¿Qué es un ataque por colisión? ... Descifrando el algoritmo SHA-1
¿Qué es un ataque de colisión?
Básicamente, se trata de la obtención de un mismo resultado cifrado cuando se pasan dos valores distintos a cifrar. En realidad, todas las funciones criptográficas son susceptibles de tener colisiones, ya que se pueden pasar por estas una cantidad infinita de valores, pero los posibles resultados sí son finitos. Entonces, ¿dónde está la seguridad? Básicamente, en la falta de potencia de procesamiento de los ordenadores actuales, con los cuales no se puede provocar una colisión en un periodo de tiempo razonable (de hecho, en la infografía se menciona 1 año). Cuanto mayor sea la longitud de salida, más difícil será provocar una colisión con el hardware actual. Actualmente existen tanto SHA-2 como SHA-3, así como SHA-224, SHA-256, SHA-384 y SHA-512, siendo el sufijo la longitud de bits empleado por la función criptográfica de hash.
Esta imagen explica de manera muy simple lo que es un ataque de colisión, en el cual vemos cómo se obtiene el mismo resultado tras cifrar dos ficheros diferentes.
SHA-1 (Secure Hash Algorithm 1) fue diseñada por la NSA y publicada en 1995. Como ya hemos comentado, todavía sigue siendo usada a pesar de que no se recomienda, debido a que en 2005 los analistas en criptografía descubrieron fallos teóricos que podrían ser usados para provocar ataques de colisión. Esta situación es bastante peligrosa, ya que permitiría a los atacantes reemplazar ficheros sin levantar ninguna sospecha.
Esto provocó que los analistas recomendasen cambiar SHA-1 por versiones más recientes, como SHA-2 y SHA-3. Por otro lado, SHA-1 fue declarado oficialmente obsoleto en otoño de 2015, cuando investigadores de distintas universidades publicaron un informe relacionado con una investigación que fue bautizado como The SHAppening.
Google consiguió provocar el ataque de colisión con la ayuda de investigadores neerlandeses
Google se alió con dos investigadores neerlandeses que formaron parte del equipo posterior a The SHAppening para realizar con éxito el ataque de colisión con SHA-1.
Aun así, para conseguir esa hazaña el equipo ha tenido que contar con grandes medios, como una inmensa potencia computacional y la ayuda de cinco de los mayores expertos de Google en criptografía, que se han sumado a los dos neerlandeses.
Los investigadores publicaron su descubrimiento el mes pasado, detallando todo el proceso de colisión. Sin embargo, la prueba de concepto no será publicada hasta el mes de mayo, tras pasar 90 días contando a partir del 23 de febrero.
Google ha publicado los dos ficheros PDF con los cuales ha conseguido obtener el mismo resultado tras aplicarles SHA-1. La siguiente infografía muestra cómo ha sido producido, además de los sistemas y servicios que pueden ser potenciales víctimas del mismo tipo de ataque.
Referencias:
https://sites.google.com/site/itstheshappening/
https://es.wikipedia.org/wiki/Funci%C3%B3n_hash
https://es.wikipedia.org/wiki/Secure_Hash_Algorithm#SHA-1
http://blog.segu-info.com.ar/2017/02/google-anuncia-el-primer-ataque-de.html
http://unaaldia.hispasec.com/2017/02/demostracion-practica-de-colision-en.html
""
Artículos de Fran 🐝 Brizzolis
Ver blog¡Hola abejas!... Aquí sigo intentando recuperar el ritmo, y como siempre recopilando información que ...
En mi · último artículo · os comentaba que había comenzado un curso "bastante exigente" que me oblig ...
¡Hola abejas!... · ¿No pensaríais que os ibais a librar de mi verdad? · Bueno ya se acaba 2018, y ...
Puede que te interesen estos puestos de trabajo
-
Jefe/a de Partida
Encontrado en: beBee S2 ES - hace 1 semana
Sha Wellness Clinic Albir, L', España De jornada completa**Objetivo:**. Buscamos un Chef de Partie talentoso y apasionado que ayude a liderar y gestionar una de las áreas específicas de cocina en SHA Wellness Clinic. El objetivo principal del rol es garantizar la preparación y presentación de platos excepcionales y el mantenimiento de ...
-
Abogado especializada en accidentes de tráfico
Encontrado en: Cronoshare ES C2 - hace 14 horas
Cronoshare Parla (Madrid), EspañaMi coche quedó destrozado estando aparcado tras una colision múltiple con una persona lesionada que estaba fuera entre mi vehículo y el de delante. · Al no estar presente no conozco más detalles y al parecer nadie me dice nada aparte de que tengo que esperar porque hay una vía ju ...
-
Adiestrador de perros para pastor belga malinois
Encontrado en: Cronoshare ES C2 - hace 4 días
Cronoshare Marchena (Sevilla), EspañaTiene impulsos para ir por personas o niños con pelotas o que van en patinete eléctrico o en bici. · Cuando está en el coche le entran ataques de ir a por los coches que pasen por al lado, pero cuando pasea en un paseo de 1:30 o 2 horas no tiene ese problema solo tiene lo que he ...
Comentarios