MD5 y SHA1, un algoritmo apenas más fuerte que el primero, pone al mundo en rumbo a la colisión.

Pensar que MD5 está fuera del cifrado HTTPS podría ser una equivocación. Resulta que la función fatalmente débil de cifrado hash, junto con su sólo ligeramente más fuerte primo, SHA1, es usado extensamente aún en el protocolo de seguridad en la capa de transporte que sustenta HTTPS.

Los investigadores han ideado una serie de ataques que explotan las debilidades de romper o degradar protecciones clave previstas no sólo por HTTPS sino también otros protocolos de cifrado, incluyendo Internet Protocol Security y Secure Shell.

Los ataques han sido apodados SLOTH, un acrónimo de las palabras en inglés para "pérdidas de seguridad de los hashes obsoletos y de transcripción truncados". El nombre es también una censura, no tan sutil, de la pereza colectiva de la comunidad que mantiene los regímenes de seguridad que forman la piedra angular de la seguridad en Internet.

A pesar de que la crítica parece dura, las firmas basadas en MD5 no se introdujeron en TLS hasta la versión 1.2, que fue lanzada en 2008. Ese fue el mismo año en que los investigadores explotaron debilidades de cifrado en MD5, lo que les permitió falsificar certificados HTTPS válidos para cualquier dominio que quisieran.

Aunque SHA1 es considerablemente más resistente a los llamados ataques de colisión de cifrado, también podría ser roto, al menos teóricamente. (Las firmas MD5 se prohibieron posteriormente en los certificados TLS pero no en otros aspectos clave del protocolo.)

"Principalmente hemos encontrado una serie de usos inseguros de MD5 en diversos protocolos de Internet, haciendo a dicho prefijo explotable ante ataques de colisión genéricos", escribieron los investigadores en un programa técnico para ser discutido el miércoles en la Real World Cryptography Conference 2016 en Stanford, California. "También encontramos varios usos inseguros de SHA1 que se convertirán en peligrosos cuando se descubran algoritmos de colisión más eficientes para SHA1"

El ataque SLOTH más practicado rompe lo que se conoce como la autenticación de cliente basada en TLS. Aunque no es muy utilizado, algunos bancos, sitios web corporativos y otras organizaciones conscientes de la seguridad confían en ella para asegurar que un usuario final está autorizado a conectarse a su sitio web o red privada virtual. Esto trabaja en gran parte de la misma manera que la autenticación de servidor TLS, excepto que es el usuario final quien proporciona el certificado en lugar del servidor.

Cuando el usuario final y las firmas RSA-MD5 apoyan al servidor para la autenticación del cliente, SLOTH hace posible para un atacante suplantar al usuario final, siempre y cuando las primeras visitas y autenticaciones del usuario final sean ante un sitio controlado por el atacante. El llamado ataque de reenvío de credenciales se lleva a cabo mediante el envío de mensajes cuidadosamente elaborados, tanto para el usuario final como para el servidor legítimo. Para suplantar al usuario final, un atacante debe completar algunos 2^39 cálculos de hash (aproximadamente 5 750 millones), una empresa que requiere alrededor de una hora usando una estación de trabajo de gran alcance con 48 núcleos.

El ataque de suplantación es posible gracias a la susceptibilidad de MD5 a ataques de colisión, en la que las dos entradas de mensajes diferentes generan exactamente el mismo hash de cifrado. Debido a que es una función MD5 de 128 bits, los criptógrafos esperaban encontrar una colisión después de completar los cálculos 2^64  (un fenómeno conocido como la paradoja del cumpleaños, reduce el número de bits de seguridad de una función dada por una mitad).

Las debilidades en MD5, sin embargo, reducen el requisito a sólo 2^15 (o 32 768) para una colisión; o 2^39 para colisiones más poderosas en las que un atacante puede elegir diferentes entradas de mensajes y añadir valores que resultan en ellos con el mismo valor hash. Tal ataque sería inviable si MD5 no hubiera sido añadido a TLS en 2008.