SHA-1, rotta di collisione
Topic
Approfondimenti
Trending
tutti

SHA-1, rotta di collisione

Annunciata la prima collisione confermata tra hash SHA-1 di file diversi, un evento atteso da tempo che rende definitivamente chiara a tutti l'insicurezza dell'algoritmo. Anche se la capacità di calcolo necessaria è ancora significativa
Sicurezza Antivirus
Annunciata la prima collisione confermata tra hash SHA-1 di file diversi, un evento atteso da tempo che rende definitivamente chiara a tutti l'insicurezza dell'algoritmo. Anche se la capacità di calcolo necessaria è ancora significativa

Una ricerca congiunta del Centrum Wiskunde & Informatica di Amsterdam e di Google Research ha portato all’individuazione della prima collisione confermata tra hash SHA-1 , storico algoritmo ancora molto utilizzato – online e non solo – che viene ora classificato come totalmente insicuro e inadatto allo scopo. Il mondo tecnologico è già in fase avanzata di sostituzione ma ci vorrà ancora tempo.

SHA-1 è un algoritmo crittografico per la generazione di hash , vale a dire la creazione di una stringa binaria di dimensioni fisse a partire da una serie di dati di dimensioni arbitrarie; classificato come standard nel lontano 1995, negli ultimi anni SHA-1 è stato decretato insicuro per via dei possibili attacchi alla robustezza della funzione crittografica.

La collisione generata dai ricercatori pone una pietra tombale sugli ultimi dubbi in merito a tale insicurezza, visto che nello studio viene descritto il modo di generare una stessa “impronta” (hash) SHA-1 per due file PDF completamente diversi .

Il problema non è certo secondario , visto che gli hash crittografici vengono impiegati per la verifica dei certificati delle connessioni HTTPS, gli archivi di progetti software Git, la ricerca di file duplicati e molto altro ancora: da oggi, in tutti questi ambiti occorrerà trattare l’algoritmo SHA-1 come inadatto allo scopo .

In realtà, almeno per quanto riguarda il Web, la deprecazione del vecchio algoritmo è già in pieno svolgimento: Mozilla, una delle corporation da tempo impegnate a consegnare alla storia gli hash insicuri, ricorda i piani di disabilitazione di default di SHA-1 previsti a partire da Firefox 52.

Dal punto di vista pratico, infine, la generazione di una singola collisione non rende l’intero Web totalmente insicuro dalla sera alla mattina: la creazione di due impronte crittografiche SHA-1 per contenuti diversi ha richiesto un lavoro di due anni, la disponibilità di 110 anni di potenza computazionale basata su (GP)GPU e un controllo ravvicinato dei due file PDF di cui fare l’ hashing .

Alfonso Maruccia

Pubblicato il 24 feb 2017

Link copiato negli appunti

Ti potrebbe interessare

In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%

In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%
Offerta speciale Norton: pacchetto 360 Standard in sconto del 60%

Offerta speciale Norton: pacchetto 360 Standard in sconto del 60%
Spyware: cosa sono e come rimuoverli

Spyware: cosa sono e come rimuoverli
Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)

Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)
In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%

In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%
Offerta speciale Norton: pacchetto 360 Standard in sconto del 60%

Offerta speciale Norton: pacchetto 360 Standard in sconto del 60%
Spyware: cosa sono e come rimuoverli

Spyware: cosa sono e come rimuoverli
Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)

Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)
Alfonso Maruccia
Pubblicato il
24 feb 2017
Link copiato negli appunti