Google ha roto definitivamente el hash criptográfico SHA1
SHA1 es un algoritmo criptográfico de hash creado en 1995 y que, durante mucho tiempo, ha sido utilizado ampliamente utilizado para asegurar datos, comprobar su integridad y para garantizar la seguridad de las conexiones a Internet. Sin embargo, la tecnología ha cambiado mucho en los últimos años y, por lo tanto, este algoritmo ha sido siendo cada vez menos seguro hasta el punto de conseguir la primera colisión de Hash, demostrando así que este está ya totalmente roto.
No es la primera vez que se dice que el algoritmo SHA1 es inseguro y está roto. A finales de 2015 ya pudimos ver cómo se habían encontrado varias debilidades en el mismo que, en la teoría, podía ser roto, aunque para poder demostrarlo se necesitaría un sistema de más de 100.000 dólares y varios años de computación. Ahora, Google lo ha roto en la práctica.
Desde este anuncio de 2015 hasta ahora las cosas han cambiado y, tal como nos informan los compañeros de AdslZone, ayer Google ha hecho pública la primera colisión en el hash SHA1, demostrando así la ineficacia del antiguo algoritmo y su nula seguridad. Cuando calculamos la suma de Hash de un fichero conseguimos una serie de caracteres hexadecimales que, en teoría, debería ser única. Gracias a esto podemos saber si un archivo que originalmente tenía un hash “abc”, tras enviarlo por Internet, el destinatario consigue la misma suma “abc” y no una suma diferente que podía indicar que el archivo ha sido modificado en un punto intermedio de la transferencia e incluso que se ha descargado mal.
Lo que ha hecho Google ha sido conseguir que dos archivos diferentes tengan el mismo Hash, demostrando así que es posible una colisión y que este algoritmo está ya, oficialmente, roto.
De todas formas, el proceso no ha sido fácil, y ha requerido de 9,223,372,036,854,775,808 de ciclos. Mientras que romper este algoritmo por fuerza bruta llevaría más de un año utilizando 12 millones de tarjetas gráficas trabajando a la vez, con la nueva técnica “solo” han sido necesarias 110 tarjetas gráficas trabajando durante un año para llegar al resultado.
En el caso de los algoritmos MD5, la cosa es mucho más sencilla, y es que estos pueden romperse en tan solo 30 segundos utilizando un simple smartphone. Podemos ver más información sobre el proceso de rotura el algoritmo en la web de SHAttered.
Por suerte, ya casi nadie utiliza SHA1, incluso está bloqueado en muchos navegadores y servicios web
Por suerte, aunque Google acaba de demostrar la ineficacia de este algoritmo y dejarlo completamente roto, hoy en día prácticamente no se utiliza para nada, ya que existen varias revisiones como SHA2 y SHA3 totalmente seguras a día de hoy. Además, a finales del año pasado, los navegadores web han empezado a bloquear estos algoritmos por defecto, así como muchas páginas web, como Facebook, que incluso los han eliminado de sus servidores al ser ya totalmente inútiles, además de seguros.
Las grandes empresas de Internet como Google y Microsoft trabajan a diario en hacer las conexiones más seguras, por lo que, poco a poco, todo va cambiando hacia protocolos y algoritmos más seguros, siendo uno de los predilectos hoy en día SHA256.
Fue originalmente publicado en: Sectorx.com.ar