c.m.g
13-10-2015, 17:42
lunedì 12 ottobre 2015
Gli hash crittografici generati con algoritmo SHA-1 sono sempre più a rischio, avvertono i ricercatori: la tecnologia dovrebbe essere abbandonata anche prima dei tempi previsti
Roma - Un gruppo di ricercatori ha messo insieme un cluster "economico" a base di GPU NVIDIA, usandolo poi per testare la robustezza degli hash crittografici generato con l'algoritmo SHA-1. Ed è subito SHAppening (https://sites.google.com/site/itstheshappening/): la tecnologia non può più essere considerata sicura e va abbandonata quanto prima.
Kraken, il cluster di cui sopra, è composto da 64 GPU GeForce GTX 970 organizzate in 16 nodi, dove ogni nodo include 4 schede GTX 970, una CPU Intel Core i5-4460 (microarchitettura Haswell) e 16 Gigabyte di RAM. Con cotanto hardware, i ricercatori dicono di aver semplificato grandemente le risorse necessarie ad attaccare lo storico algoritmo SHA-1.
Il problema è di una certa gravità, dicono gli autori dello studio, visto che SHA-1 è ancora usato per firmare digitalmente i certificati SSL alla base delle comunicazioni sicure su canale HTTPS. I browser moderni non accetteranno più certificati con hash SHA-1 dopo il primo gennaio 2017, ma a quel punto potrebbe già essere troppo tardi.I ricercatori hanno trovato il modo di semplificare la generazione di due hash SHA-1 identici per file differenti, una "collisione" che potrebbe essere sfruttata per camuffare come sicuro un software malevolo o un certificato compromesso. Usando il cloud computing, i ricercatori stimano un costo compreso fra i 75mila e i 120mila dollari per generare un attacco in grado di scardinare definitivamente SHA-1.
È il momento del panico? Non ancora, sostengono gli autori dello studio, anche se è meglio per l'industria non scherzare col fuoco (http://www.pcworld.com/article/2990804/security/sha-1-hashing-algorithm-could-succumb-to-75k-attack-researchers-say.html): al momento la generazione di collisioni tra hash SHA-1 non è ancora provata, nondimeno l'algoritmo dovrebbe essere abbandonato in anticipo sui tempi. TrueCrypt (http://punto-informatico.it/2183681/PI/News/truecrypt-50-blinda-tutto-disco-rigido.aspx) e Microsoft (http://punto-informatico.it/3931239/PI/News/microsoft-stop-alla-crittografia-vulnerabile.aspx) (tra gli altri) lo avevano già fatto anni addietro.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4275785/PI/News/sha-1-cresce-rischio-attacchi.aspx)
Gli hash crittografici generati con algoritmo SHA-1 sono sempre più a rischio, avvertono i ricercatori: la tecnologia dovrebbe essere abbandonata anche prima dei tempi previsti
Roma - Un gruppo di ricercatori ha messo insieme un cluster "economico" a base di GPU NVIDIA, usandolo poi per testare la robustezza degli hash crittografici generato con l'algoritmo SHA-1. Ed è subito SHAppening (https://sites.google.com/site/itstheshappening/): la tecnologia non può più essere considerata sicura e va abbandonata quanto prima.
Kraken, il cluster di cui sopra, è composto da 64 GPU GeForce GTX 970 organizzate in 16 nodi, dove ogni nodo include 4 schede GTX 970, una CPU Intel Core i5-4460 (microarchitettura Haswell) e 16 Gigabyte di RAM. Con cotanto hardware, i ricercatori dicono di aver semplificato grandemente le risorse necessarie ad attaccare lo storico algoritmo SHA-1.
Il problema è di una certa gravità, dicono gli autori dello studio, visto che SHA-1 è ancora usato per firmare digitalmente i certificati SSL alla base delle comunicazioni sicure su canale HTTPS. I browser moderni non accetteranno più certificati con hash SHA-1 dopo il primo gennaio 2017, ma a quel punto potrebbe già essere troppo tardi.I ricercatori hanno trovato il modo di semplificare la generazione di due hash SHA-1 identici per file differenti, una "collisione" che potrebbe essere sfruttata per camuffare come sicuro un software malevolo o un certificato compromesso. Usando il cloud computing, i ricercatori stimano un costo compreso fra i 75mila e i 120mila dollari per generare un attacco in grado di scardinare definitivamente SHA-1.
È il momento del panico? Non ancora, sostengono gli autori dello studio, anche se è meglio per l'industria non scherzare col fuoco (http://www.pcworld.com/article/2990804/security/sha-1-hashing-algorithm-could-succumb-to-75k-attack-researchers-say.html): al momento la generazione di collisioni tra hash SHA-1 non è ancora provata, nondimeno l'algoritmo dovrebbe essere abbandonato in anticipo sui tempi. TrueCrypt (http://punto-informatico.it/2183681/PI/News/truecrypt-50-blinda-tutto-disco-rigido.aspx) e Microsoft (http://punto-informatico.it/3931239/PI/News/microsoft-stop-alla-crittografia-vulnerabile.aspx) (tra gli altri) lo avevano già fatto anni addietro.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4275785/PI/News/sha-1-cresce-rischio-attacchi.aspx)