Google ha violato la crittografia SHA-1

Scardinato il sistema che protegge siti web, acquisti con carte di credito, documenti elettronici e molto altro ancora.



[ZEUS News - www.zeusnews.it - 24-02-2017]

violata sha 1 google

SHA-1 è il più vecchio algoritmo crittografico della famiglia SHA: sviluppato dalla NSA, già dal 2005 era considerato teoricamente insicuro, e dal 2011 ne viene sconsigliato l'utilizzo.

Ciò nonostante è ancora ampiamente adoperato, sebbene siano disponibili versioni più sicure, come SHA-256, e giganti come Google abbiano iniziato sin dal 2014 ad abbandonare il supporto a questo vecchio standard.

Proprio da Google arriva ora il motivo più serio per abbandonare completamente SHA-1: gli ingegneri di Mountain View sono infatti riusciti a "bucare" l'algoritmo.

Gli algoritmi SHA vengono largamente utilizzati per creare gli hash delle password: quando per esempio ci si registra presso un sito e si inserisce la password, il sito non memorizza nel proprio database i caratteri digitati ma una sequenza univoca di lettere e numeri - chiamata appunto hash - generata a partire dalla password stessa.

Il metodo di generazione dell'hash fa sì che da questo non si possa risalire ai caratteri originari. Quando poi l'utente vuole essere identificato e inserisce la password, il sistema genera un nuovo hash a partire da questa e controlla che esso corrisponda con quello presente nel database: se la verifica è positiva, l'accesso viene consentito.

Ora ciò che Google è riuscita a fare non è ricavare la password dall'hash. Invece, ha dato vita a una collisione, ossia ha generato due hash identici a partire da due file PDF diversi.

Per illustrare quando compiuto, Google ha creato un apposito sito web con i due file che danno origine al medesimo hash.

È pur vero che per riuscire a raggiungere il risultato è stato necessario disporre di una potenza di calcolo non indifferente: l'attacco - spiega Google - ha richiesto oltre 9 trilioni di calcoli SHA, ossia «una potenza di calcolo equivalente a 6.500 anni di calcoli con una sola CPU e 110 anni di calcoli con una sola GPU».

Sondaggio
Vuoi effettuare un acquisto online. Il sistema di pagamento richiede l'inserimento dei dati della carta di credito. Quali precauzioni prendi affinché sia una transazione sicura?
Nessuna precauzione. I siti Internet delle grandi compagnie sono ben protetti
Inserisco tutti i dati della carta utilizzando la tastiera virtuale
Digito e poi cancello i dati della carta più volte così il virus si confonde
Aumento il livello di protezione dell'antivirus
Utilizzo la modalità di navigazione in incognito del browser
Uso un proxy anonimo
Controllo di aver digitato il sito Internet correttamente e se si tratta del sito giusto

Mostra i risultati (1027 voti)
Leggi i commenti (16)

È tuttavia evidente come la possibilità stessa che una cosa del genere possa succedere mini alla base la credibilità del sistema SHA-1 e imponga di passare al più presto a uno dei successori più sicuri.

A rischio non sono soltanto le password dei siti web ma anche i certificati digitali, le firme PGP/GPG, le transazioni con le carte di credito, i sistemi di verifica dell'integrità dei file e tutti quei casi in cui è necessaria un'identificazione sicura.

Non è un caso che sin da gennaio il browser Google Chrome consideri insicuro ogni sito protetto da SHA-1, e che Firefox si stia premurando di fare lo stesso.

Prima di rivelare il codice usato per l'attacco, Google aspetterà 90 giorni, dando così tempo a chi deve effettuare l'aggiornamento a standard crittografici più sicuri di provvedere.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
La backdoor in WhatsApp che permette di intercettare i messaggi
Https e OpenVpn sotto attacco
Microsoft si fa sfuggire le chiavi del Secure Boot
11 milioni di siti HTTPS a rischio
La sublime ingenuità della sicurezza con passepartout

Commenti all'articolo (1)

Francamente dubito che in 90 giorni chi utilizza ancora SHA-1 e non ha cambiato standard effettui la migrazione, d'altronde, in base alle informazioni sulla potenza di calcolo e sulle modalità utilizzate da Google per bucare l'algoritmo forse ci sarà ancora chi non riterrà urgente fare il passaggio a versioni di algoritmo più sicure. :?
4-3-2017 14:00

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Se Internet potesse migliorare la tua vita, che cosa vorresti?
Conoscere amici e comunicare
Risparmiare sugli acquisti
Innamorarti
Guadagnare tanti soldi
Imparare (lingue, culture, cucinare, suonare, ecc.)
Lavorare di meno
Altro

Mostra i risultati (2855 voti)
Giugno 2017
I medici americani: i lampioni a Led fanno male
Dove vanno a finire le foto mandate tramite WhatsApp?
Le torri di Amazon per i droni
Microsoft: ''Sì, disabilitiamo gli antivirus. Per il bene degli utenti''
Banda larga, scontro assurdo fra Tim e Governo
Il caso del sindacalista che criticava gli stipendi d'oro
Italia, via libera al trojan di Stato
Difendersi dalle app-truffa presenti nell'App Store di Apple
Roaming dati nell'UE ''gratuito'' da ieri: occhio alle sorprese
Firefox 54, più sicuro con la sandbox e più leggero
Il link che infetta il Pc senza nemmeno dover cliccare
Ecco come vengono sfruttati in concreto i dati delle nostre navigazioni
Windows 10, un assaggio del Fall Creators Update
Dai gattini bonsai alla disinformazione pianificata
Ex pornostar chiama in causa i pirati
Tutti gli Arretrati


web metrics