Hace 2 años Google ponía encima de la
mesa el reloj de vida del cifrado SHA-1 demostrando su debilidad mediante un
ataque por colisión (Entendemos colisión por dos flujos de datos distintos que
comparten un mismo hash).
La semana pasada, mediante el estudio
del ataque por colisión con prefijo elegido, se consiguió bajar aun más la
complejidad que, en estos momentos, oscila entre 2^66,9 y 2^69,4. Para tener un
baremo sobre el que trabajar, en 1995 se calculó que harían falta 2^80
combinaciones de media para llevar a cabo un ataque por fuerza bruta que
buscase colisiones en prefijos idénticos, lo que sería muy laborioso,
computacionalmente hablando, y menos práctico para un atacante ya que es el
propio algoritmo el que decide los mensajes donde se encuentra la colisión.
Esta nueva técnica permite llevar a
cabo ataques por colisión con unas premisas personalizadas, dejando atrás las
colisiones «accidentales», lo que abre una nueva puerta a los atacantes para
que puedan tener el control de los archivos que deseen duplicar o crear. Esto
significa que un atacante podría falsificar cualquier fichero cifrado mediante
SHA-1.
Cabe destacar que en 2005 se rompió el
algoritmo SHA-1 de forma teórica y en 2017, académicos de Google, consiguieron
el primer ataque de colisión SHA-1 exitoso del mundo, conocido como
«SHAttered». Esta hazaña costó 110.000$.
Después de eso, tan solo 2 años más
tarde, un equipo de investigadores de Francia y Singapur, apoyándose en el
estudio de SHAttered, dio una nueva vuelta de tuerca al asunto y demostró de
forma teórica un ataque por colisión con el prefijo elegido. Todo esto está recogido
en este documento titulado: «Desde
las colisiones a las colisiones con prefijo elegido en SHA-1«.
Es posible que pronto se vean los
primeros ataques prácticos de colisión de prefijos elegidos en SHA-1, como pasó
con MD5.
Más
información:
·
Qué
ha pasado con SHA-1 y el nuevo ataque. Una explicación sencillahttps://empresas.blogthinkbig.com/nuevo-ataque-sha-1-explicacion/
·
SHA-1
ha muerto, ataque de colisión con prefijo elegidohttps://blog.segu-info.com.ar/2019/05/sha-1-ha-muerto-ataque-de-colision-con.html
Fuente: Hispasec