|
Project Zero, el equipo de hackers de Google para mejorar la seguridad en Internet, ha realizado la primera colisión SHA-1 de la historia.
SHA-1 es una función hash que permite crear una huella digital única de un archivo. SHA-1 es considerado teóricamente vulnerable desde 2005 (ya que, supuestamente, desde ese año existe potencia de cálculo suficiente como para que pueda comprometerse) y el Instituto Nacional de Estándares Tecnológicos (NIST) lo ha considerado obsoleto desde 2011. Sin embargo, continúa utilizándose en innumerables entornos.
El 23 de febrero de 2017, Project Zero, en colaboración con el CWI Amsterdam (Centrum voor Wiskunde & Informatica), anunciaba que había hecho realidad la primera colisión de SHA-1 de la historia. No sólo se utilizó fuerza bruta, sino que se empleó una capacidad de cálculo equivalente a 100 años de cálculos llevados a cabo por un procesador gráfico GPU o 6500 años por una CPU estándar.
La colisión supone la posibilidad de que haya dos documentos que generaran como salida el mismo resumen criptográfico, es decir, pone de manifiesto que el algoritmo no puede afirmar a ciencia cierta que un archivo firmado por SHA-1 es realmente único en todo el mundo. Esto permitiría a un atacante reemplazar dos archivos sin levantar sospechas.
Algunas compañías, como GitHub, han decidido seguir las recomendaciones de numerosos criptógrafos de dejar de usar SHA-1 y se han adaptado a este reciente descubrimiento. Se prevé que la industria tome ejemplo y migre a alternativas más seguras, como SHA-256 o superiores.
|
Secretaría: