Novedades Sobre NXnet

24/02/2017

Google logra vulnerar uno de los protocolos fundamentales de seguridad en Internet

La compañía demostró que el algoritmo SHA-1 ya no es seguro para proveer seguridad a los sitios web.

El jueves, Google anunció que ha descubierto una técnica para generar una colisión en el algoritmo SHA-1, una parte fundamental del protocolo de seguridad de Internet. El anuncio marcaría efectivamente la muerte de esta tecnología.

SHA-1 es una función de hashing utilizada para cifrar información. Genera una cadena aleatoria de caracteres que actúan como una huella digital para la información de texto sin formato, asegurándose de que nadie excepto el destinatario deseado pueda acceder a la información. Los sistemas de hash se utilizan comúnmente para los sistemas de inicio de sesión, que necesitan verificar una contraseña correcta sin exponerla. Debido a que es muy poco probable que los valores hash sean idénticos, es fácil para un sistema verificar su valor.

Una colisión sucede cuando dos archivos diferentes producen el mismo valor de hash. Cuando eso sucede, un atacante podría distribuir un archivo malicioso que comparte el mismo hash que un archivo legítimo. Esto abre la posibilidad de un ataque generalizado.

Google, en efecto, pudo ejecutar con éxito un ataque de colisión en SHA-1. Los investigadores de la compañía fueron capaces de aprovechar el poder de cálculo suficiente para romper el algoritmo. El ataque tomó nueve quintillion cálculos en total y requirió 6.500 años de cómputo de CPU y 110 años de cómputo de GPU para completar, según Google. Ese no es el tipo de poder de cómputo a la que la mayoría de la gente tiene acceso, pero Google no es la única organización en el mundo que teóricamente podría crear la colisión.

Un ataque de colisión particularmente devastador se lanzó en 2012 contra el algoritmo MD5, en el que un malware conocido como Flame fue capaz de forjar un certificado de Windows y distribuirse a través de parches a millones de clientes. SHA-1 ahora se ha mostrado vulnerable a un tipo similar de ataque. Si bien la colisión producida por Google es menos devastadora que la utilizada por Flame, basta con que los criptógrafos consideren que la función hash no es segura.

Aunque SHA-1 no se había roto antes del ataque de colisión de Google, los expertos han asumido desde hace algún tiempo que un ataque de estas características puede ser posible. Debido a la inevitable creencia de una colisión en SHA-1, algunos sitios y servicios ya se han alejado del algoritmo.

Para evitar riesgos de seguridad lo mejor que se puede hacer es simplemente prestar atención a las señales de advertencia que el navegador proporciona. Browsers como Google Chrome, Mozilla Firefox y Microsoft Edge avisarán a los usuarios si están en un sitio que tiene su cifrado firmado por el algoritmo SHA-1. Estos sitios se considerarán no seguros y pueden verse comprometidos.

google vulnera