SHA-1, cresce il rischio di attacchi

Gli hash crittografici generati con algoritmo SHA-1 sono sempre più a rischio, avvertono i ricercatori: la tecnologia dovrebbe essere abbandonata anche prima dei tempi previsti

Roma – Un gruppo di ricercatori ha messo insieme un cluster “economico” a base di GPU NVIDIA, usandolo poi per testare la robustezza degli hash crittografici generato con l’algoritmo SHA-1. Ed è subito SHAppening : la tecnologia non può più essere considerata sicura e va abbandonata quanto prima.

Kraken, il cluster di cui sopra, è composto da 64 GPU GeForce GTX 970 organizzate in 16 nodi, dove ogni nodo include 4 schede GTX 970, una CPU Intel Core i5-4460 (microarchitettura Haswell) e 16 Gigabyte di RAM. Con cotanto hardware, i ricercatori dicono di aver semplificato grandemente le risorse necessarie ad attaccare lo storico algoritmo SHA-1.

Il problema è di una certa gravità, dicono gli autori dello studio, visto che SHA-1 è ancora usato per firmare digitalmente i certificati SSL alla base delle comunicazioni sicure su canale HTTPS. I browser moderni non accetteranno più certificati con hash SHA-1 dopo il primo gennaio 2017, ma a quel punto potrebbe già essere troppo tardi.

I ricercatori hanno trovato il modo di semplificare la generazione di due hash SHA-1 identici per file differenti, una “collisione” che potrebbe essere sfruttata per camuffare come sicuro un software malevolo o un certificato compromesso. Usando il cloud computing, i ricercatori stimano un costo compreso fra i 75mila e i 120mila dollari per generare un attacco in grado di scardinare definitivamente SHA-1.

È il momento del panico? Non ancora, sostengono gli autori dello studio, anche se è meglio per l’industria non scherzare col fuoco : al momento la generazione di collisioni tra hash SHA-1 non è ancora provata, nondimeno l’algoritmo dovrebbe essere abbandonato in anticipo sui tempi. TrueCrypt e Microsoft (tra gli altri) lo avevano già fatto anni addietro.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • panda rossa scrive:
    Identita' rivelate.
    Ebbene si'.La mia mail e' PandaRossa@mail.ruAdesso tutti sapranno chi sono. :'(
    • Trollone scrive:
      Re: Identita' rivelate.
      Il problema è un altro. Obsoleto o no l'Auditel è lo strumento di misura ufficiale per misurare il gradimento di un programma televisivo.Al gradimento è legato il mercato pubblicitario e qui si comincia a parlare di Milioni di euro.Ora una rete televisiva potrebbe contattare il campione e offrire lauti premi (leggi corruzione) se aiutano a far crescere il loro share televisivo.
      • Funz scrive:
        Re: Identita' rivelate.
        - Scritto da: Trollone
        Il problema è un altro. Obsoleto o no l'Auditel è
        lo strumento di misura ufficiale per misurare il
        gradimento di un programma
        televisivo.
        Al gradimento è legato il mercato pubblicitario e
        qui si comincia a parlare di Milioni di
        euro.Un fiume di soldi simile viene indirizzato seguendo uno strumento come l'Auditel... sarebbe ridicolo se non fosse agghiacciante.
        Ora una rete televisiva potrebbe contattare il
        campione e offrire lauti premi (leggi corruzione)
        se aiutano a far crescere il loro share
        televisivo.continuano a darmi motivi per NON ricominciare più a guardare la TV.
  • Etype scrive:
    Audite
    Considerando lo scatolotto spia che hanno i suddetti utenti che hanno accettato, poi sono pagati ,verrebbe qualche dubbio sulla loro imparzialità...Ma poi a che serve Auditel ? E' solo un campione ,non rappresenta tutti i cittadini italiani che guardano la TV...
    • Passante scrive:
      Re: Audite
      - Scritto da: Etype
      Considerando lo scatolotto spia che hanno i
      suddetti utenti che hanno accettato, poi sono
      pagati ,verrebbe qualche dubbio sulla loro
      imparzialità...

      Ma poi a che serve Auditel ? E' solo un campione
      ,non rappresenta tutti i cittadini italiani che
      guardano la TV...E' decisamente obsoleto.
    • r1348 scrive:
      Re: Audite
      I miei genitori fanno parte del campione Auditel, e ti assicuro che non vengono pagati. Il massimo che c'è è un programma a punti con premi tipo quelli dei supermercati, i miei credo abbiano preso una padella...
      • bubba scrive:
        Re: Audite
        - Scritto da: r1348
        I miei genitori fanno parte del campione Auditel,
        e ti assicuro che non vengono pagati. Il massimo
        che c'è è un programma a punti con premi tipo
        quelli dei supermercati, i miei credo abbiano
        preso una
        padella...ma campionano anche quello che vi dite in salotto?(si e' una domanda seria :) .... hai presente i "meter", no, cosa fanno? )
      • ... scrive:
        Re: Audite
        Non vengono pagati? Allora uno per quale assurdo motivo dovrebbe lavorare per l'auditel gratis? O_o
  • Sg@bbio scrive:
    auditel è obsoleto.
    con tutte le mila milla tv tematiche che ci sono nel digitale terrestre, non saprei come possa essere attendibile un campione cosi esiguo per sondare gli ascolti.
Chiudi i commenti