SHA1 sarà dismesso entro fine anno Uno dei più utilizzati algoritmi crittografici rischia di diventare inservibile a breve: cosa comporterà?

<span class="entry-title-primary">SHA1 sarà dismesso entro fine anno</span> <span class="entry-subtitle">Uno dei più utilizzati algoritmi crittografici rischia di diventare inservibile a breve: cosa comporterà?</span>

Circa il 28% dei siti web mondiali utilizza una crittografia (quando ciò sia necessario o previsto) basata su SHA1 (Secure Hash Algorithm 1), un particolare algoritmo in grado di produrre un hash a 160 bit: una particolare tecnica che possiede svariati utilizzi, soprattutto in ambito internet in cui viene utilizzato per criptare (proteggere da occhi indiscreti) dati riservati come, ad esempio, le firme digitali o più semplicemente le password degli utenti (quelle di WordPress, ad esempio, sono criptate in MD5). In questo modo il test di verifica di un login può essere effettuato confrontando gli hash criptati in SHA1 – un algoritmo sviluppato a suo tempo da NSA – evitando di trasmettere in chiaro il dato, ma confrontando equivalentemente il suddetto hash.

I principali linguaggi di programmazione prevedono funzioni apposite per calcolarlo, già integrate nel sistema (esempio: in PHP): ad esempio l’hash SHA1 di trovalost.it corrisponde a 4f65cf892c557fbdc44f582ae3297affe9287a2f.

In particolare, già entro i prossimi tre mesi potrebbe essere svolto un attacco tale da rendere violabile, e quindi insicuro, l’algoritmo. SHA1 in effetti è stato già violato (in teoria), tanto che si era pianificato di dismetterlo entro l’inizio del 2017 (cosa che Google, Firefox e molti altri attori del web prevedono di fare). In questi casi ciò che conta è disporre dell’hardware abbastanza potente da effettuare un reverse engineering ed è ciò che hanno fatto: il gruppo di ricercatori di sicurezza informatica ha pubblicato un articolo (link) che tende a stringere i tempi di questa possibile violazione, utilizzando per il test (detti tecnicamente di collisione) una 64-GPU cluster con 16 nodi, anche (relativamente, s’intende) piuttosto economica.

Il punto è importante, perchè il gruppo ha anche stimato il costo della violazione: dai 75.000 ai 120.000 dollari utilizzando il cloud di Amazon, il tutto entro pochi mesi di calcolo. Un prezzo che potrebbe sembrare esorbitante ma che, di fatto, è alla portata di varie organizzazioni criminali potenzialmente interessate a violare SHA1. Il suggerimento di massima, in definitiva, sarà quello di migrare in massa le varie tecnologie che utilizzano SHA1 – tra cui HTTPS, almeno in parte – verso il più robusto ed evoluto SHA2.

(fonti: Arstechnica, TheShappening)

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.