Durante más de seis años la función SHA-1, uno de los elementos que ha cimentado la seguridad en Internet, ha sido muy cuestionada. A partir de ahora quedará definitivamente en desuso por la primera ocurrencia de un ataque de colisión que ha conseguido vulnerarla.
Investigadores de Google, en colaboración con el CWI Institute de Amsterdam, han publicado una investigación que documenta un ataque de colisión que ha logrado vulnerar el mensaje generado con esta función. Un ataque de colisión se produce cuando diferentes tipos de archivos o mensajes tienen la misma función hash. Este estudio aporta como prueba dos archivos en pdf que, a pesar de mostrar un contenido diferente, contienen la misma función SHA-1.
Aunque desde hace más de una década se advierte sobre la falta de seguridad de la función SHA-1, esta ha seguido siendo usada ampliamente. Varios programas informáticos vigentes en la actualidad aún utilizan firmas de SHA-1 para proteger la instalación y actualizar de forma segura los archivos distribuidos en Internet.
CCN-CERT (27-02-2017)
