Ataques de colisão SHA-1 agora são realmente práticos e criptografia se torna um perigo iminente

Texto traduzido e adaptado de “SHA-1 collision attacks are now actually practical and a looming danger” escrito por Catalin Cimpanu

Os ataques ao algoritmo de hash SHA-1 ficaram muito mais perigosos na semana passada com a descoberta de um “ataque de colisão de prefixo escolhido” barato, uma versão mais prática do ataque de colisão SHA-1 realizado pela Google há dois anos. O que isto significa é que os ataques de colisão SHA-1 agora podem ser realizados com entradas personalizadas, e eles não são mais apenas acidentais, permitindo que os atacantes direcionem certos arquivos para duplicar e forjar.

A função de hashing SHA-1 foi teoricamente quebrada em 2005; no entanto, o primeiro ataque de colisão bem sucedido no mundo real foi realizado em 2017. Dois anos atrás, acadêmicos da Google produziram dois arquivos que tinham o mesmo hash SHA-1, no primeiro ataque de colisão SHA-1 do mundo – conhecido como “SHAttered”. Criptógrafos previram que o SHA-1 seria quebrado em um cenário real, mas a pesquisa do SHAttered veio três anos antes do esperado e também custou apenas US $ 110.000 para ser executada usando o poder de computação alugado pela nuvem, muito menos do que as pessoas achavam que poderia custar.

Mas na semana passada, uma equipe de acadêmicos da França e Cingapura deram a pesquisa SHAttered um passo adiante, demonstrando um ataque de colisão SHA-1 “prefixo escolhido”, em um novo estudo intitulado “From Collisions to Chosen-Prefix Collisions – Application to Full SHA-1.

“Encontrar um ataque de colisão prático interrompe a função hash, mas o dano real que pode ser causado com essa colisão é um pouco limitado, já que o invasor terá pouco ou nenhum controle sobre os dados reais que colidem”,afirmou Thomas Peyrin, um dos pesquisadores do estudo.

“Um ataque muito mais interessante é encontrar uma chamada ‘colisão de prefixo escolhido’, onde o invasor pode escolher livremente o prefixo para as duas mensagens as colidindo. Tais colisões mudam tudo em termos de ameaça porque agora você pode considerar ter colisões com dados significativos dentro (como nomes ou identidades em um certificado digital, etc). “

O que isto significa é que os ataques de colisão SHA-1 não são mais um jogo de roleta, e agora, os agentes de ameaças podem forjar qualquer documento assinado pelo SHA-1 que desejem, desde documentos comerciais até certificados TLS.

Os fornecedores de navegadores há muito tempo começaram a suspender o suporte para o tráfego TLS assinado pelo SHA-1 dentro de seus produtos; no entanto, outros aplicativos ainda contam com isso.

“Os ataques contra o SHA-1 só vão melhorar”, disse Scott Arciszewski, diretor de desenvolvimento e principal criptógrafo da Paragon Initiative Enterprises

Todos devem mudar para (em ordem de preferência):

    • BLAKE2b / BLAKE2s
    • SHA-512/256
    • SHA3-256
    • SHA-384
  • Qualquer outra função hash da família SHA2 como último recurso

… a menos que estejam armazenando senhas! Nesse caso, eles devem alternar para (em ordem de preferência):

    • Argon2id com memória> = 32MiB,> = 2 rodadas e> = 2 paralelismo
    • scrypt / yescrypt com memória> = 32 MiB,> = 4 rodadas e> = 1 parelelismo
    • bcrypt (para PHP devs, password_hash () e password_verify () faz o truque)
  • PBKDF2-SHA512 com 85.000 iterações como último recurso

“Mas o SHA1 não deve mais ser usado. Sem desculpas”, disse Arciszewski.

Para maiores informações, acesse a notícia completa aqui.