¿Se ha convertido SHA-1 en un peligro para Internet?

Hace dos semanas Google anunció que había roto la función criptográfica de hash SHA-1 mediante un ataque de colisión. Este hecho ha generado bastante revuelo en Internet y ha puesto en duda la seguridad de algunos servicios que a día de hoy siguen apoyándose en SHA-1 a pesar de ser considerado como poco seguro desde hace tiempo. Este último punto ha obligado a Google a tener emplear un cifrado más fuerte a la hora distribuir Chrome para Ubuntu.

Publicado marzo 20, 2016 en Atlantic Pacific



Algunos posiblemente se estén preguntando: ¿Qué es un ataque de colisión? Básicamente, se trata de la obtención de un mismo resultado cifrado cuando se pasan dos valores distintos a cifrar. En realidad todas las funciones criptográficas son susceptibles de tener colisiones, ya que se pueden pasar por estas una cantidad infinita de valores, pero los posibles resultados sí son finitos. Entonces, ¿dónde está la seguridad? Básicamente, en la falta de potencia de procesamiento de los ordenadores actuales, con los cuales no se puede provocar una colisión en un periodo de tiempo razonable (de hecho en la infografía se menciona 1 año). Cuanto mayor sea la longitud de salida, más difícil será provocar una colisión con el hardware actual. Actualmente existen tanto SHA-2 como SHA-3, así como SHA-224, SHA-256, SHA-384 y SHA-512, siendo el sufijo la longitud de bits empleado por la función criptográfica de hash.

Esta imagen explica de manera muy simple lo que es un ataque de colisión, en el cual vemos cómo se obtiene el mismo resultado tras cifrar dos ficheros diferentes.

SHA-1 (Secure Hash Algorithm 1) fue diseñada por la NSA y publicada en 1995. Como ya hemos comentado, todavía sigue siendo usada a pesar de que no se recomienda, debido a que en 2005 los analistas en criptografía descubrieron fallos teóricos que podrían ser usados para provocar ataques de colisión. Esta situación es bastante peligrosa, ya que permitiría a los atacantes reemplazar ficheros sin levantar ninguna sospecha.

Esto provocó que los analistas recomendasen cambiar SHA-1 por versiones más recientes, como SHA-2 y SHA-3. Por otro lado, SHA-1 fue declarado oficialmente obsoleto en otoño de 2015, cuando investigadores de distintas universidades publicaron un informe relacionado con una investigación que fue bautizado como The SHAppening.

Los científicos demostraron a través de aquel informe que los avances tecnológicos a nivel de computación habían puesto las posibilidades de SHA-1 al límite, argumentando que costaría entre 75.000 y 120.000 dólares romper la misma función criptográfica utilizada por el servicio EC2 de Amazon. Aunque es una cantidad de dinero considerable para una persona normal, no se puede decir lo mismo de estados y empresas medianas, los cuales sí se pueden permitirse invertir esas cantidades de dinero.

Desde que se publicó el informe, compañías proveedoras de navegadores web como Mozilla, Microsoft y Google empezaron un proceso acelerado para reemplazar SHA-1 como función de hash en los certificados TLS/SSL.

Google consiguió provocar el ataque de colisión con la ayuda de investigadores neerlandeses

Google se alió con dos investigadores neerlandeses que formaron parte del equipo tras The SHAppening para realizar con éxito el ataque de colisión con SHA-1. Aun así, para conseguir esa hazaña el equipo ha tenido que contar con grandes medios, como una inmensa potencia computacional y la ayuda de cinco de los mayores expertos de Google en criptografía, que se han sumado a los dos neerlandeses.

Los investigadores publicaron su descubrimiento el mes pasado, detallando todo el proceso de colisión. Sin embargo, la prueba de concepto no será publicada hasta el mes de mayo, tras pasar pasar 90 días contando a partir del 23 de febrero. Google ha publicado los dos ficheros PDF (fichero 1 y fichero 2) con los cuales ha conseguido obtener el mismo resultado tras aplicarles SHA-1. La siguiente infografía muestra cómo ha sido producido, además de los sistemas y servicios que pueden ser potenciales víctimas del mismo tipo de ataque.

SHA-1 lleva años tecnológicamente desfasado

Como ya hemos contado, SHA-1 lleva años siendo no recomendable aunque sigue siendo muy utilizado. Parece que de momento no es sencillo realizar un ataque de colisión, de hecho Google necesitó de una gran potencia computacional para provocarla, sin embargo, la tecnología sigue avanzando y será cuestión de tiempo de que dicha colisión empiece a estar al alcance de la gente de a pie.

Con el fin de ayudar a los administradores de sistemas, sobre todo aquellos que manejan certificados, Microsoft ha publicado unas instrucciones para pasar de SHA-1 a SHA-256, el cual es mucho más fuerte y tardará muchos más años en ser roto mediante colisión.

Para el ver artículo original:muyseguridad.net/2017/03/10/sha-1-peligro-internet/

Últimos Artículos

La caída del héroe que paró el virus Wannacry
Acusan a Disney de rastrear a niños sin consentimiento a través de sus juegos para móviles
Por ciberataque, siete millones de venezolanos quedaron sin telefonía celular
Cierran AlphaBay y Hansa, dos de las web oscuras más grandes
El troyano Remtasu está detrás de las falsas fotomultas en Colombia
¿Cómo está Iberoamérica en seguridad informática?
Las mejores extensiones de Firefox para mejorar tu seguridad y privacidad
14 millones de clientes de Verizon se han visto afectados por la filtración de sus datos
NotPeyta, ¿un acto de ciberguerra?
Los peligros de la cara oculta de internet
Una nueva oleada de ataques pone en jaque a empresas de todo el mundo
Algunas empresas ceden y pagan a los ‘hackers’ para liberarse del ciberataque
Vladimir Alem, de SonicWall: “Con la nueva plataforma actualizamos al canal”
WannaCry confirma las tendencias sobre el gasto en seguridad como el más importante en inversión TI
¿Qué es y en qué se diferencia la Deep Web de la Darknet?