Portada
Hace 4 años | Por mr_b a unaaldia.hispasec.com
Publicado hace 4 años por mr_b a unaaldia.hispasec.com

Reducida la complejidad del hash SHA-1

 unaaldia.hispasec.com

Hace 2 años Google demostraba la debilidad del algoritmo SHA-1 mediante un ataque por colisión (entendiendo colisión como dos flujos de datos distintos que comparten un mismo hash). La semana pasada, mediante el estudio del ataque por colisión con prefijo elegido, se consiguió bajar aun más la complejidad que, en estos momentos, oscila entre 266,9 y 269,4. Esta nueva técnica permite llevar a cabo ataques por colisión con premisas personalizadas permitiendo a un atacante falsificar cualquier fichero cifrado mediante SHA-1.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 352 11

Comentarios

sillycon
editado

El SHA-1 se considera inseguro desde 2017, en TLS se recomienda desactivarlo en los servidores, y los clientes incluso lo rechazan dependiendo de la configuración.
Hoy en día mínimo SHA256.

Si aun tienes el certificado hasheado con MD5 o SHA1 ya está tocando renovarlo. Los proveedores te lo hacen gratis.

https://www.chromium.org/Home/chromium-security/education/tls/sha-1

V 5
K 56
D

#4 Si hoy en día tienes el certificado hasheado con MD5, tienes que dedicarte a otra cosa, pero a la administración de servidores mejor que no.

V 0
K 7
sillycon

#9 De hecho, si tienes un certificado con MD5 o te ha caducado o no te lo acepta nadie, así que si no te has dado cuenta, regulín.

V 0
K 7
Nylo

Yo no me fío de ninguno, a mis listas de contraseñas les hago el cifrado yo mismo, con un método más seguro que esos pero, sobretodo, mío personal y único en el mundo. Estoy tan convencido de su seguridad que reto a cualquier aficionado o profesional de la cyberseguridad de por aquí a que lo rompa y descifre un texto de prueba, cifrado con una contraseña de prueba. Le facilitaría el texto cifrado y el código del descifrador (un archivo de Excel, sin macros, sólo fórmulas aunque complejas). Recompenso el éxito con 100€. Interesados responder a este mensaje.

V 0
K 10
x

"demostró de forma teórica un ataque por colisión con el prefijo elegido". Vamos, que no hay que correr en círculos brazos en alto (aún)

V 1
K 10
ccguy

#1 Una vez está demostrada la teoría la implementación te la hace cualquier becario de Google

V 0
K 19
D

#1 Básicamente porque además todo lo cifrado con SHA-1 ya se están sustituyendo por SHA-256 desde hace años

V 1
K 18
Casanotra

Me hace gracia ver a la gente diciendo que sólo los perdedores usan SHA-1.
Cuando además el principal uso que se le da es para las password junto a un salto, algo que sigue siendo ultra-seguro.

La vulnerabilidad que aquí se detalla trata sobre la falsificación de ficheros (que ya tienes el hash a comprometer), no sobre la password.

V 0
K 9
D
editado

El problema ya no es tanto en cambiar a sha256 sino qué pasa con lo que se firmó con sha1, hoy por hoy sería ya posible falsificar esa firma pasada si en su momento no fue verificada por un tercero y estampado un sello de tiempo con una firma más fuerte como prueba.

V 0
K 7
Candidatas
10
meneos
tecnología El sistema que enfría edificios sin usar aire acondicionado: baja la temperatura varios grados sin gastar energía
7
meneos
tecnología ¿Cuántos coches eléctricos hay en España?
11
meneos
tecnología Una capa de oro de un solo átomo: los investigadores de LiU crean goldene (eng)
18
meneos
tecnología Se suponía que las escuelas simplemente bloquearían la pornografía. En lugar de eso, sabotearon las tareas escolares y censuraron los sitios de prevención del suicidio (EN)
13
meneos
tecnología El ex presidente de Blizzard propone dejar una propina de 10 o 20 dólares a los desarrolladores por sus juegos
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
9
meneos
tecnología Sí, has oído bien, se ha filtrado una nueva versión de Windows 7
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
5
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
7
meneos
tecnología El 87% de los compradores de un Tesla en E.E.U.U volverían a comprárselo
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
4
meneos
tecnología Intel Construye El Sistema Neuromórfico "inspirado En El Cerebro" Más Grande Del Mundo: Hala Point + Buscando Una IA Más Sostenible
5
meneos
tecnología Mario conoce a Pareto (ENG)
8
meneos
tecnología Tiktoktives Cap.2
20
meneos
tecnología Starlink tiene miles de cámaras instaladas en el espacio. La gente lo ha descubierto porque han grabado el eclipse
15
meneos
tecnología Paga 14.000 euros por 10 horas de trabajo a un artista que utiliza IA y se emociona al asegurar que "nadie está a su nivel"
6
meneos
tecnología Cómo verificar la autenticidad y el origen de fotografías y vídeos
16
meneos
tecnología Dwarf Fortress: La simulación más compleja jamás creada
6
meneos
tecnología GPT-4 Turbo llega a los usuarios de ChatGPT Plus. Ahora sus respuestas son más directas y sufren menos verborrea
VadoHorario

¿Sha-1? Yo aun me hago pajas con la mano.

V 0
K 6
D

A nadie más le parece que esa noticia es una basura? Que se limita a decir que alguien ha hecho algo y ya?

V 0
K 6