Google anuncia la primera colisión en SHA1

Algo que se esperaba desde hace tiempo finalmente ocurrió, dos sumas de control SHA1 coindicen aún cuando se corrieron sobre dos archivos intencionalmente diferentes. El detalle completo del caso (en inglés) está detallado en http://shattered.it/ , el sitio incluye links del paper publicado, una infografía y un probador de archivos, además de dos PDF diferentes (PDF1 y PDF2) que resultan en la misma suma SHA1:

$ sha1sum *.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-1.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-2.pdf

$ sha256sum *.pdf
2bb787a73e37352f92383abe7e2902936d1059ad9f1ba6daaa9c1e58ee6970d0 shattered-1.pdf
d4488775d29bdef7993367d541064dbdda50d383f89f0aa13a6ff2e0894ba5ff shattered-2.pdf

El problema va mucho más allá de la sencilla verificación de integridad de archivos, se extiende (pero no se limita a):

  • Firmas de Certificados Digitales
  • Firmas de emal PGP/GPG
  • Firmas de proveedores de software
  • Actualizaciones de software
  • Sumas de control de archivos ISO
  • Sistemas de respaldos
  • Sistemas de deduplicacón
  • Git

Es importante pasarse lo más pronto posible a SHA3 o mejor aún a SHA256 en todo aquello que se esté usando SHA1.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.