di Pierluigi Paganini*
Un gruppo di ricercatori ha dimostrato che il costo necessario a “rompere” l’algoritmo di hashing SHA-1 è inferiore a quanto precedentemente stimato.
Lo SHA-1 è ancora uno degli algoritmi di hashing più utilizzati. Tuttavia, stando ai ricercatori è questione di poco tempo affinché lo si debba considerare completamente compromesso e quindi doverlo abbandonarlo in via definitiva.
La notizia preoccupante è relativa ai costi e i tempi necessari per rompere l’algoritmo SHA-1. Secondo i ricercatori questi tempi si sono abbattuti drasticamente.
Cos’è l’algoritmo SHA-1
L’algoritmo SHA-1 è stato progettato nel 1995 dalla National Security Agency (NSA) come parte del Digital Signature Algorithm. Le funzioni di hashing consentono di calcolare una stringa a lunghezza fissa a partire da un testo di dimensione variabile. Questa stringa è teoricamente unica e viene normalmente usata come un’impronta digitale per il messaggio da cui è stata generata.
Nel caso dello SHA-1 a fronte di un messaggio di testo la funzione di hash restituirà una stringa lunga 120 byte.
Se due messaggi diversi generano la stessa impronta (medesimo valore di hash) allora siamo in presenza di una collisione. Questa circostanza apre la porta agli hacker. Un attacco di collisione condotto con successo potrebbe essere sfruttato dagli hacker per creare firme digitali. Il processo di hashing non è reversibile, ciò significa che conoscendo l’hash di un testo e la funzione di hashing usata, non è possibile recuperare il messaggio originale.
I risultati della ricerca: violare SHA-1 costa meno
Secondo il gruppo di ricercatori, l’algoritmo SHA-1 è così debole che sarà compromesso molto prima di quanto precedentemente stimato.
Il gruppo di ricerca è composto da esperti provenienti da Centrum Wiskunde & Informatica (Olanda), Inria e École polytechnique (Francia), e Nanyang Technological University (Singapore). Gli esperti hanno pubblicato uno studio che dimostra che l’algoritmo SHA-1 è vulnerabile agli attacchi di collisione. La nuova modalità di attacco è stata definita “Freestart collision”.
Gli esperti hanno fornito anche una nuova valutazione dello sforzo economico richiesto per rompere l’algoritmo SHA-1. Tale costo è compreso tra 75mila e 120mila dollari.
Questi numeri non ci danno alcuna informazione se non sono confrontati con una stima formulata in passato. Nel 2012, per esempio, il popolare esperto di sicurezza Bruce Schneier ha stimato che per rompere l’algoritmo di SHA-1 con un attacco di collisione sarebbero occorsi 700mila dollari entro il 2015 e solo 173mila entro il 2018.
I risultati dell’ultimo studio forniscono quindi uno scenario peggiore per lo SHA-1. Il costo necessario per compromettere l’algoritmo è drammaticamente diminuito rispetto alle previsioni. L’efficienza degli attacchi è stata migliorata con l’adozione di una nuova tecnica nota come “boomerang”. Questa permette di forzare collisioni nel calcolo delle impronte SHA-1. I ricercatori sono riusciti a condurre con successo un attacco in soli dieci giorni usando la capacità di calcolo di un gruppo di 64 GPU.
BigTech e vulnerabilità dello SHA-1
Nel 2012 il National Institute of Standards and Technology (NIST) ha raccomandato di non considerare più affidabili i certificati digitali SHA1 a partire dal 2014. Tuttavia, l’algoritmo SHA1 è ancora ampiamente utilizzato.
Microsoft ha annunciato nel 2013 la sua intenzione di forzare l’uso dell’algoritmo SHA-2 in luogo del più debole SHA-1. Nel settembre 2014 Google e Mozilla hanno annunciato che i propri browser non accetteranno certificati basati SHA1 dopo il 1° gennaio 2017.
È probabile che non ci sarà un pericolo immediato per gli utenti internet. In ogni caso, è importante incoraggiare la migrazione ad algoritmi hash più robusti. Compreso SHA-2 (sviluppato dall’agenzia NSA) o SHA-3 (sviluppato da un gruppo di ricercatori indipendenti).
Gli amministratori IT dovrebbero prendere in considerazione l’impatto che lo SHA-1 avrebbe sulla propria infrastruttura. Ciò significa prendere in considerazione la migrazione a hardware e software compatibili con SHA-2 / SHA-3.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef