Google acaba de romper SHA-1

  • 1 Respuestas
  • 1621 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Yavi

  • *
  • Underc0der
  • Mensajes: 166
  • Actividad:
    0%
  • Reputación 0
  • Es como una pagina redirigiendose a si misma
  • Skype: [email protected]
  • Twitter: @YaviOS64
    • Ver Perfil
    • Email

Google acaba de romper SHA-1

  • en: Febrero 24, 2017, 04:28:32 am

Google ha hecho un anuncio impactante sobre la criptografía, demostrando una colisión en el algoritmo SHA-1. Si algo pintaba bien, ahora no pinta nada bien, aunque siempre se habló de que no parecía que pintara tan bien, total. Google ha hecho un anuncio en el cual demuestra una posible colisión con el señor SHA-1, pero no hay porque correr (al menos que sí), ya que hoy en día pocos servicios fían su seguridad en SHA-1, ahora google demuestra su gran poder, dando a conocer algo que por encima es sólo un problema de seguridad... grave.

Gracias a una gran potencia de cálculos, Google ha demostrado (públicamente, no como la NSA) que SHA-1 es rompible. Al menos, nos ha hecho la bondad de darnos a conocer el hecho. Por eso, si usas SHA-1 en tus aplicaciones, mejor ve considerando si son (las apps) lo suficientemente importantes como para mudarse a otro algoritmo más... difícil de romper.

Como todos sabéis, sha1 es una función de hashing, y en lo que respecta a la verificación de la integridad de archivos, ésta es usada para producir un hash único para cada archivo y así poder verificar que un archivo trasmitido por la red es el mismo que se ha recibido, de esta forma se está tranquilo, hasta ahora. Si dos archivos tiene el mismo hash, entonces se trata del mismo archivo (en teoría, porque google ha demostrado que no siempre es así). Una cosa que también intrigante es que SHA-1 está siendo usada en muchos sistemas de inicio de sección, de esta forma se compara los hashes de las claves y no éstas directamente.

Y si no me crees, compara los archivos http://shattered.io/static/shattered-1.pdf y http://shattered.io/static/shattered-2.pdf. Mira aquí, desde http://onlinemd5.com/ :


y...


Como podemos ver en las imágenes anteriores, dos archivos dan el mismo hash produciendo una colisión. Esto es cuando dos cosas distintas producen el mismo hash, permitiendo así poder pasar un archivo que no es, como uno que se ha solicitado por la red, ejemplo: un malware. Esta colisión permitirá romper HTTPS, enviando malware y comprometiendo a muchas personas.

Ya se estaba hablando anteriormente (unos años atrás) sobre una posible colisión en el algoritmo SHA-1, incluso de un cómo y de cuánto recurso de cómputo se necesitaría para lograrlo, pero Google fue el primero en hacerlo (público), en demostrarlo, porque nadie se atrevía (?). Git usa, o usaba, sha1 para comprobar actualizaciones, pero esto ya es otro tema.

Citar
 As of January 1st, every major browser will show you a big red warning when you visit a site secured by SHA-1.

Muchos piensan que esta caída de SHA-1, tan pública, es oportunismo por parte de Google para posicionarse en lo que respecta a rendimiento en seguridad web. Anteriormente, el navegador Chrome notificaba sobre los proveedores de certificados en sitios web que usaban sha1, ahora que todo está público, han quedado como los que "tenían razón". Cabe destacar que Google es una empresa que se basa mucho en publicidad web y tiene que asegurar a sus clientes que cuentan con un buen sistema de seguridad de cifrado, ellos no querían que se conociera una noticia como esta por parte de otras entidades o individuos, que comprometa la fiabilidad de sus cliente. Aunque parezca contraproducente que Google haya roto un algoritmo, esto fuerza a un cambio en el sistema de cifrado por parte de muchas webs. Todo para evitar que sus cliente queden insatisfechos.

Citar
So while it might seem like a mathematical curiosity, this is really a victory lap for Google — and one that cost quite a bit of server time. People have been saying SHA-1 was shaky for years, and now we all know they were right. Luckily, we all listened to the crypto folks, and nothing too serious got broken.


Ahora bien, no es simplemente un cambio de algoritmo, esto también implica dinero, recurso, mano de obra. Habrá costo, no por el nuevo sistema de encriptación que se usará, sino porque este no se va a poner solo. Cabe destacar lo complejo que puede ser un cambio en diferentes dispositivos como servidores o router antiguos, pero funcionales que cambiarlo implicaría dinero. Lo claro es que después de una colisión, no tardará en llegar la próxima.

Citar
«"If the hash function is working properly, each file will produce a unique hash"

That’s not true. Hashes won’t be unique. There are more possible files than possible hashes, so collisions are inevitable. What makes a cryptographically secure hash function secure is its one-way nature. It’s supposed to be extremely difficult to work backwards from the hash to find files that will match it.» (balazer, 2017)

Ahora bien, ¿creéis que sea tan fatal como se ve?, sabemos que buenos proveedores de certificados de seguridad usan mejores algoritmos que el SHA-1, ¿es necesario mirar la tecnología actual para dejar totalmente a sha1 como cosa del pasado?, veamos...

Fuente:
The Verge, 23 de febrero del 2017, Google just cracked one of the building blocks of web encryption (but don’t worry). Ruta: http://www.theverge.com/2017/2/23/14712118/google-sha1-collision-broken-web-encryption-shattered

De interés:
https://blog.cryptographyengineering.com/2013/12/03/how-does-nsa-break-ssl/
« Última modificación: Febrero 25, 2017, 11:29:14 am por Gabriela »
"Eso es lo bueno de internet. De que sirve internet si chateas con tus vecinos??? para eso te sacas unas sillas al fresco y hablais y jugais a las cartas". @windux

Desconectado DUDA

  • *
  • Underc0der
  • Mensajes: 338
  • Actividad:
    0%
  • Reputación 1
  • Hago pocas cosas, pero las hago bien.
    • Ver Perfil

Re:Google acaba de romper SHA-1

  • en: Febrero 24, 2017, 12:57:24 pm
Gran aporte para tomar en cuenta al comprar un SSL.

Saludos,

 

Hallan en Google play ""app"" linterna que roba datos bancarios

Iniciado por Denisse

Respuestas: 0
Vistas: 1977
Último mensaje Mayo 01, 2017, 04:18:54 am
por Denisse
Google lanzó los dominios ".soy", destinados a los hispanoparlantes

Iniciado por Alejandro_99

Respuestas: 0
Vistas: 2231
Último mensaje Octubre 19, 2014, 11:50:44 pm
por Alejandro_99
Google ofrece "Programa de recompensas de parches"

Iniciado por Dragora

Respuestas: 0
Vistas: 343
Último mensaje Diciembre 19, 2019, 09:24:44 pm
por Dragora
Primer vistazo a la Google Card "filtrada"

Iniciado por Dragora

Respuestas: 0
Vistas: 950
Último mensaje Abril 20, 2020, 09:48:08 pm
por Dragora
Chrome Dev Editor, el IDE de Google para programar desde Chrome

Iniciado por Flemon

Respuestas: 0
Vistas: 3259
Último mensaje Julio 27, 2014, 12:45:58 pm
por Flemon