Hier ist das Sicherheitsupgrade, das 40 Millionen Menschen vom Web fernhalten wird

Dieses grüne Schloss in Ihrer URL-Leiste zeigt eine authentische und private Verbindung an. Durch dieses Zertifikat wird sichergestellt, dass Ihre Informationen sowohl innerhalb der Grenzen der vertrauenswürdigen Website bleiben als auch, dass die von Ihnen besuchte Website tatsächlich die Website ist, für die sie sich zu sein scheint. Wenn Sie sich bei Facebook anmelden, wird Ihnen also versprochen, dass a) Ihre Informationen (Login, Kommunikation, Fotos usw.) innerhalb der sicheren Grenzen der Website bleiben und b) Facebook eigentlich Facebook ist Betrüger.

Wenn jemand eine SHA-1-verschlüsselte Site knacken würde, hätte er extrem wertvolle Informationen in der Hand - und die Kosten für den ersten Einbruch wären vernachlässigbar. Eine Einzelperson, eine Organisation oder eine Nation könnte sich beispielsweise als Facebook ausgeben und gleichzeitig den Austausch von Informationen oder privaten Informationen abfangen, die sie abfangen möchten. Eine andere Bedrohung ist ein Phishing-Angriff, bei dem eine Einzelperson, Organisation oder Nation sich als Site maskiert, um Benutzerinformationen zu stehlen.

Angesichts der Unsicherheiten von SHA-1 sind sich die meisten großen Standorte einig, dass der Übergang überfällig ist. Es gibt jedoch einen Nachteil. Internetbenutzer mit alten Telefonen oder Desktops können nicht auf SHA-2-verschlüsselte Sites zugreifen. Alte Telefone oder Computer verfügen über virtuelle Decken, die das Aktualisieren von Programmen oder Apps ausschließen. SHA-2 wird auf Browsern so etwas wie "Sie müssen so groß sein, um zu fahren" messen. Wenn Ihr Telefon oder Ihr Computer nicht „groß genug“ ist - lesen Sie: neu genug, aktualisiert genug - um zu „fahren“, werden SHA-2-verschlüsselte Sites Sie abweisen.

CloudFlare, der das Problem erforschte und eine eigene Lösung bereitstellte, listete 25 Länder mit der geringsten Unterstützung auf - und stellte fest, dass sich diese Liste mit den Listen der ärmsten, repressivsten und am meisten vom Krieg betroffenen Länder der Welt überschneidet. “Ein Großteil der entwickelten Länder Welt wird geschont: In Nordamerika und Westeuropa sind über 99 Prozent der Browser SHA-2-kompatibel. In China sinkt die Zahl jedoch auf etwa 93 Prozent, in Kamerun, Jemen, Sudan, Ägypten, Libyen, Elfenbeinküste, Nepal, Ghana und Nigeria sind es rund 95 Prozent. Der Prozentsatz der Ausschlüsse scheint gering zu sein, aber im Zusammenhang mit einer erheblichen Anzahl von Internetnutzern.

Das Endergebnis ist, dass die überwiegende Mehrheit der Benutzer, die von der SHA-2-Fahrt abgewiesen werden, diejenigen sein werden, die am dringendsten auf die Websites zugreifen müssen. (Denken Sie an die Auswirkungen von Facebook und Twitter auf den Arabischen Frühling). Darüber hinaus werden Länder, die möglicherweise noch Infrastrukturen über veraltete Plattformen leiten, für Angriffe anfällig gemacht.

Am 31. Dezember 2015 sind einige der größten Websites des Internets für fast 40 Millionen Nutzer gesperrt. Eine vernünftige, aber schwierige Neujahrslösung zur Aktualisierung der Verschlüsselungstechnologie wird etwa fünf Prozent der Online-Bevölkerung in Entwicklungsländern von sicheren, zertifizierten Websites wie Google, Facebook und Twitter blockieren.

Wenn Ihr Telefon älter als fünf Jahre ist, werden Sie ebenfalls ausgeschlossen.

Dies ist alles auf die Umstellung der Verschlüsselungstechnologie SHA-2 vom Vorgänger SHA-1 zurückzuführen. Es ist ein wenig verwirrend, aber hier ist es: Vor SHA-1 verwendeten Mobiltelefone Verschlüsselungstechnologie MD5, die 2008 als unsicher befunden wurde. Erst 2013 wurde MD5 vollständig eingestellt, und SHA-1 wurde zur Regel.

Bald jedoch haben Sicherheitsexperten SHA-1 geknackt. Und mit schnelleren und schnelleren Computern wird es immer billiger und billiger, SHA-1-Websites zu knacken: Eine Studie aus dem Jahr 2012 warnte, dass die Kosten für dieses Jahr geschätzte 2,77 Millionen US-Dollar betragen würden, 2015 würde es jedoch auf 700.000 US-Dollar fallen. (Im Jahr 2018 fiel die Schätzung auf 173.000 USD und im Jahr 2021 waren es nur 43.000 USD.) Jetzt, obwohl es 2015 ist - als Ars Technica Berichte - "Forscher glauben, dass ein solcher Angriff in diesem Jahr für 75.000 bis 120.000 US-Dollar durchgeführt werden könnte."

Dies ist aus zwei Gründen besorgniserregend oder bemerkenswert. Erstens sind die Websites, die die höchste Sicherheitsstufe erfordern, die Websites, die den meisten Datenverkehr erhalten, die Websites, die am beliebtesten sind. Dazu gehören wiederum Google, Facebook und Twitter sowie die dazugehörigen Websites. Zweitens befinden sich die Benutzer, deren Geräte die Barriere nicht passieren werden, hauptsächlich in Entwicklungsländern, häufig in Ländern, die von Krieg und Ungerechtigkeit geplagt werden.

CloudFlares Lösung, die Facebook reproduziert, besteht darin, „SHA-1 Fallback“ zu aktivieren. Benutzer, die andernfalls von CloudFlare- oder Facebook-Sites blockiert würden, erhalten stattdessen Zugriff unter dem Schutz von SHA-1. Dies ist keine ideale Lösung - die Sicherheitslücken werden immer noch existieren - aber zumindest werden sie weniger ausgrenzend sein.

(Wir haben hier bereits umgestellt auf SHA-2 Inverse. Wenn Sie diesen Artikel lesen, können Sie sich darauf verlassen, dass Sie ab 2016 auf Ihre bevorzugten Websites zugreifen können.)