El cifrado SHA-1 es vulnerado: Google y varios investigadores han conseguido romperlo

El cifrado SHA-1 es vulnerado: Google y varios investigadores han conseguido romperlo

Escrito por: Ildefonso Gómez    24 febrero 2017     2 minutos

Hace varias semanas, algunas empresas ya confirmaba que estaban dejando de lado el uso del cifrado SHA-1. El mismo, que tiene una antiguedad de 22 años, no era calificado como una alternativa segura para la transferencia de datos delicados. Finalmente se ha confirmado lo que se lleva semanas intentando: el protocolo es vulnerable. De hecho, la propia Google ha conseguido atacarlo con éxito.

Han sido un grupo de investigadores de Google y del CWI de Amsterdam los que han conseguido un ataque de colisión de hash al protocolo. Debemos tener en cuenta que SHA-1 transforma los mensajes originales a una serie de números y letras que a su vez sirven como hash, es decir, una huella criptográfica. El inconveniente está en que ese mismo valor es producido para dos mensajes diferentes, lo que quiere decir que es posible falsificar las propias firmas, descifrando a la vez las comunicaciones.

Lo que han hecho los investigadores es provocar una colisión de hash. Es decir, lo que hemos comentado anteriormente: alterar las propias funciones hash para que coincidan con otra y, posteriormente, acceder a la cuenta que utilice el cifrado SHA-1. Eso sí, el ataque ha costado 110.000 dólares. El ataque utilizado se mostrará próximamente.

Los responsables del ataque han comentado que el método de colisión es 100.000 veces más rápido que un ataque por fuerza bruta. En este caso se han usado 9,2 trillones de computaciones SHA-1, un ataque que tardaría 110 años en ser realizado con una tarjeta gráfica, o un año en el caso de utilizar 110 tarjetas gráficas.

Por otra parte, mencionar que algunas empresas han dejado de utilizar el cifrado, afirmando de que no aceptarán certificados con este protocolo en pocotiempo. Por ejemplo, Microsoft no permite usarlos desde 2016. La propia Google ha confirmado que el código del ataque se publicará en 90 días, lo que significa que las páginas que todavía utilicen el protocolo se verán expuestas a una gran cantidad de vulnerabilidades.

Si tenéis algún proyecto que utilice SHA-1, recomendamos actualizar a protocolos más seguros como SHA-256 o SHA-3, los cuales garantizan una cierta seguridad.

Vía | Google


Comentarios cerrados