¿Cómo es inseguro el SHA-1 si no es vulnerable a lo que es el MD5?

SHA-1 es vulnerable a las colisiones, incluso si nadie ha sido divulgado públicamente todavía.

Algunos criptógrafos han estado trabajando en el tema los últimos años, y estimaron que el costo de encontrar una colisión está disminuyendo tanto que algunos ataques se producirán muy pronto dentro del ámbito de lo posible.

En octubre de 2015, se marcó un hito importante con el primer ejemplo de colisión de inicio libre para SHA-1 , que es Una colisión por su función interna. Esta no es una colisión total, pero sigue siendo una mejora importante en la búsqueda de una, por lo que recomendaron pasar de SHA-1 porque esperan que las primeras colisiones se encuentren muy pronto.

Estimaron el nuevo costo de una colisión total de 75K $ y 120K $, lo que representa una mejora de 3-4 años respecto a la anterior. estimaciones.

SHA-256 y SHA-512 son algoritmos diferentes, y no se ven afectados por estos ataques teóricos.

Actualización (febrero de 2017): ¡Se anunció la primera colisión pública en SHA-1!

Ambos este PDF y éste comparte el mismo hash SHA-1. Esta colisión se encontró utilizando Shattered , un nuevo ataque en SHA-1.

También puede leer artículo del Equipo de Seguridad de Google en su blog.

Sin siquiera considerar los detalles de diseño del algoritmo SHA-1 en sí, es vulnerable a los ataques de colisión simplemente por tener un resultado demasiado corto.

La salida de SHA-1 es de 160 bits. Al usar un ataque de cumpleaños, es posible encontrar una colisión con solo 2⁸⁰ invocaciones de SHA-1. El sistema de bitcoin ha demostrado que computar valores hash de 2⁸⁰ es factible con la tecnología actual. De hecho, Bitcoin calcula que muchos hash cada dos semanas.

Como tal, cualquier algoritmo de hash con una salida de 160 bits o más corta se puede descartar para usos que requieren que las colisiones sean intratables.