Skripte und Repos: grep -RinE "md5|sha1|sha-1" . über die wichtigsten Code- und Skript-Repositories. Nicht jeder Treffer ist kritisch (z. B. ist md5 für eine reine Cache-Hash-Berechnung weniger dramatisch als für eine Signaturprüfung), aber jeder Treffer wird bewertet.
• Konfigurationen: OpenSSH (MACs), Apache/nginx (Cipher Suites mit “SHA”), VPN-Gateways (Phase-1- und Phase-2-Algorithmen) in der Konfiguration prüfen.
• Backup-Software: In den Einstellungen des Backup-Werkzeugs nach dem Manifest-Hash schauen – moderne Werkzeuge können auf SHA-256 umgestellt werden.

Was Sie konkret ersetzen

Die Antwort ist erfreulich einfach: SHA-256 (oder höher) als Standard, SHA-512/256 für besonders performance-sensitive Pfade, SHA-3 dort, wo eine bewusst andere Konstruktion gewünscht ist. Für Passwort-Hashes gehört dazu eine moderne Schlüsselableitungsfunktion (Argon2id, scrypt, bcrypt) – einfacher SHA-256 reicht für Passwörter nicht.

Hash-Verfahren wie SHA-256 sind übrigens auch im Quantenzeitalter komfortabel sicher: Der Grover-Algorithmus halbiert effektiv die Sicherheitsstärke, sodass SHA-256 noch immer auf 128 Bit “Quanten-Sicherheit” landet – ein Niveau, das für die allermeisten Anwendungen ausreicht. Wer Reserven will, nimmt SHA-384 oder SHA-512.

Was Sie diese Woche tun sollten

• grep über die Skript- und Konfigurations-Repositories laufen lassen, Trefferliste mit Verantwortlichem aufnehmen.
• Interne CA-Hierarchie auf SHA-1-Signaturen prüfen; alte Zwischenzertifikate identifizieren und Erneuerungsplan festlegen.
• Konfigurationen von SSH, VPN, Mailservern auf SHA-1-MACs durchsehen und auf SHA-256-Familie umstellen.
• Backup-Software-Einstellungen auf moderne Hash-Verfahren umstellen, einmal einen Verifikationslauf machen.
• Ergebnisse in der Inventur-Tabelle aus Quick Win 1 fortschreiben – jeder ersetzte SHA-1-/MD5-Treffer wird dort vermerkt.

Fazit

SHA-1 und MD5 zu verbannen ist die wahrscheinlich konkreteste, sichtbarste und am wenigsten umstrittene Krypto-Verbesserung, die Sie diese Woche im Unternehmen machen können. Sie ist klassische Hygiene – und gleichzeitig Vorübung für die Algorithmus-Wechsel der PQC-Migration. Wer SHA-1 nicht abzuschütteln vermag, wird ML-KEM erst recht nicht zügig einführen.

Quellen

• BSI TR-02102-1 – Kryptographische Verfahren: Empfehlungen und Schlüssellängen https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html
• NIST SP 800-131A Rev. 2 – Transitioning the Use of Cryptographic Algorithms and Key Lengths https://csrc.nist.gov/pubs/sp/800/131/a/r2/final
• Google – Announcing the first SHA1 collision (SHAttered) https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
• NIST – SHA-1 Retired (Dezember 2022) https://www.nist.gov/news-events/news/2022/12/nist-retires-sha-1-cryptographic-algorithm

pqconsult: Ihre Partner bei der PQC-Migration

Wenn die Liste der Hash-Altlasten überschaubar bleibt, machen Sie das selbst. Wenn sich daraus ein größeres Aufräumprojekt entwickelt – etwa wegen einer komplexen internen CA oder eines Bestands an Legacy-Software – unterstützen wir Sie mit Vorgehensplan, Tooling und Verifikation. Sprechen Sie uns an.