Investigadores han encontrado una nueva forma de atacar al algoritmo SHA-1, aún usado para firmar uno de cada tres certificados SSL que brindan seguridad a sitios web mayores, haciendo más urgente que nunca retirar dicho algoritmo, dijeron el jueves.

SHA-1 es un hash criptográfico diseñado para producir una huella o marca de un documento, haciendo sencillo saber si el archivo fue modificado después de que la huella se calculó.

Ya se han encontrado debilidades en SHA-1 y la mayoría de los navegadores web modernos no aceptarán certificados firmados con él después del primero de enero de 2017. La fecha fue determinada con base en el siempre decreciente costo del poder computacional requerido para atacar el algoritmo.

Los investigadores que desarrollaron el último ataque piensan que SHA-1 debería descontinuarse antes, pues calculan que ahora costaría solamente entre 75 mil y 120 mil dólares montar un ataque viable usando servicios de cómputo que estén disponibles en la nube gratuitamente. Anteriormente, el investigador de Intel Jesse Walker había estimado que sería en 2018 cuando se alcanzaran estos niveles, que según él sugirió, están dentro de las capacidades de los grupos criminales.

Coincidentemente, el Certification Authority/Browser Forum, que genera políticas y acuerdos sobre los certificados SSL, está examinando propuestas para continuar emitiendo certificados SSL firmados con SHA-1 más allá de la fecha de corte previamente acordada. Las autoridades certificadoras (CA por sus siglas en inglés) emiten y garantizan los certificados usados en los sitios web seguros. Los investigadores dijeron que recomiendan ampliamente que la propuesta sea rechazada.

Los algoritmos de hash como SHA-1 serán considerados seguros mientras sea más complicado crear un documento que coincida con un hash previo que calcular el hash de un documento existente.

Si alguien puede crear dos diferentes archivos con el mismo hash, es posible firmar digitalmente uno (una aplicación legítima y benigna) y luego reemplazarla con una maliciosa de modo que los medios de auditoría electrónicos sean incapaces de identificar el cambio. Esto es llamado ataque de prefijo idéntico.

Es aún más serio si alguien puede tomar un documento existente con un hash conocido y crear un nuevo archivo que coincida con ese hash, conocido como ataque de prefijo. Esto permitiría el reemplazo indetectable no sólo de aplicaciones identificadas por sus hashes sino también de certificados de seguridad SSL firmados con el algoritmo.

El ataque en la función de compresión de SHA-1 fue descrito por Thomas Peyrin de la Universidad Tecnológica de Nanyang (NTU) de Singapur, Marc Stevens del Centro de Matemáticas e Informática en Holanda y Pierre Karpman de la NTU e Inria, en Francia.

El objetivo es ir por el mensaje bloque por bloque, calculando el hash de cada bloque combinado con el hash derivado de todos los bloques previos. En SHA-1 esto se hace en 80 rondas y los tres dicen que su ataque es el primero en romperlas todas.

Los investigadores sólo han mostrado una manera de simplificar un ataque de prefijo idéntico en SHA-1, lo que significa que aún no es posible generar certificados falsos SSL, lo que pemitiría la suplantación de sitios web arbitrarios.

"Aún estamos lejos de crear una entidad certificadora falsa, pues tal ataque requeriría un tipo de colisión más fuerte", dijo Peyrin, uno de los autores del trabajo de investigación.

"Recomendamos que la industria no juegue con fuego y acelere la migración de procesos hacia SHA2 y SHA3, antes de que tales ataques sean factibles", concluyó Peyrin.