Scardinato il sistema che protegge siti web, acquisti con carte di credito, documenti elettronici e molto altro ancora.
[ZEUS News - www.zeusnews.it - 24-02-2017]
SHA-1 è il più vecchio algoritmo crittografico della famiglia SHA: sviluppato dalla NSA, già dal 2005 era considerato teoricamente insicuro, e dal 2011 ne viene sconsigliato l'utilizzo.
Ciò nonostante è ancora ampiamente adoperato, sebbene siano disponibili versioni più sicure, come SHA-256, e giganti come Google abbiano iniziato sin dal 2014 ad abbandonare il supporto a questo vecchio standard.
Proprio da Google arriva ora il motivo più serio per abbandonare completamente SHA-1: gli ingegneri di Mountain View sono infatti riusciti a "bucare" l'algoritmo.
Gli algoritmi SHA vengono largamente utilizzati per creare gli hash delle password: quando per esempio ci si registra presso un sito e si inserisce la password, il sito non memorizza nel proprio database i caratteri digitati ma una sequenza univoca di lettere e numeri - chiamata appunto hash - generata a partire dalla password stessa.
Il metodo di generazione dell'hash fa sì che da questo non si possa risalire ai caratteri originari. Quando poi l'utente vuole essere identificato e inserisce la password, il sistema genera un nuovo hash a partire da questa e controlla che esso corrisponda con quello presente nel database: se la verifica è positiva, l'accesso viene consentito.
Ora ciò che Google è riuscita a fare non è ricavare la password dall'hash. Invece, ha dato vita a una collisione, ossia ha generato due hash identici a partire da due file PDF diversi.
Per illustrare quando compiuto, Google ha creato un apposito sito web con i due file che danno origine al medesimo hash.
È pur vero che per riuscire a raggiungere il risultato è stato necessario disporre di una potenza di calcolo non indifferente: l'attacco - spiega Google - ha richiesto oltre 9 trilioni di calcoli SHA, ossia «una potenza di calcolo equivalente a 6.500 anni di calcoli con una sola CPU e 110 anni di calcoli con una sola GPU».
|
È tuttavia evidente come la possibilità stessa che una cosa del genere possa succedere mini alla base la credibilità del sistema SHA-1 e imponga di passare al più presto a uno dei successori più sicuri.
A rischio non sono soltanto le password dei siti web ma anche i certificati digitali, le firme PGP/GPG, le transazioni con le carte di credito, i sistemi di verifica dell'integrità dei file e tutti quei casi in cui è necessaria un'identificazione sicura.
Non è un caso che sin da gennaio il browser Google Chrome consideri insicuro ogni sito protetto da SHA-1, e che Firefox si stia premurando di fare lo stesso.
Prima di rivelare il codice usato per l'attacco, Google aspetterà 90 giorni, dando così tempo a chi deve effettuare l'aggiornamento a standard crittografici più sicuri di provvedere.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Gladiator