0 Compartilhamentos 8 Views

Pesquisadores quebram a segurança do algoritmo SHA-1

23 de fevereiro de 2017

Pesquisadores do Instituto CWI, em Amsterdam, com a colaboração de especialistas do time de segurança do Google conseguiram o que muitos julgavam ser inevitável: quebraram a proteção do algoritmo SHA-1.

A prova de conceito publicada pelo estudo permite gerar com facilidade o mesmo hash para arquivos completamente diferentes, o que permitiria que documentos maliciosos fossem camuflados como seus pares legítimos.

Apesar da recomendação de longa data dos especialistas para que o algoritmo SHA-1 de baixa encriptação seja substituído pela evolução SHA-256 ou mesmo SHA-3, vastamente mais robustos, a chave ainda é utilizada em inúmeros sistemas para atribuir autenticidade de conteúdo. Com o chamado “ataque de colisão”, é possível atribuir o mesmo hash para múltiplos conteúdos, o que invalida por completo o nível de proteção oferecido para identificar um documento ou conteúdo como único e legítimo.

insecurity

De acordo com os pesquisadores, entre os sistemas que podem ser enganados pela técnica estão a assinatura de documentos digitais, certificados HTTPS, controles de versão (git), sistemas de backup, atualizações de software e muito mais. Eles citam o exemplo banal de um contrato de aluguel assinado digitalmente que possui o mesmo hash de outro documento similar, mas com valores muito mais altos. Como provar que a vítima foi enganada?

Mas o ataque de colisão poderia ser empregado também em ataques mais automatizados, para interceptar programas e atualizações distribuídos na web, adulterar o seu conteúdo para disseminação de malware enquanto mantém o mesmo hash que supostamente provaria que o conteúdo continua legítimo.

Embora ataques de força bruta com alto custo de poderio computacional já sejam possíveis contra o algoritmo SHA-1, a nova técnica revelada pelos pesquisadores e batizada de “SHAttered” permite que a proteção seja quebrada de uma forma 100.000 mais rápida que os métodos utilizados atualmente.

Você pode se interessar

DICA EXTRA: Prepare seu Currículo de Programador // Vlog #53.1
Vídeos
19 visualizações
Vídeos
19 visualizações

DICA EXTRA: Prepare seu Currículo de Programador // Vlog #53.1

Gabriel Fróes - 9 de outubro de 2017

No último vídeo do canal demos algumas dicas sobre como preparar seu currículo para uma vaga de programador mas esquecemos de uma dica super importante que falaremos nesse vídeo.

Confira os principais trailers da New York Comic Con 2017
Notícias
27 visualizações
Notícias
27 visualizações

Confira os principais trailers da New York Comic Con 2017

Carlos L. A. da Silva - 9 de outubro de 2017

Festa dos quadrinhos foi palco de trailers de mega-produções do cinema e séries de TV: Liga da Justiça, The Walking Dead e novo Círculo de Fogo. Confira!

Google teria encontrado indícios de anúncios patrocinados pelo governo russo em sua plataforma
Notícias
9 visualizações
Notícias
9 visualizações

Google teria encontrado indícios de anúncios patrocinados pelo governo russo em sua plataforma

Carlos L. A. da Silva - 9 de outubro de 2017

Segundo o jornal The Washington Post, empresa teria começado sua investigação depois de casos similares no Twitter e no Facebook.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Executivo da Microsoft confirma desinteresse no Windows Phone
Notícias
28 visualizações
28 visualizações

Executivo da Microsoft confirma desinteresse no Windows Phone

Carlos L. A. da Silva - 9 de outubro de 2017
Elon Musk critica Google Clips
Notícias
43 visualizações
43 visualizações

Elon Musk critica Google Clips

Carlos L. A. da Silva - 9 de outubro de 2017
Michel Temer vetou emenda que poderia censurar a internet
Notícias
26 visualizações
26 visualizações

Michel Temer vetou emenda que poderia censurar a internet

Carlos L. A. da Silva - 9 de outubro de 2017