{"id":4440,"date":"2015-10-12T13:42:33","date_gmt":"2015-10-12T16:42:33","guid":{"rendered":"https:\/\/www.kwell.net\/kwell_blog\/?p=4440"},"modified":"2015-10-12T13:42:33","modified_gmt":"2015-10-12T16:42:33","slug":"sha1-es-vulnerable-eliminalo","status":"publish","type":"post","link":"https:\/\/www.kwell.net\/kwell_blog\/?p=4440","title":{"rendered":"SHA1 es vulnerable, eliminalo"},"content":{"rendered":"

SHA-1, uno de los protocolos de hashing<\/i> m\u00e1s ampliamente adoptados, est\u00e1 a punto de morir. El costo y el tiempo necesarios para romper el algoritmo han ca\u00eddo mucho m\u00e1s r\u00e1pido de lo esperado previamente y, as\u00ed como anunciamos que RC4 debe morir<\/span><\/a>, en 2016 pasar\u00e1 lo mismo con SHA-1.<\/p>\n

El algoritmo SHA-1 fue dise\u00f1ado en 1995 por la Agencia de seguridad nacional (NSA) como parte del algoritmo de firma Digital. Como cualquier funci\u00f3n de hash<\/i>, SHA-1 convierte un mensaje de entrada de longitud arbitraria en una cadena de salida de longitud constante de 160 bits, que sirve como huella digital criptogr\u00e1fica para ese mensaje.<\/p>\n

Ataques de la colisi\u00f3n contra SHA-1<\/h3>\n

Los algoritmos de hash<\/i> resultantes son \u00fatiles cuando son \u00fanicos. En cambio, si dos entradas de mensaje distintos generan el mismo hash<\/i>, se genera lo que se conoce como una colisi\u00f3n<\/span><\/a> y esto podr\u00eda dar la posibilidad de romper la seguridad de ciertas transacciones HTTPS.<\/p>\n

\"\"<\/a><\/div>\n

Los investigadores de la Inform\u00e1tica Centrum Wiskunde y en los Pa\u00edses Bajos, INRIA en Francia y Universidad Tecnol\u00f3gica de Nanyang en Singapur han publicado un documento<\/span><\/a> [PDF] que muestra que SHA-1 es vulnerable a ataques de colisi\u00f3n que llamaron Freestart Collision<\/b>.<\/p>\n

El costo de romper SHA-1<\/h3>\n

En 2012, el investigador Bruce Schneier estim\u00f3<\/span><\/a> llevar a cabo un ataque de colisi\u00f3n sobre SHA-1 costar\u00eda U$S 700.000 en 2015 y s\u00f3lo U$S 173.000 en 2018.<\/p>\n

Sin embargo, basado en las nuevas investigaciones, estos ataques se podr\u00edan realizar este a\u00f1o por U$S 75.000 a $120.000, gracias a una nueva tarjeta gr\u00e1fica y a la t\u00e9cnica conocida como “boomeranging”<\/i> y que permite encontrar colisiones en menor tiempo.<\/p>\n

“Nuestras nuevas proyecciones basadas en GPU son m\u00e1s precisas y est\u00e1n por debajo de las estimaciones de Schneier. Lo m\u00e1s preocupante es que Schneier estimada que los criminales ya tienen los recursos para hacerlo”.<\/i><\/p><\/blockquote>\n

Cambiar a SHA-2\/SHA-3 antes que sea tarde<\/h3>\n

Los resultados publicados son te\u00f3ricos y no causan ning\u00fan peligro inmediato<\/b>, pero recomendamos comenzar a migrar a los algoritmos SHA-2 -tambi\u00e9n desarrollado por la NSA- o SHA-3 -desarrollado por un grupo de investigadores independiente- tan pronto como sea posible.<\/p>\n

Fuente: The Hacker News<\/span><\/a><\/p>\n

Comparte esto:<\/h3>