SHA-1 ha sido "quebrado"

SHA-1 ha vuelto a ser noticia (una vez más). Todos sabemos que la función hash SHA-1 es criptográficamente débil. De hecho, CSS lleva años señalando las debilidades de SHA-1.

• Se acabó el tiempo para SHA-1: la ruta de migración sugerida por CSS
• Anuncio de SHA-3 en 2012
• Colisión SHA-1 Freestart en 2015

Sin embargo, recientemente, la investigación de Google ha publicado una demostración funcional de un algoritmo que permite a cualquiera modificar el contenido de un documento, manteniendo al mismo tiempo el valor hash SHA-1 original de dicho documento. Normalmente, si un documento se altera de alguna manera, el valor hash calculado también debe cambiar. Esta funcionalidad básica de hashing es la base de las afirmaciones criptográficas sobre la integridad de los datos.

Y aunque el algoritmo hash SHA-1 ha sido conocido por su debilidad durante años, esta es la primera vez que un proceso para subvertir SHA-1 se ha hecho ampliamente disponible.

Esto no significa que el esfuerzo para subvertir los hashes SHA-1 sea trivial. Calcular una colisión de hash utilizando el nuevo método de Google requiere 6.500 años de tiempo de CPU y 110 años de tiempo de GPU. Ciertamente, una gran cantidad de tiempo y gasto. Pero esto está al alcance de estados-nación u organizaciones criminales que aprovechan los recursos de computación en la nube.

¿Qué significa esto? 

Considero que es pertinente poner en perspectiva el nuevo algoritmo de Google. Al leer blogs técnicos en internet, existe la sensación abrumadora de que SHA-1 debe ser reemplazado de inmediato. Y, en realidad, no puedo refutar ese punto. Mi única sugerencia es que nos tomemos un momento para comprender lo que este nuevo algoritmo implica en términos de un mayor riesgo para su entorno. Luego, planifique su migración de SHA-1 en consecuencia.

El nuevo algoritmo de colisión de hash de Google significa que la integridad de los datos que usted protege ha disminuido considerablemente. Al igual que la garantía general de su Infraestructura de Clave Pública (PKI).

¿Pero significa esto que no queda ningún valor en sus certificados SHA-1 existentes?  Probablemente no.

Lo que sí significa el nuevo algoritmo de colisión de hash de Google es que cualquier persona con acceso a 6.500 años de tiempo de CPU y 110 años de tiempo de GPU ahora puede calcular una colisión de hash para cualquier valor hash calculado en su entorno. Esto no es favorable.

Y como todos sabemos, esos requisitos de computación solo pueden volverse más económicos y fáciles de alcanzar con el tiempo. Como resultado de la economía computacional, esta vulnerabilidad será cada vez más sencilla de explotar. Los ejemplos de colisiones de hash SHA-1 ocurrirán con una frecuencia creciente. En resumen, este riesgo solo aumentará con el tiempo.

Así que sí, es hora de migrar.

La garantía, en este caso, es la medida de confianza que uno tiene, o debería poder tener, en que la integridad de sus datos es significativa.  Esto suele ser una función de los riesgos de un sistema y los tipos de datos que esos sistemas protegen.

En este caso, si ha definido niveles de garantía, querrá reevaluar sus definiciones de garantía para mantener niveles de seguridad adecuados en todos los datos protegidos.

Este es un documento rector que las CA utilizan como base para cualquier reclamación de garantía. Como resultado de cualquier ajuste en la definición de garantía, será necesario actualizar todas las políticas de certificados apropiadas para asegurar que estén al día con los últimos requisitos de SHA-2.

El documento complementario a la 'Política de Certificados' es la 'Declaración de Prácticas de Certificación'. Es este documento el que contiene los detalles sobre cómo opera la CA y cómo está configurada.

A medida que actualice su CP para incluir referencias apropiadas a SHA-2, sus CPS deberán actualizarse en consecuencia. Este documento es utilizado por las partes confiantes para determinar si la CA es adecuada para una aplicación determinada.

La migración a SHA-2 puede ser una tarea grande, costosa y compleja. Pero no tiene que realizarse de una sola vez.

Mi recomendación es establecer una jerarquía de CA separada y paralela, una que incorpore SHA-2. Todas las partes que confían en ella deben confiar en ambas jerarquías durante la migración. Este enfoque permite un ritmo de migración deliberado y preciso.

Cree una lista priorizada de aplicaciones PKI ordenada por riesgo. Aquellas aplicaciones que presenten el mayor riesgo deben migrarse primero. Migre las aplicaciones en ese orden.

Cualquier evaluación de las aplicaciones PKI no estaría completa sin una lista de los recursos que la aplicación está protegiendo. ¿Firma de código? ¿Firma de correo electrónico? ¿Firma de documentos?

Dados los recursos necesarios para calcular una colisión de hash, podría iniciar su migración con aquellas aplicaciones cuyo valor justifique el gasto que implica el cálculo de una colisión de hash.

Cuando la migración de su PKI corporativa esté completa, es posible que aún no haya terminado. Existe la posibilidad de que todavía tenga certificados SHA-1 en uso en su entorno que provengan de CA no autorizadas, o que sean autofirmados, o de proveedores y similares.

Esto significa que, para proteger sus activos de los riesgos asociados con el uso de SHA-1, no solo tendrá que dejar de emitir nuevos certificados SHA-1, sino que también deberá asegurarse de que los certificados SHA-1 no estén en uso, o que aquellos que aún lo estén, no presenten un riesgo.

Esto puede implicar el escaneo continuo de varios puntos finales para asegurarse de que no se utilicen certificados SHA-1.

En resumen, si su política de certificados fue modificada para excluir SHA-1, entonces, para cumplir con esa política, se tendría que asegurar proactivamente que no queden certificados en uso que violen una política de certificados actualizada.

Sí, SHA-1 está oficialmente comprometido. Pero sabíamos que esto se avecinaba desde hace años, por lo que realmente no debería ser una sorpresa para nadie en este campo de trabajo. ¿Pero significa eso que todos los valores hash ahora no tienen valor? Significa que todos valen mucho menos, y realmente se está arriesgando con cualquier confianza que pueda depositar en sus hashes SHA-1 existentes. La conclusión es que si un actor malicioso se preocupa lo suficiente como para invertir en los recursos, sus valores hash ahora pueden ser inutilizados. Es hora de migrar de SHA-1.