El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), una agencia del Departamento de Comercio, anunció el jueves pasado que retirará formalmente el algoritmo criptográfico SHA-1.
SHA-1 , abreviatura de Secure Hash Algorithm 1, es una función hash de 27 años que se usa en criptografía y desde entonces se ha considerado rota debido al riesgo de ataques de colisión .
Si bien los hashes están diseñados para ser irreversibles, lo que significa que debería ser imposible reconstruir el mensaje original a partir del texto cifrado de longitud fija, la falta de resistencia a la colisión en SHA-1 hizo posible generar el mismo valor hash para dos entradas diferentes.
Si bien los hashes están diseñados para ser irreversibles, lo que significa que debería ser imposible reconstruir el mensaje original a partir del texto cifrado de longitud fija, la falta de resistencia a la colisión en SHA-1 hizo posible generar el mismo valor hash para dos entradas diferentes.
SHA-1 ha servido como elemento básico para muchas aplicaciones de seguridad, como la validación de sitios web, de modo que cuando carga una página web, puede confiar en que su supuesta fuente es genuina.
Las computadoras más poderosas de hoy en día pueden crear mensajes fraudulentos que generan el mismo hash que el original, lo que podría comprometer el mensaje auténtico. Estos ataques de "colisión" se han utilizado para socavar SHA-1 en los últimos años. NIST ha anunciado previamente que las agencias federales deben dejar de usar SHA-1 en situaciones donde los ataques de colisión son una amenaza crítica, como para la creación de firmas digitales.
Dado que los ataques a SHA-1 en otras aplicaciones se han vuelto cada vez más graves, el NIST dejará de usar SHA-1. Para 2030 el NIST planea:
- Publicar FIPS 180-5 (una revisión de FIPS 180) para eliminar la especificación SHA-1.
- Revisar SP 800-131A y otras publicaciones del NIST afectadas para reflejar el retiro planificado de SHA-1.
- Crear y publicar una estrategia de transición para validar algoritmos y módulos criptográficos.
El último elemento se refiere al Programa de Validación de Módulos Criptográficos (CMVP) de NIST, que evalúa si los módulos, los componentes básicos que forman un sistema de cifrado funcional, funcionan de manera efectiva. Todos los módulos criptográficos utilizados en el cifrado federal deben validarse cada cinco años, por lo que el cambio de estado de SHA-1 afectará a las empresas que desarrollan módulos.