¿Qué es un ataque por colisión? ... Descifrando el algoritmo SHA-1

¿Qué es un ataque de colisión?

Básicamente, se trata de la obtención de un mismo resultado cifrado cuando se pasan dos valores distintos a cifrar. En realidad, todas las funciones criptográficas son susceptibles de tener colisiones, ya que se pueden pasar por estas una cantidad infinita de valores, pero los posibles resultados sí son finitos. Entonces, ¿dónde está la seguridad? Básicamente, en la falta de potencia de procesamiento de los ordenadores actuales, con los cuales no se puede provocar una colisión en un periodo de tiempo razonable (de hecho, en la infografía se menciona 1 año). Cuanto mayor sea la longitud de salida, más difícil será provocar una colisión con el hardware actual. Actualmente existen tanto SHA-2 como SHA-3, así como SHA-224, SHA-256, SHA-384 y SHA-512, siendo el sufijo la longitud de bits empleado por la función criptográfica de hash.

Esta imagen explica de manera muy simple lo que es un ataque de colisión, en el cual vemos cómo se obtiene el mismo resultado tras cifrar dos ficheros diferentes.

SHA-1 (Secure Hash Algorithm 1) fue diseñada por la NSA y publicada en 1995. Como ya hemos comentado, todavía sigue siendo usada a pesar de que no se recomienda, debido a que en 2005 los analistas en criptografía descubrieron fallos teóricos que podrían ser usados para provocar ataques de colisión. Esta situación es bastante peligrosa, ya que permitiría a los atacantes reemplazar ficheros sin levantar ninguna sospecha.

Esto provocó que los analistas recomendasen cambiar SHA-1 por versiones más recientes, como SHA-2 y SHA-3. Por otro lado, SHA-1 fue declarado oficialmente obsoleto en otoño de 2015, cuando investigadores de distintas universidades publicaron un informe relacionado con una investigación que fue bautizado como The SHAppening.

Google consiguió provocar el ataque de colisión con la ayuda de investigadores neerlandeses

Google se alió con dos investigadores neerlandeses que formaron parte del equipo posterior a The SHAppening para realizar con éxito el ataque de colisión con SHA-1.

Aun así, para conseguir esa hazaña el equipo ha tenido que contar con grandes medios, como una inmensa potencia computacional y la ayuda de cinco de los mayores expertos de Google en criptografía, que se han sumado a los dos neerlandeses.

Los investigadores publicaron su descubrimiento el mes pasado, detallando todo el proceso de colisión. Sin embargo, la prueba de concepto no será publicada hasta el mes de mayo, tras pasar 90 días contando a partir del 23 de febrero.

Google ha publicado los dos ficheros PDF con los cuales ha conseguido obtener el mismo resultado tras aplicarles SHA-1. La siguiente infografía muestra cómo ha sido producido, además de los sistemas y servicios que pueden ser potenciales víctimas del mismo tipo de ataque.

Referencias:

https://sites.google.com/site/itstheshappening/

https://es.wikipedia.org/wiki/Funci%C3%B3n_hash

https://es.wikipedia.org/wiki/Secure_Hash_Algorithm#SHA-1

http://blog.segu-info.com.ar/2017/02/google-anuncia-el-primer-ataque-de.html

http://unaaldia.hispasec.com/2017/02/demostracion-practica-de-colision-en.html

https://arstechnica.com/security/2015/10/sha1-crypto-algorithm-securing-internet-could-break-by-years-end/