6 may. 2016

SHA1 ha muerto, lo retiran de los browsers

Microsoft planea retirar el soporte para certificados TLS firmados con el algoritmo de Hash SHA1 en junio de 2016 porque una nueva investigación muestra que es más propenso a colisiones criptográficas de lo que se pensaba.
Las colisiones permiten generar el mismo valor de hash para distintos mensajes y permitirían falsificaciones de firma digital.
Debido a que se calcula que en 2018 ya podría haber la suficiente cantidad de poder de cómputo para romperlo, los investigadores advierten que este algoritmo debe ser retirado cuanto antes. En estos meses, las versiones más recientes de Edge y Microsoft Internet Explorer dejarán de mostrar la barra de seguridad al visitar sitios HTTPS protegidos por certificados SHA1.
A principios de 2016, las autoridades de certificación dejaron de emitir certificados basados en SHA1 y, en enero de 2017, la mayoría de los fabricantes de navegadores comenzarán a advertir a los usuarios cuando visiten sitios HTTPS basados en SHA1. Google Chrome y Mozilla Firefox durante mucho tiempo han etiquetado tales conexiones como no confiables, incluso mientras continuaban permitiendo las conexiones.

El retiro de SHA1 ha sido planificado desde 2012, cuando se demostró que adversarios bien financiados podrían romperlo dentro de los próximos seis años. Los planes se aceleraron después de que la investigación citada anteriormente, publicada en octubre, confirmara que los ataques ya eran factibles a finales de 2015. SHA1 está siendo sustituido por SHA2, un algoritmo mucho más resistente a las colisiones.

Fuente: ArsTechnica

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!