Fran 🐝 Brizzolis

hace 7 años · 2 min. de lectura · ~10 ·

Blogging
>
Blog de Fran 🐝
>
¿Qué es un ataque por colisión? ... Descifrando el algoritmo SHA-1

¿Qué es un ataque por colisión? ... Descifrando el algoritmo SHA-1

SHAttered

LL EREY

 

pa, \ DS \
3 a
: Bo BE °
aN 9+ N aN oe a
a a
: Ho IE °

 

Attack complexity

6,854,775,808

s performed

  

 

Shattered compared to otner collision attacks

 

0



¿Qué es un ataque de colisión?


Básicamente, se trata de la obtención de un mismo resultado cifrado cuando se pasan dos valores distintos a cifrar. En realidad, todas las funciones criptográficas son susceptibles de tener colisiones, ya que se pueden pasar por estas una cantidad infinita de valores, pero los posibles resultados sí son finitos. Entonces, ¿dónde está la seguridad? Básicamente, en la falta de potencia de procesamiento de los ordenadores actuales, con los cuales no se puede provocar una colisión en un periodo de tiempo razonable (de hecho, en la infografía se menciona 1 año). Cuanto mayor sea la longitud de salida, más difícil será provocar una colisión con el hardware actual. Actualmente existen tanto SHA-2 como SHA-3, así como SHA-224, SHA-256, SHA-384 y SHA-512, siendo el sufijo la longitud de bits empleado por la función criptográfica de hash.


Esta imagen explica de manera muy simple lo que es un ataque de colisión, en el cual vemos cómo se obtiene el mismo resultado tras cifrar dos ficheros diferentes.


SHA-1 (Secure Hash Algorithm 1) fue diseñada por la NSA y publicada en 1995. Como ya hemos comentado, todavía sigue siendo usada a pesar de que no se recomienda, debido a que en 2005 los analistas en criptografía descubrieron fallos teóricos que podrían ser usados para provocar ataques de colisión. Esta situación es bastante peligrosa, ya que permitiría a los atacantes reemplazar ficheros sin levantar ninguna sospecha.


Esto provocó que los analistas recomendasen cambiar SHA-1 por versiones más recientes, como SHA-2 y SHA-3. Por otro lado, SHA-1 fue declarado oficialmente obsoleto en otoño de 2015, cuando investigadores de distintas universidades publicaron un informe relacionado con una investigación que fue bautizado como The SHAppening.



300f2e76.jpg 

Google consiguió provocar el ataque de colisión con la ayuda de investigadores neerlandeses


Google se alió con dos investigadores neerlandeses que formaron parte del equipo posterior a The SHAppening para realizar con éxito el ataque de colisión con SHA-1.


Aun así, para conseguir esa hazaña el equipo ha tenido que contar con grandes medios, como una inmensa potencia computacional y la ayuda de cinco de los mayores expertos de Google en criptografía, que se han sumado a los dos neerlandeses.


Los investigadores publicaron su descubrimiento el mes pasado, detallando todo el proceso de colisión. Sin embargo, la prueba de concepto no será publicada hasta el mes de mayo, tras pasar 90 días contando a partir del 23 de febrero.


Google ha publicado los dos ficheros PDF con los cuales ha conseguido obtener el mismo resultado tras aplicarles SHA-1. La siguiente infografía muestra cómo ha sido producido, además de los sistemas y servicios que pueden ser potenciales víctimas del mismo tipo de ataque.







Referencias:


https://sites.google.com/site/itstheshappening/

https://es.wikipedia.org/wiki/Funci%C3%B3n_hash

https://es.wikipedia.org/wiki/Secure_Hash_Algorithm#SHA-1

http://blog.segu-info.com.ar/2017/02/google-anuncia-el-primer-ataque-de.html

http://unaaldia.hispasec.com/2017/02/demostracion-practica-de-colision-en.html

https://arstechnica.com/security/2015/10/sha1-crypto-algorithm-securing-internet-could-break-by-years-end/



""
Comentarios

Artículos de Fran 🐝 Brizzolis

Ver blog
hace 5 años · 3 min. de lectura

Los mecanismos conocidos como "skimmers de tarjetas" han sido una amenaza importante para la segurid ...

hace 5 años · 3 min. de lectura

El programa · Pegasus, fue creado por la firma NSO Group para espiar exclusivamente a bandas crimina ...

hace 5 años · 7 min. de lectura

¡Hola abejas!... Después de un final e inicio de año un tanto accidentado, ( 2 averías casi consecut ...

Puede que te interesen estos puestos de trabajo

  • Cronoshare

    Sesiones de psicología para tratar autoestima, ataques de pánico

    Encontrado en: Cronoshare ES C2 - hace 5 días


    Cronoshare Bilbao (Vizcaya), España

    Chico de 17 años que no sabe controlar los nervios. Por ejemplo, hace una semana fuimos a urgencias por una posible complicación pulmonar durante un proceso vírico y, al escuchar hablar de una posible neumonía, se puso muy pero que muy nervioso. La primera prueba que le hicieron ...

  • Cronoshare

    Presupuestos de peritos de accidentes de tráfico para evaluar lesiones

    Encontrado en: Cronoshare ES C2 - hace 2 horas


    Cronoshare Valencia (Valencia), España

    Necesito un servicio de Perito de accidentes de tráfico con las siguientes características:¿Qué tipo de perito/a necesitas? · Perito de accidentes de tráfico · ¿Para qué necesitas al perito? · Evaluar lesiones · ¿Quién solicita el perito? · Persona particular · Tipo de accidente ...

  • Sitly

    Sílvia busca canguro o niñera

    Encontrado en: Sitly ES C2 - hace 1 día


    Sitly Mairena del Alcor, España A tiempo parcial

    Hola, soy Slvia la mam de Ennar, un beb grande de 17 meses. · Ennar es un beb que an no camina, ni habla. Suele ser un beb tranquilo y muy risueo, pero tambin tiene su carcter, que apenas saca a relucir. No llora, a menos que se haga dao, se asuste o tenga un ataque de hambre rep ...