El SHA1 (Secure Hash Algorithm 1) función de hash criptográfica oficialmente muerto y es inútil, después de que Google anunció hoy el primer ataque de colisión con éxito.
SHA1 es una función hash criptográfica utilizada para generar hashes de datos digitales, hashes que, en teoría, debería ser único para cada bloque de datos, y se utiliza para firmar y dar fe de la autenticidad y la identidad de un archivo.
La función de hash SHA1 fue diseñado por la Agencia de los Estados Unidos de Seguridad Nacional (NSA) y su algoritmo fue publicado por primera vez en 1993.
El algoritmo comenzó a mostrar su edad en 2005, cuando los criptoanalistas encontraron defectos teóricos que podrían ser utilizados para romper SHA1 a través de ataques de colisión, un término usado para describir cuando un atacante determinado genera un archivo que tiene el mismo hash SHA1 de otro, archivo legítimo.
Los ataques de colisión son muy peligrosos en la vida real, ya que permiten a un atacante reemplazar archivos sin levantar ninguna sospecha.
Mientras que los criptoanalistas han recomendado que las empresas se alejan de SHA1 para las funciones de hash y utilizen SHA2 o SHA3 más recientes, la desaparición de SHA1 llegó en el otoño de 2015, cuando los investigadores de varias universidades de todo el mundo publicaron un trabajo de investigación denominado El SHAppening .
En esta investigación de vanguardia, los científicos demostraron que los avances tecnológicos en la potencia de cálculo habían acelerado poder duradero de SHA1, argumentando que había tomado entre $ 75.000 y $ 120.000 a romper SHA1 utilizando el servicio EC2 de Amazon, un costo que algunos estados nacionales podían permitirse ni siquiera en ese momento.
Poco después de su investigación se hizo pública, los fabricantes de navegadores como Mozilla, Microsoft, Google y comenzaron un proceso acelerado para reemplazar SHA1 como la función de hash en los certificados TLS / SSL, un plan que se están llevando a cabo con éxito, mientras hablamos.
Desconocido para muchos era, que Google se había acercado a dos de los investigadores involucrados en el SHAppening y ofreció su ayuda para continuar su trabajo.
Con la inmensa potencia de cálculo de Google a su disposición, y con la ayuda de cinco de los mejores criptógrafos de Google, este equipo de siete hombres han publicado una nueva investigación que detalla un ataque de colisión SHA1.
Como prueba de su trabajo, también lanzaron dos diferentes archivos PDF que cuentan con el mismo hash SHA1, que se sitúa a servir de prueba por primera vez la colisión SHA1 éxito.
Para entender mejor su anuncio y las consecuencias de un ataque de colisión SHA1 en el mundo real, se imagina que firmó un contrato, lo almacenó en línea en formato PDF, y utilizó su hash SHA1 para autenticar que nadie ha manipulado el archivo.
Sabiendo ahora que los valores hash SHA1 podrían ser falsos, ¿cómo saber si una persona no ha reemplazado el contrato PDF original con otro que tiene el mismo hash SHA1, pero completamente diferentes cláusulas?
La única buena noticia de anuncio de hoy es que los ingenieros de Google describen el ataque de colisión SHA1 como "uno de los más grandes cálculos cada vez completados," lo que significa que no va a ser financieramente posible ejecutar este tipo de ataques en cualquier momento pronto.
Sin embargo, Google planea lanzar el código de prueba de concepto que se utilizan para el ataque de colisión en 90 días, es decir, las empresas que siguen confiando en SHA1 tienen tres meses para reemplazarlo con otra cosa.
