Los ladrones de identidad ahora tienen otra herramienta a su disposición: el poder de hash de bitcoin.

Esa es la conclusión de un nuevo artículo de criptoanálisis publicado a principios de este mes en SHA-1 (pronunciado "shaw"), una función hash que alguna vez fue popular creada por la Agencia de Seguridad Nacional y desaprobada a mediados de 2000 después de fracasar contra los ataques teóricos de hack.

SHA-1 continúa siendo utilizado en ciertos círculos, como en el programa de código fuente Git y otros productos heredados para enviar transmisiones seguras en computadoras, según Gaetan Leurent del Instituto Nacional de Investigación de Francia. en Ciencia y Tecnología Digital y Thomas Peyrin de la Universidad Tecnológica Nanyang de Singapur, autores del artículo.

A pesar de los avisos en 2006 y 2015 del Instituto Nacional de Estándares y Tecnología (NIST) para que las agencias federales dejen de usar la función hash y otros estudios advertencia de SHA-1 Defectos, los académicos siguen advirtiendo a las empresas que cambien las funciones hash.

"Las firmas SHA-1 ahora prácticamente no ofrecen seguridad en la práctica", señala el documento.

Al alquilar poder hash de repuesto a los mineros de bitcoin, hecho posible durante las pausas del mercado bajista, Leurent y Peyrin pudieron realizar un ataque de suplantación falsificando una clave falsa asignada a la identidad de otro. el codificador que comprende la seguridad básica de las criptomonedas también se puede usar para verificar identidades individuales.

En claves PGP el mensaje deseado (llamado texto sin formato) se comprime y codifica a través de una única sesión clave ". En combinación con una clave pública, los usuarios pueden transmitir información de forma segura a otra persona. Para descifrar el mensaje, los destinatarios hacen coincidir su clave privada con la clave de sesión para recuperar el texto sin formato.

Según el documento, las claves PGP, que a menudo se utilizan para autoverificar a los usuarios, se pueden romper con un valor de $ 50,000 en poder de hash alquilado, un pequeño sacrificio para las agencias gubernamentales, sin mencionar a los piratas informáticos.

¿Cómo? A través de ataques de colisión en los que diferentes entradas dan como resultado el mismo hash aleatorio. Cuando esto ocurre, dos partes tienen acceso a la misma clave.

"Es muy barato porque el cálculo de la GPU es muy barato hoy en día", dijo Peyrin en una entrevista telefónica. “Eso va a bajar más en los próximos años. Nuestro ataque está costando tal vez $ 45,000 ahora, pero en, digamos, de cinco a 10 años, costará menos de $ 10,000 ”.

Si bien muchos usuarios se han mudado de SHA-1, Leurent y Peyrin notaron dos Las populares herramientas de autoverificación convencionales Pretty Good Privacy (PGP) y GnuPG corren el riesgo de ataques de suplantación a través de colisiones de funciones hash para ciertas aplicaciones heredadas. El último ahora rechaza las firmas basadas en SHA-1 basadas en la investigación, dijo el académico.

"No tenemos los números sobre cuántos Yukis (un dispositivo de autoverificación popular) están usando las versiones antiguas". Dijo Peyrin. “Desafortunadamente, muchas personas están acostumbradas a usar SHA-1 y una de las razones es por motivos heredados. Cuesta mucho dinero simplemente alejarse ”.

Un día en la vida de una función hash

La misma semana que se expuso la vulnerabilidad en SHA-1, surgió una nueva: BLAKE3 Cuatro criptoanalistas, incluido el creador de zcash y el cypherpunk Zooko Wilcox, presentaron BLAKE3 como otra alternativa a las muchas funciones hash disponibles hoy en día para uso comercial.

Wilcox le dijo a CoinDesk que el uso de árboles Merkle fue una motivación para desarrollar un nuevo estándar junto con sus colegas. Patentado por primera vez en 1979 por Ralph Merkle, los árboles Merkle, utilizados en criptomonedas, almacenan eficientemente datos verificados y permiten que las máquinas realicen los mismos cálculos simultáneamente en lo que se llama "paralelismo". Como señala el documento BLAKE3, el uso de árboles Merkle "respalda un grado de paralelismo ilimitado. ”

Traducción: es una función hash muy rápida.

Velocidades de la función hash a través de BLAKE3 GitHub

Principalmente diseñada para verificar transmisiones de video, la función hash se basa en la familia de funciones BLAKE como BLAKE1 y BLAKE2.

SHA-1 también tiene sus propios miembros de la familia: SHA-2 y SHA-3. Sin embargo, a diferencia de sus primos BLAKE, la familia SHA se creó a partir de la necesidad de reparar SHA-1 después de un documento bomba de 2004 que rompió múltiples funciones hash. De hecho, la función hash de bitcoin, SHA-256, es un miembro de la misma familia (creada como una alternativa a SHA-1).

Después del documento de 2004, se esperaba que SHA-2, creado tres años antes. roto, así como los investigadores asumieron que las fallas de su hermano mayor serían rasgos genéticos.

Sin embargo, la mayoría de los expertos en seguridad en ese momento pensaron que era una redada NIST para un reemplazo en 2007. Por lo tanto, SHA -3.

Años después, y SHA-2 sigue balanceándose mientras su hermano continúa golpeando. El costo de lanzar un ataque a aplicaciones que utilizan SHA-1 continúa depreciando, comenzando en el equipo de GPU alquilado por valor de millones de dólares a solo miles bajo la investigación de Leurent y Peyrin.

Vida útil de funciones hash populares a través de Valerie Aurora

Entonces, ¿qué pasa con BLAKE3 y otras funciones hash como la criptografía SHA-256 ? Mientras que todas las funciones hash siguen el camino de SHA-1? No del todo, dijo el autor principal de BLAKE3 Jack O'Connor.

“Aprendimos bastante sobre cómo construir criptografía en los años 90. Lo que podría pensar como un ciclo natural de vida y muerte de la función hash puede ser incorrecto suponer. Mire SHA-1 y 'diga bien, sabe que nació y murió, dependiendo de cómo lo cuente 2015 o 2005, como un ciclo de vida de 12 a 15 años' ", dijo O'Connor.

" Probablemente ese no sea el la mejor manera de entender cómo funcionan las funciones hash porque estábamos aprendiendo mucho en los años 90 y no estamos repitiendo los errores que se cometieron con SHA-1 ", dijo O'Connor.

Puede pintar un paisaje de mil maneras, sin embargo. Es injusto extrapolar la desaparición de SHA-1 a otras funciones, ya que depende de cómo la tecnología del futuro contrarresta funciones de hash más seguras y potentes que se implementan hoy en día, como BLAKE3.

– tienen una vida útil limitada. 'Otra historia es' a principios de la década de 2000, los criptógrafos aprendieron cómo hacer funciones hash seguras; antes de eso, todos fallaron, después de eso, ninguno de ellos lo hizo '", dijo Wilcox.

" Es importante darse cuenta de que ambas historias son compatibles con los datos, por lo que cualquiera que le diga que sabe cuál es la verdadera historia está sacando conclusiones más allá de los datos ", concluyó.

Divulgación Lea Más

Líder en noticias de blockchain, CoinDesk es un medio de comunicación que lucha por los más altos estándares periodísticos y cumple con un estricto conjunto de políticas editoriales . CoinDesk es una subsidiaria operativa independiente de Digital Currency Group, que invierte en criptomonedas y startups de blockchain.

.
[DISPLAY_ULTIMATE_PLUS]

Referencia: https://www.coindesk.com/your-pgp-key-make-sure-its-up-to-date