0 Compartilhamentos 382 Views

Pesquisadores quebram a segurança do algoritmo SHA-1

23 de fevereiro de 2017

Pesquisadores do Instituto CWI, em Amsterdam, com a colaboração de especialistas do time de segurança do Google conseguiram o que muitos julgavam ser inevitável: quebraram a proteção do algoritmo SHA-1.

A prova de conceito publicada pelo estudo permite gerar com facilidade o mesmo hash para arquivos completamente diferentes, o que permitiria que documentos maliciosos fossem camuflados como seus pares legítimos.

Apesar da recomendação de longa data dos especialistas para que o algoritmo SHA-1 de baixa encriptação seja substituído pela evolução SHA-256 ou mesmo SHA-3, vastamente mais robustos, a chave ainda é utilizada em inúmeros sistemas para atribuir autenticidade de conteúdo. Com o chamado “ataque de colisão”, é possível atribuir o mesmo hash para múltiplos conteúdos, o que invalida por completo o nível de proteção oferecido para identificar um documento ou conteúdo como único e legítimo.

insecurity

De acordo com os pesquisadores, entre os sistemas que podem ser enganados pela técnica estão a assinatura de documentos digitais, certificados HTTPS, controles de versão (git), sistemas de backup, atualizações de software e muito mais. Eles citam o exemplo banal de um contrato de aluguel assinado digitalmente que possui o mesmo hash de outro documento similar, mas com valores muito mais altos. Como provar que a vítima foi enganada?

Mas o ataque de colisão poderia ser empregado também em ataques mais automatizados, para interceptar programas e atualizações distribuídos na web, adulterar o seu conteúdo para disseminação de malware enquanto mantém o mesmo hash que supostamente provaria que o conteúdo continua legítimo.

Embora ataques de força bruta com alto custo de poderio computacional já sejam possíveis contra o algoritmo SHA-1, a nova técnica revelada pelos pesquisadores e batizada de “SHAttered” permite que a proteção seja quebrada de uma forma 100.000 mais rápida que os métodos utilizados atualmente.

Carregando...

Você pode se interessar

Como planejar e construir um projeto de programação
Artigos
31 visualizações
Artigos
31 visualizações

Como planejar e construir um projeto de programação

Carlos L. A. da Silva - 19 de abril de 2021

O desenvolvedor full stack Peter Lynch revela seu método de preparação para qualquer projeto, de forma simples e direta para iniciantes e veteranos.

15 ferramentas de desenvolvimento para melhorar sua produtividade em 2021 sem gastar nada
Artigos
165 visualizações
Artigos
165 visualizações

15 ferramentas de desenvolvimento para melhorar sua produtividade em 2021 sem gastar nada

Carlos L. A. da Silva - 2 de abril de 2021

O cenário de desenvolvimento está em constante mudança e muitas vezes uma ferramenta nova pode agilizar muito seu trabalho.

A tecnologia por trás do deep fake de Deep Nostalgia
Artigos
162 visualizações
Artigos
162 visualizações

A tecnologia por trás do deep fake de Deep Nostalgia

Carlos L. A. da Silva - 22 de março de 2021

Serviço do My Heritage permite "animar" fotos do passado, trazendo vida para seus antepassados. Como isso é possível?

Deixe um Comentário

Your email address will not be published.

Mais publicações

Como se tornar um Engenheiro DevOps em 2021
Artigos
148 visualizações
148 visualizações

Como se tornar um Engenheiro DevOps em 2021

Carlos L. A. da Silva - 1 de março de 2021
Seus dados vazaram. E agora?
Artigos
129 visualizações
129 visualizações

Seus dados vazaram. E agora?

Carlos L. A. da Silva - 19 de fevereiro de 2021
Entendendo o elemento time em HTML 5
Artigos
145 visualizações
145 visualizações

Entendendo o elemento time em HTML 5

Carlos L. A. da Silva - 5 de fevereiro de 2021