contador gratis Saltar al contenido

Google desmantela SHA-1, una de las placas de cifrado web

marzo 25, 2020

El algoritmo de hash SHA-1 ya no es seguro, los técnicos de Google han encontrado una colisión y declaran que el algoritmo ha caducado. Pocos todavía lo usaban.

El algoritmo SHA-1 ya no es seguro. Los técnicos de Google han encontrado una "colisión" y declaran que el algoritmo de hash SHA-1 ha caducado. Este es un duro golpe para lo que alguna vez se consideró el emblema del algoritmo criptográfico y representa una verdadera crisis para aquellos que todavía usan esta función. La buena noticia es que casi nadie confía en SHA-1 todavía, por lo que no hay necesidad de correr para instalar ningún parche. Pero el anuncio es significativo porque representa un importante juego de poder de Google, con implicaciones reales para la seguridad web global.

SHA1 a algoritmo hash criptográfico creado en 1995 que deja la huella digital de un archivo en particular y que, durante mucho tiempo, se ha utilizado ampliamente para garantizar el control de integridad de los datos y garantizar la seguridad de las conexiones a Internet. Cuando la función hash funciona correctamente, cada archivo producirá un hash único y si los hash son los mismos, los archivos serán los mismos. Esto se vuelve esencial para los sistemas de inicio de sesión que necesitan verificar que una contraseña sea correcta, sin mostrar la contraseña en sí.

Una colisión es lo que sucede cuando una función hash se rompe y dos archivos producen el mismo hash. En este caso, un ataque podría colarse por medio de un archivo malicioso, para compartir el hash con el archivo legítimo. Como prueba de lo que se ha dicho hasta ahora, Google ha compartido dos archivos PDF que liderados por SHA-1 han producido el mismo hash. En términos prácticos, cuando se rompe una función hash, puede entrar en sistemas HTTPS, es decir, el sistema de cifrado que actualmente protege al menos la mitad de la web.

Sin embargo, la tecnología ha cambiado mucho en los últimos años y, en consecuencia, este algoritmo ha sido progresivamente cada vez menos seguro, hasta el punto de haber obtenido el primer hash de colisión, mostrando que esto ya estaba completamente roto. Los investigadores de Google han demostrado que a través de una potencia de computación adecuada de aproximadamente 110 años de computación desde una sola GPU para una de las fases, es posible producir una colisión, lo que rompe concretamente el algoritmo. Se sabe desde hace algún tiempo que esto podría suceder, pero nadie antes había podido probarlo.

Google se reserva un plazo de aproximadamente 90 días antes de explicar en detalle cómo logró lograr ese resultado, pero ahora que la prueba se ha extendido, cualquiera que tenga la potencia informática adecuada puede producir una colisión SHA. -1, haciendo que el algoritmo sea inseguro y obsoleto.

Tal vez los investigadores de Google no sean exactamente los primeros en lograr tal resultado, en el pasado había rumores de que allNSA ya lo había hecho, pero oficialmente son los primeros en hablar de ello, lo que plantea un problema importante para cualquiera que use SHA-1. Él ha estado lidiando con la criptografía y ha previsto este escenario durante años, comenzando a hacer predicciones no solo sobre cómo producir estas interrupciones, sino también estimando la potencia de computación indispensable para este propósito.

Hay muchos sitios que se han separado de SHA-1, en 2014 el 90% del cifrado se utilizó enb, pero fue abandonado en gran medida en los años siguientes. A partir del 1 de enero, todos los principales navegadores han mostrado una advertencia al visitar un sitio protegido por SHA-1. En cualquier caso, cualquier persona con un proveedor de certificados promedio ya está a salvo.

SHA-1 todavía se usa en un par de lugares fuera del cifrado web por ejemplo los archivos Git pero como ha quedado obsoleto durante algún tiempo, este algoritmo no debería tener un impacto tan generalizado.

Google pretendía resaltar su nombre en el asunto. El proceso que condujo al abandono progresivo de SHA-1 requirió mucho tiempo y esfuerzo y no todos estaban a favor de tal movimiento.

El resultado fue un apuro por hacer el cambio y el equipo de seguridad de Chrome de Google proporciona los medios para hacer la transición rápidamente. Chrome comenzó a forzar a los sitios a deshacerse de SHA-1 en 2014, Mucho antes que los otros navegadores y los primeros pasos dados han causado problemas importantes a los proveedores de certificados, pero ahora que la evidencia de la colisión tangible, el equipo de seguridad de Chrome parece haberse movido de manera bastante inteligente.

En un sentido más amplio, es una lucha sobre cómo hacer la web más segura. Para aquellos que fabrican teléfonos inteligentes o venden aplicaciones, vale la pena excluir por completo un algoritmo inestable. Cada vez que un algoritmo como SHA-1 falla, las redes publicitarias son las primeras en pagar los costos, por lo que Google ha invertido tanto para asegurarse de que los sistemas criptográficos sean funcionales e inviolables. Una curiosidad matemática, pero es una victoria para el propio Google. Los que seguían diciendo que SHA-1 era inestable tenían razón.

SHA-1 algoritmo de Google