fernando_acero (fernando_acero) wrote,
fernando_acero
fernando_acero

Debilidad del SHA-1




Hace unos años investigadores chinos
habían logrado reducir la complejidad del algoritmo SHA-1 a 2^69, es decir, habían conseguido reducir su complejidad en 2^11 en relación con el ataque de cumpleaños de 2^80, dicho de otro modo, Shandong, Wang, Yin y Yu, durante la "Cripto Conference" de 2004, demostraron que habían debilitado el SHA-1 en un factor de 2048, lo que no es poco.

Ahora, según he podido leer en un boletín de Hispasec, unos investigadores australianos han logrado reducir su complejidad a 2^52, lo que es un logro impresionante, puesto que por cada unidad en la que se reduce el exponente, se reduce la fortaleza del algoritmo en un 50%. Dicho de otro modo, a fecha de hoy podemos decir que el algoritmo SHA-1 se ha debilitado en más de un 99,99% en relación con su fortaleza inicial consecuencia del ataque de cumpleaños, lo que es muy significativo, aunque nos parezca que 2^52 es una cifra suficientemente grande.

Si ya en el 2004/2005 se aconsejaba abandonar el SHA-1, con este nuevo avance logrado por los australianos, su sustitución por otros algoritmos más resistentes se hace casi indispensable. Una posible solución, hasta que se publique el SHA-3, es decir, el algoritmo que está llamado a sustituirlo, sería usar dos algoritmos, de forma independiente o anidada, por ejemplo SHA-1 Y RIPEMD-160, puesto que una colisión en SHA-1 es virtualmente imposible que coincida también en RIPEMD-160. La firma anidada complicaría además el ataque diferecial y cabría la posibilidad de usar SHA-1 para realizar las dos firmas, es decir, la del documento y la del documento más la primera firma. Esta solución de la firma múltiple tiene como ventajas que usa algoritmos disponibles en sistemas criptográficos de todo tipo y no implicaría un excesiva computación.

Hay que señalar, que los documentos que hayamos firmado usando SHA-1 y que deban tener vigor en el tiempo, podrían no ser seguros dentro de unos meses. Como norma general, deberíamos usar algoritmos criptográficos que estimemos que van a ser seguros en un tiempo equivalente a la esperanza de vida de la persona que los utiliza y un 50% más. Así si estimamos una esperanza de vida de 20 años, deberíamos usar un algoritmo con una vida estimada de 30 años.

Una caída del estándar SHA-1 también afectaría gravemente a la seguridad de los certificados digitales, puesto que sería factible generar certificados con el mismo fingerprint que otros, lo que permitiría suplantar la personalidad de personas, o de páginas web.

Hay que tener en cuenta, que el e-DNI español se han establecido mecanismos que permiten construir el "PAHT" de Certificación (Cadena de Confianza) utilizando SHA-1 o SHA-256. Esto se debe a la necesidad de dar soporte a aquellos sistemas operativos que no contemplan el uso de SHA-256 como algoritmo de "hash" o resumen. Desgraciadamente, este mecanismo que depende del sistema operativo que estamos usando, es transparente al usuario la mayoría de las veces, siendo complicado saber la forma en la que se establece el "path" de confianza, sin embargo el e-DNI siempre usa el "inseguro" SHA-1 para firmar los documentos, según aparece en la página web oficial del mismo.

También es conveniente saber, que las claves de los e-DNI de los usuarios están firmadas usando SHA-1, lo que puede ser un problema de seguridad a medio y largo plazo y con independencia de la validez en el futuro de los documentos que firmemos, o que hayamos firmado anteriormente, usando el omnipresente algoritmo SHA-1. Sin embargo, las claves raíz y subordinadas del e-DNI, con una vida de 30 y 15 años respectivamente, están firmadas usando SHA-1 y SHA-256 (de forma independiente, no anidada), por lo que las podemos considerar seguras por el momento.

Ni que decir que ya he configurado mi GPG para que use la función SHA-256 en la firma de documentos y correos electrónicos, aunque también es cierto, que en los correos siempre uso firma doble, GPG y de la FNMT, para que no haya problemas.

"Copyleft 2009 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved"

ACTUALIZACIÓN:

Recomiendo leer este documento de la Autoridad de Certificación española ANFAC que aunque es anterior a los logros del equipo australiano, dice cosas muy sensatas y que con la situación actual, debemos tener muy presentes:

Ataque SHA-1 [PDF]

Asimismo, aconsejo leer detenidamente estas recomendaciones de Debian-administración en relación con los problemas surgidos con el SHA-1

Recomendaciones de Debian-administración ante el problema del SHA-1
Tags: criptografía, debilidad, problema, seguridad, sha-1, soluciones
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments