Todos los que utilicen algoritmos resumen SHA-1

Alto

Un grupo de investigadores han hecho una presentación en Eurocrypt en la que anuncian un ataque contra el algoritmo de hash (resumen) SHA-1 que aumenta considerablemente la probabilidad de colisión.

Este algoritmo ya sufrió varios ataques durante 2005 en el que se redujeron las  operaciones necesarias para obtenerlo de 2⁸⁰ (por fuerza bruta) a 2⁶⁹. Con el reciente informe, bastarían 2⁵² operaciones que son abordables con equipos de cómputo actuales.    

La importancia de la rotura de una función hash se debe interpretar en el siguiente sentido: un hash permite crear una huella digital, teóricamente única, de un archivo. Una colisión entre hashes supondría la posibilidad de la existencia de dos documentos con la misma huella.

Anterioremente publicábamos una noticia sobre la debilidad del algoritmo de resumen MD5 y los certificados SSL. Parece que en cuanto un sistema de cifrado empieza a tener problemas, es el momento de migrar a una solución más segura. Todo desarrollador debe abandonar la utilización de los algoritmos MD5 y SHA-1. Curiosamente, a las agencias del gobierno federal de Estados Unidos se les ha instado a cesar toda utilización de algoritmos basados en SHA-1 antes de fin de 2010.  

 

Se deben utilizar funciones resumen tipo SHA-2 (SHA-256, SHA-384, y SHA-512) aunque expertos como Bruce Schneider recomiendan utilizar algoritmos más seguros como Tiger o Whirlpool.

Para todos aquellos que utilicen certificados digitales tipo OpenPGP con claves de 1024bits DSA, hemos incluido una guía de migración a certificados basados en la familia de hashes SHA-2 en la sección de foros.

http://www.debian-administration.org/users/dkg/weblog/48
http://eurocrypt2009rump.cr.yp.to/837a0a8086fa6ca714249409ddfae43d.pdf

Fuente:  CSIRT-CV www.csirtcv.es