0 Compartilhamentos 301 Views

Pesquisadores quebram a segurança do algoritmo SHA-1

23 de fevereiro de 2017

Pesquisadores do Instituto CWI, em Amsterdam, com a colaboração de especialistas do time de segurança do Google conseguiram o que muitos julgavam ser inevitável: quebraram a proteção do algoritmo SHA-1.

A prova de conceito publicada pelo estudo permite gerar com facilidade o mesmo hash para arquivos completamente diferentes, o que permitiria que documentos maliciosos fossem camuflados como seus pares legítimos.

Apesar da recomendação de longa data dos especialistas para que o algoritmo SHA-1 de baixa encriptação seja substituído pela evolução SHA-256 ou mesmo SHA-3, vastamente mais robustos, a chave ainda é utilizada em inúmeros sistemas para atribuir autenticidade de conteúdo. Com o chamado “ataque de colisão”, é possível atribuir o mesmo hash para múltiplos conteúdos, o que invalida por completo o nível de proteção oferecido para identificar um documento ou conteúdo como único e legítimo.

insecurity

De acordo com os pesquisadores, entre os sistemas que podem ser enganados pela técnica estão a assinatura de documentos digitais, certificados HTTPS, controles de versão (git), sistemas de backup, atualizações de software e muito mais. Eles citam o exemplo banal de um contrato de aluguel assinado digitalmente que possui o mesmo hash de outro documento similar, mas com valores muito mais altos. Como provar que a vítima foi enganada?

Mas o ataque de colisão poderia ser empregado também em ataques mais automatizados, para interceptar programas e atualizações distribuídos na web, adulterar o seu conteúdo para disseminação de malware enquanto mantém o mesmo hash que supostamente provaria que o conteúdo continua legítimo.

Embora ataques de força bruta com alto custo de poderio computacional já sejam possíveis contra o algoritmo SHA-1, a nova técnica revelada pelos pesquisadores e batizada de “SHAttered” permite que a proteção seja quebrada de uma forma 100.000 mais rápida que os métodos utilizados atualmente.

Carregando...

Você pode se interessar

Como desativar temporariamente sua conta do Facebook
Dicas
12 visualizações
Dicas
12 visualizações

Como desativar temporariamente sua conta do Facebook

Carlos L. A. da Silva - 19 de setembro de 2020

Preparado para um "detox" da rede social? O Facebook permite que você suspenda sua conta sem precisar apagá-la permanentemente.

Promoções de Jogos do Final de Semana (18/09)
Notícias
11 visualizações
Notícias
11 visualizações

Promoções de Jogos do Final de Semana (18/09)

Carlos L. A. da Silva - 18 de setembro de 2020

Confira as melhores ofertas de jogos de PC para o final de semana.

O que você precisa saber sobre o Pix
Artigos
19 visualizações
Artigos
19 visualizações

O que você precisa saber sobre o Pix

Carlos L. A. da Silva - 16 de setembro de 2020

Será o fim de DOCs, TEDs e transferências? Novo modelo de pagamento eletrônico proposto pelo Banco Central está prestes a entrar em funcionamento.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Como centralizar no CSS de forma definitiva
Dicas
21 visualizações
21 visualizações

Como centralizar no CSS de forma definitiva

Carlos L. A. da Silva - 12 de setembro de 2020
Promoções de Jogos do Final de Semana (11/09)
Notícias
24 visualizações
24 visualizações

Promoções de Jogos do Final de Semana (11/09)

Carlos L. A. da Silva - 11 de setembro de 2020
Esse artigo foi escrito por um robô
Artigos
22 visualizações
22 visualizações

Esse artigo foi escrito por um robô

Carlos L. A. da Silva - 9 de setembro de 2020
Home Booth? Você quase trabalhou em um desses…
Artigos
33 visualizações
33 visualizações

Home Booth? Você quase trabalhou em um desses…

Carlos L. A. da Silva - 5 de setembro de 2020