Seguridad

Comienza la eliminación progresiva de SHA-1

1_-_SHA-1.JPG

¿Qué es SHA-1?

SHA-1 es la segunda versión del Algoritmo de Hash Seguro creado por el Instituto Nacional de Estándares y Tecnología (NIST) para el cifrado de archivos y generación de certificados. Fue publicada en 1995 y su uso ha sido muy habitual hasta el año 2005.

 

SHA-1 comienza a ser apartado

Desde 2005, la resistencia de este algoritmo se ha visto comprometida. Tras múltiples investigaciones se llegó a la conclusión de que SHA-1 tendría que ser sustituido, ya que con el tiempo dejaría de ser seguro.

En octubre de este mismo año, un grupo de investigadores descubrieron un método para romper el algoritmo de forma definitiva, cifrando incluso el coste monetario de romper un certificado que utilice este algoritmo en 75.000$

 

El momento de sustituir SHA-1 ha llegado

Microsoft y Firefox ya se han apresurado para confirmar que sus navegadores web, Microsoft Edge y Mozilla Firefox, adelantan su fecha para dejar de aceptar certificados web que utilicen SHA-1 al 1 de julio de 2016, con lo cual todas las webs que utilicen en su certificado SHA-1 mostrarán un mensaje de advertencia al no ser seguras. Los responsables de ambos navegadores se han apresurado en afirmar que la necesidad de retirar este algoritmo de cifrado es urgente.

 

Google se une a la retirada de SHA-1

El navegador de Google, Chrome, actualmente el navegador web más utilizado, comenzará a advertir de los sitios web que utilicen SHA-1 a partir de su primera versión de 2016, cuya fecha de salida se sitúa en los primeros días del año, para finalmente marcar los sitios web que lo utilicen como no seguros a partir del 1 de julio de 2016, siguiendo los pasos de las otras dos marcas.

 

Millones de sitios web afectados.

El Instituto Nacional de Estándares y Tecnología, responsable de SHA-1, ha calculado la cifra aproximada de sitios web que estarán afectados por esta medida. El 15 % de los sitios web continúan utilizando certificados SHA-1 y se verán afectados de pleno por esta medida. Otro gran porcentaje, incluyendo grandes webs como Facebook o CloudFlare, implementan en sus servicios web variantes del cifrado SHA-1, con lo cual tendrán que actualizarse este 2016 para continuar ofreciendo un certificado web seguro.

 

Alternativas a SHA-1

El propio e Instituto Nacional de Estándares y Tecnología, recomienda utilizar alguna variante de su siguiente funciones SHA (SHA-2) de mayor tamaño, como SHA-512, o incluso adoptar SHA-3, cuyo origen se remonta a 2012 y difiere mucho de sus predecesoras.

© 2016 SISTIC – SOS Informatica Soluciones TIC Salamanca. Todos los derechos reservados