Google ha violato la crittografia SHA-1

Scardinato il sistema che protegge siti web, acquisti con carte di credito, documenti elettronici e molto altro ancora.



[ZEUS News - www.zeusnews.it - 24-02-2017]

violata sha 1 google

SHA-1 è il più vecchio algoritmo crittografico della famiglia SHA: sviluppato dalla NSA, già dal 2005 era considerato teoricamente insicuro, e dal 2011 ne viene sconsigliato l'utilizzo.

Ciò nonostante è ancora ampiamente adoperato, sebbene siano disponibili versioni più sicure, come SHA-256, e giganti come Google abbiano iniziato sin dal 2014 ad abbandonare il supporto a questo vecchio standard.

Proprio da Google arriva ora il motivo più serio per abbandonare completamente SHA-1: gli ingegneri di Mountain View sono infatti riusciti a "bucare" l'algoritmo.

Gli algoritmi SHA vengono largamente utilizzati per creare gli hash delle password: quando per esempio ci si registra presso un sito e si inserisce la password, il sito non memorizza nel proprio database i caratteri digitati ma una sequenza univoca di lettere e numeri - chiamata appunto hash - generata a partire dalla password stessa.

Il metodo di generazione dell'hash fa sì che da questo non si possa risalire ai caratteri originari. Quando poi l'utente vuole essere identificato e inserisce la password, il sistema genera un nuovo hash a partire da questa e controlla che esso corrisponda con quello presente nel database: se la verifica è positiva, l'accesso viene consentito.

Ora ciò che Google è riuscita a fare non è ricavare la password dall'hash. Invece, ha dato vita a una collisione, ossia ha generato due hash identici a partire da due file PDF diversi.

Per illustrare quando compiuto, Google ha creato un apposito sito web con i due file che danno origine al medesimo hash.

È pur vero che per riuscire a raggiungere il risultato è stato necessario disporre di una potenza di calcolo non indifferente: l'attacco - spiega Google - ha richiesto oltre 9 trilioni di calcoli SHA, ossia «una potenza di calcolo equivalente a 6.500 anni di calcoli con una sola CPU e 110 anni di calcoli con una sola GPU».

Sondaggio
Vuoi effettuare un acquisto online. Il sistema di pagamento richiede l'inserimento dei dati della carta di credito. Quali precauzioni prendi affinché sia una transazione sicura?
Nessuna precauzione. I siti Internet delle grandi compagnie sono ben protetti
Inserisco tutti i dati della carta utilizzando la tastiera virtuale
Digito e poi cancello i dati della carta più volte così il virus si confonde
Aumento il livello di protezione dell'antivirus
Utilizzo la modalità di navigazione in incognito del browser
Uso un proxy anonimo
Controllo di aver digitato il sito Internet correttamente e se si tratta del sito giusto

Mostra i risultati (1743 voti)
Leggi i commenti (16)

È tuttavia evidente come la possibilità stessa che una cosa del genere possa succedere mini alla base la credibilità del sistema SHA-1 e imponga di passare al più presto a uno dei successori più sicuri.

A rischio non sono soltanto le password dei siti web ma anche i certificati digitali, le firme PGP/GPG, le transazioni con le carte di credito, i sistemi di verifica dell'integrità dei file e tutti quei casi in cui è necessaria un'identificazione sicura.

Non è un caso che sin da gennaio il browser Google Chrome consideri insicuro ogni sito protetto da SHA-1, e che Firefox si stia premurando di fare lo stesso.

Prima di rivelare il codice usato per l'attacco, Google aspetterà 90 giorni, dando così tempo a chi deve effettuare l'aggiornamento a standard crittografici più sicuri di provvedere.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

Francamente dubito che in 90 giorni chi utilizza ancora SHA-1 e non ha cambiato standard effettui la migrazione, d'altronde, in base alle informazioni sulla potenza di calcolo e sulle modalità utilizzate da Google per bucare l'algoritmo forse ci sarà ancora chi non riterrà urgente fare il passaggio a versioni di algoritmo più sicure. :?
4-3-2017 14:00

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
D'estate che cos'è più importante per te?
Il frigorifero
Il ventilatore
Il condizionatore
L'antizanzare
La connessione a Internet anche in vacanza

Mostra i risultati (3235 voti)
Luglio 2026
Windows 11 identifica ogni PC con un codice unico: così è stato arrestato un diciannovenne
Certificati, finalmente la PA accede direttamente all'Anagrafe Nazionale
Il bug in Windows 11 che divora fino a 70 GB di spazio
WhatsApp, al via la prenotazione dei nomi utente
Giugno 2026
Hackerata Trenitalia, rubati i dati di viaggio dei passeggeri
L'UE approva l'euro digitale
L'avanzata delle dark factory: 1300 lavoratori sostituiti da 50 robot
Il telefono minimalista di Commodore che sfida gli smartphone tradizionali
Recesso online, obbligatorio il pulsante su tutti gli e-commerce
Il simulatore di volo di Google Earth
Windows Ready Print rivoluziona la stampa: addio ai driver proprietari
Debutta Euro-Office tra le proteste di LibreOffice
Lo strumento che ti dice quali modelli IA puoi eseguire davvero sul tuo PC
ChatGPT, arriva Lockdown Mode
Iliad lancia il suo FWA: modem 5G, attivazione rapida e velocità fino a 300 Mbps
Tutti gli Arretrati
Accadde oggi - 8 luglio


web metrics