Algoritmo SHA-1 precisa morrer imediatamente

sha1

SHA-1, uma das funções hash mais adotadas na internet está prestes a morrer.

Sim, o custo e o tempo necessários para quebrar o algoritmo SHA-1 tem diminuído mais rápido que o esperado. De acordo com uma equipe de pesquisadores, o SHA-1 é tão fraco que pode ser quebrado e comprometido por usuários maliciosos em apenas três meses.

O algoritmo foi projetado em 1995 pela NSA. Dentre outras funções, ele converte qualquer mensagem de entrada para uma longa sequencia de números e letras que servem como uma impressão digital criptografada para essa mensagem.

Tal como as impressões digitais, os hashes resultantes são úteis desde que sejam únicos. Se duas entradas de mensagens diferentes geram o mesmo hash, ele pode abrir portas para invasores do mundo real invadirem a segurança de transações bancárias, downloads de software ou qualquer outra comunicação de sites.

Ataques de colisão no SHA-1

Ataques de colisão aparecem quando o mesmo valor de hash é produzido por duas mensagens diferentes, que após serem exploradas para forjar assinaturas digitais, permitindo que atacantes quebrem comunicações codificadas com SHA-1.

Quebrar SHA-1 agora custa entre U$75.000 e U$120.000

Em 2012, o conhecido pesquisador de segurança Bruce Schneier estimou que custaria US$ 700.000 para realizar um ataque de colisão em SHA1 em 2015 e apenas US$ 173.000 em 2018. No entanto, baseado em novas pesquisas, os ataques a SHA-1 realizados este ano podem custar entre U$ 75.000 e U$ 120.000 graças a uma nova técnica que utiliza placas gráficas conhecida como “boomeranging”, que encontra colisões SHA-1.

Mudar para SHA-2 ou SHA-3 antes que seja tarde demais

Os administradores devem considerar o impacto que SHA-1 teriam para sua organização e se planejarem para:

  • Hardware compatível com SHA-2 e/ou SHA3;
  • Atualizações de software de servidores para suporte a SHA-2 e/ou SHA3;
  • Suporte ao cliente para SHA-2 e/ou SHA3;
  • Suporte para aplicação de código personalizado para SHA-2 e/ou SHA3.

O SHA-2 é desenvolvido pela NSA, enquanto SHA-3 é desenvolvido por um grupo de pesquisadores independentes.

Acesse o conteúdo original (em inglês) no link.