Google ha violato la crittografia SHA-1

Scardinato il sistema che protegge siti web, acquisti con carte di credito, documenti elettronici e molto altro ancora.



[ZEUS News - www.zeusnews.it - 24-02-2017]

violata sha 1 google

SHA-1 è il più vecchio algoritmo crittografico della famiglia SHA: sviluppato dalla NSA, già dal 2005 era considerato teoricamente insicuro, e dal 2011 ne viene sconsigliato l'utilizzo.

Ciò nonostante è ancora ampiamente adoperato, sebbene siano disponibili versioni più sicure, come SHA-256, e giganti come Google abbiano iniziato sin dal 2014 ad abbandonare il supporto a questo vecchio standard.

Proprio da Google arriva ora il motivo più serio per abbandonare completamente SHA-1: gli ingegneri di Mountain View sono infatti riusciti a "bucare" l'algoritmo.

Gli algoritmi SHA vengono largamente utilizzati per creare gli hash delle password: quando per esempio ci si registra presso un sito e si inserisce la password, il sito non memorizza nel proprio database i caratteri digitati ma una sequenza univoca di lettere e numeri - chiamata appunto hash - generata a partire dalla password stessa.

Il metodo di generazione dell'hash fa sì che da questo non si possa risalire ai caratteri originari. Quando poi l'utente vuole essere identificato e inserisce la password, il sistema genera un nuovo hash a partire da questa e controlla che esso corrisponda con quello presente nel database: se la verifica è positiva, l'accesso viene consentito.

Ora ciò che Google è riuscita a fare non è ricavare la password dall'hash. Invece, ha dato vita a una collisione, ossia ha generato due hash identici a partire da due file PDF diversi.

Per illustrare quando compiuto, Google ha creato un apposito sito web con i due file che danno origine al medesimo hash.

È pur vero che per riuscire a raggiungere il risultato è stato necessario disporre di una potenza di calcolo non indifferente: l'attacco - spiega Google - ha richiesto oltre 9 trilioni di calcoli SHA, ossia «una potenza di calcolo equivalente a 6.500 anni di calcoli con una sola CPU e 110 anni di calcoli con una sola GPU».

Sondaggio
Vuoi effettuare un acquisto online. Il sistema di pagamento richiede l'inserimento dei dati della carta di credito. Quali precauzioni prendi affinché sia una transazione sicura?
Nessuna precauzione. I siti Internet delle grandi compagnie sono ben protetti
Inserisco tutti i dati della carta utilizzando la tastiera virtuale
Digito e poi cancello i dati della carta più volte così il virus si confonde
Aumento il livello di protezione dell'antivirus
Utilizzo la modalità di navigazione in incognito del browser
Uso un proxy anonimo
Controllo di aver digitato il sito Internet correttamente e se si tratta del sito giusto

Mostra i risultati (1466 voti)
Leggi i commenti (16)

È tuttavia evidente come la possibilità stessa che una cosa del genere possa succedere mini alla base la credibilità del sistema SHA-1 e imponga di passare al più presto a uno dei successori più sicuri.

A rischio non sono soltanto le password dei siti web ma anche i certificati digitali, le firme PGP/GPG, le transazioni con le carte di credito, i sistemi di verifica dell'integrità dei file e tutti quei casi in cui è necessaria un'identificazione sicura.

Non è un caso che sin da gennaio il browser Google Chrome consideri insicuro ogni sito protetto da SHA-1, e che Firefox si stia premurando di fare lo stesso.

Prima di rivelare il codice usato per l'attacco, Google aspetterà 90 giorni, dando così tempo a chi deve effettuare l'aggiornamento a standard crittografici più sicuri di provvedere.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Disqus violato, rubati i dati di 17,5 milioni di utenti
La backdoor in WhatsApp che permette di intercettare i messaggi
Https e OpenVpn sotto attacco
Microsoft si fa sfuggire le chiavi del Secure Boot
11 milioni di siti HTTPS a rischio
La sublime ingenuità della sicurezza con passepartout

Commenti all'articolo (1)

Francamente dubito che in 90 giorni chi utilizza ancora SHA-1 e non ha cambiato standard effettui la migrazione, d'altronde, in base alle informazioni sulla potenza di calcolo e sulle modalità utilizzate da Google per bucare l'algoritmo forse ci sarà ancora chi non riterrà urgente fare il passaggio a versioni di algoritmo più sicure. :?
4-3-2017 14:00

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te Internet...
E' stata la più importante innovazione tecnologica degli ultimi anni.
Ha reso le relazioni umane troppo impersonali.
Ha reso più facile la vita di tutti i giorni.
E' stata un toccasana per l'economia mondiale.
E' riuscita a facilitare le relazioni umane.
Ha contribuito a confondere le identità dei popoli.

Mostra i risultati (2769 voti)
Marzo 2021
Hard disk a confronto con SSD nei data center
Sciami di router nelle nostre case conoscono la nostra posizione
Febbraio 2021
Nuovi Mac, gli SSD durano pochissimo
Elettrodomestici, A+++ può diventare B o C
Se non accetti le nuove condizioni, WhatsApp ti cancella l'account
Come perdere mezzo miliardo: non serve smarrire la password del wallet Bitcoin
Sms svuota conto corrente: occhio alla truffa
Vendere o comprare una casa online all'asta (senza Tribunale)
Hacking e caffeina: 167.772 euro da spendere in caffè
Arriva LibreOffice 7.1 Community ma è importante non usarlo in azienda
Didattica a distanza, genio su Zoom
La Stampa, L’Espresso, il Corriere e il metodo redazionale: nessuno rilegge
Sgominato Emotet, la madre di tutti i malware
Gennaio 2021
iPhone 12 e pacemaker, meglio che stiano lontani
Minori su Tik Tok, accesso con Spid?
Tutti gli Arretrati
Accadde oggi - 5 marzo


web metrics