Pesquisadores quebram a segurança do algoritmo SHA-1

Pesquisadores do Instituto CWI, em Amsterdam, com a colaboração de especialistas do time de segurança do Google conseguiram o que muitos julgavam ser inevitável: quebraram a proteção do algoritmo SHA-1.

A prova de conceito publicada pelo estudo permite gerar com facilidade o mesmo hash para arquivos completamente diferentes, o que permitiria que documentos maliciosos fossem camuflados como seus pares legítimos.

Apesar da recomendação de longa data dos especialistas para que o algoritmo SHA-1 de baixa encriptação seja substituído pela evolução SHA-256 ou mesmo SHA-3, vastamente mais robustos, a chave ainda é utilizada em inúmeros sistemas para atribuir autenticidade de conteúdo. Com o chamado “ataque de colisão”, é possível atribuir o mesmo hash para múltiplos conteúdos, o que invalida por completo o nível de proteção oferecido para identificar um documento ou conteúdo como único e legítimo.

insecurity

De acordo com os pesquisadores, entre os sistemas que podem ser enganados pela técnica estão a assinatura de documentos digitais, certificados HTTPS, controles de versão (git), sistemas de backup, atualizações de software e muito mais. Eles citam o exemplo banal de um contrato de aluguel assinado digitalmente que possui o mesmo hash de outro documento similar, mas com valores muito mais altos. Como provar que a vítima foi enganada?

Mas o ataque de colisão poderia ser empregado também em ataques mais automatizados, para interceptar programas e atualizações distribuídos na web, adulterar o seu conteúdo para disseminação de malware enquanto mantém o mesmo hash que supostamente provaria que o conteúdo continua legítimo.

Embora ataques de força bruta com alto custo de poderio computacional já sejam possíveis contra o algoritmo SHA-1, a nova técnica revelada pelos pesquisadores e batizada de “SHAttered” permite que a proteção seja quebrada de uma forma 100.000 mais rápida que os métodos utilizados atualmente.

Queremos saber sua opinião