Obsolescencia SHA-1

Hashes

Los algoritmos que generan hashes son una de las piezas básicas para la criptografía. Entre sus usos más importante está la validación de certificados (o firmas) digitales. Genera una especie de huella digital de un documento; de longitud fija, con varias características de seguridad.

Vulnerabilidad

Se han desarrollado ataques teóricos que reducen la fortaleza de SHA de 280 a 260. Si bien esto no ha sido explotado, incluso con un intento de dos años utilizando cómputo distribuido, los ataques criptográficos solo pueden mejorar.

Explotabilidad

Hasta el día de hoy NO ha habido ningún ataque que permitiría violar una firma digital o falsificar un certificado firmado con SHA-1. Los ataques que se han hecho han sido contra versiones reducidas o sobre la complejidad. Lo más que se ha logrado es obtener al mismo tiempo dos cadenas aleatorias que llegan al mismo hash. Esto no permite atacar certificados digitales.

Ataque

En caso de que se descubrieran nuevos ataques, sería potencialmente posible para un atacante con suficiente capacidad de cómputo generar un certificado falso indistinguible de uno verdadero.

Impacto

Los principales navegadores (ver referencias) van a marcar como inseguros los certificados públicos firmados con SHA-1 a partir de Enero 2017. Curiosamente, los certificados emitidos por CAs privadas, NO serán afectados. Las CAs públicas llevan más de un año emitiendo únicamente certificados SHA-2, por lo que probablemente ya hayan sido migrados todos los que se requiere migrar urgentemente. De cualquier manera los privados y todos los usos de SHA-1 para firmas deben actualizarse. Son pocos y viejos los sistemas operativos (XP y 2003 Server, por ejemplo) que requieren parches para poder soportar SHA-2.

Normativa

NIST Special Publication 800-57 Part 1

Recommendation for Key Management

NIST Special Publication 800-131A

Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths

Referencias

CA/Browser Forum
Microsoft Internet Explorer
Mozilla Firefox
Google Chrome
Información General y Técnica

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s