Pare de usar a encriptação SHA-1: É totalmente insegura e Google prova | Comunidade GNU/Linux SempreUPdate

Pare de usar a encriptação SHA-1: É totalmente insegura e Google prova

Want create site? Find Free WordPress Themes and plugins.

Um ataque de colisão de SHA-1 recentemente revelado tem o potencial de quebrar os repositórios de código que usam o sistema de controle de revisão Subversion (SVN). A primeira tecnologia vítima desta ação foi o repositório do motor de browser WebKit.
Em 2015, Sergio Silva, coordenador da Unidade de Informática do Conselho Superior de Magistratura (CSM), alertava para o fato de várias plataformas da Administração Pública usarem certificados de segurança baseados em SHA-1.
O incidente aconteceu horas depois que a equipe da Google e do Centrum Wiskunde & Informatica (CWI) na Holanda, anunciarem a execução prática de ataque de colisão através da função SHA-1 na última quinta-feira. A demonstração consistiu em criar dois ficheiros PDFs com diferentes conteúdos, mas com resultados iguais de cifra.
Isso provou sem qualquer dúvida, que a função que realiza o cálculo de encriptação pode ser resolvida, já que uma função “hash” deve sempre produzir resultados diferentes, para partes diversas de dados ou ficheiros. SHA-1 é uma função de separação de cifra usada para calcular uma sequência alfa-numérica, capaz de servir como a representação na encriptação de um ficheiro ou um pedaço de dados.
Um programador do WebKit quis desenvolver um teste para provar que o ataque demonstrado não podia ser usado para ações de “envenenamento” de “cache”, no contexto do recurso de duplicação de “cache” para disco presente no WebKit, que dependerá de uma SHA-1. Para fazer isso, enviou os dois ficheiros de PDF gerados pelo CWI e pela Google para o repositório SVN do WebKit, notando depois a ocorrência de erros.

O Git, sistema de controle concorrente e mais popular, também usa funções SHA-1 internamente e de acordo com os investigadores do CWI e da Google, é teoricamente vulnerável.

Parece que mesmo depois de remover os ficheiros, alguns problemas mantiveram-se e foi necessária intervenção manual para corrigi-los. O problema não é específico do repositório WebKit, mas de todos aqueles baseados no SVN.
Entretanto, os programadores do Subversion lançaram um “script” para os gestores dos repositórios usarem e evitarem problemas de colisão de ficheiros com SHA-1 nos seus repositórios. Ainda existem paralelamente, outras iniciativas para uma correção mais robusta.
A Google teve que realizar mais de nove quintilhões de cálculos SHA-1, o equivalente a um ano de cálculos contínuos com 110 GPUs ou 6.500 CPUs para ter conclusões precisas. Linus Torvalds, fundador do Linux e do Git, desvalorizou as implicações do ataque, em parte porque hackers podem ser facilmente persuadidos, se houver mecanismos de verificação simples, o que pode fazer um ataque deixar de valer a pena.

Did you find apk for android? You can find new Free Android Games and apps.

Comentários