Redazione RHC : 20 Dicembre 2022 10:52
Il National Institute of Standards and Technology (NIST) degli Stati Uniti annuncia la deprecazione dell’algoritmo crittografico SHA-1 e raccomanda una transizione completa ai più sicuri SHA-2 e SHA-3 entro il 31 dicembre 2030.
Permettetemi di ricordarvi che gli esperti di sicurezza delle informazioni hanno avvertito dell’insicurezza di SHA-1 più di 15 anni fa. Nel 2005, gli esperti hanno iniziato a parlare della potenziale possibilità di violare SHA-1 attraverso un attacco di collisione.
Questo da agli aggressori la possibilità di creare un file differente con lo stesso hash SHA -1, come la versione del file reale.
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La situazione è peggiorata alla fine di febbraio 2017. Google, con il supporto degli scienziati dell’olandese Centrum Wiskunde & Informatica hanno realmente dimostrato che SHA-1, creato nel lontano 1995, è vulnerabile alla collisione attacchi.
Cioè, gli aggressori, basandosi su collisioni di funzioni hash, possono effettivamente creare un file falso con lo stesso hash SHA-1 della versione reale del file.
Nel 2019, l’attacco SHAttered di Google è stato ulteriormente migliorato. Il team combinato di scienziati di Singapore e Francia, ha reso possibili attacchi con un determinato prefisso.
E’ diventato da tempo ovvio che è giunto il momento per l’algoritmo SHA-1 di “ritirarsi”.
Ora, questo è stato finalmente confermato ufficialmente dal National Institute of Standards and Technology degli Stati Uniti, che scrive che la vita di SHA-1 è giunta al termine.
Questo è dovuto alle elevate capacità di calcolo dei sistemi moderni che possono facilmente attaccare l’algoritmo.
Il NIST ha precedentemente consigliato alle agenzie federali statunitensi di smettere di utilizzare l’algoritmo per le firme digitali, i timestamp e altre operazioni resistenti alle collisioni.
Tuttavia, secondo il CAVP (Cryptographic Algorithm Validation Program), in base al quale il NIST supervisiona l’elenco degli algoritmi crittografici approvati, da gennaio 2018, 2.272 biblioteche supportano ancora SHA-1.
Ora è stato riferito che entro il 2030 SHA-1 dovrebbe essere completamente eliminato. A questo punto, il NIST pubblicherà lo standard federale FIPS 180-5, dal quale verrà rimossa la specifica SHA-1. Inoltre, la deprecazione di SHA-1 si rifletterà nell’SP 800-131A rivisto e in altre specifiche.
“Il NIST sta annunciando che eliminerà gradualmente SHA-1 entro il 31 dicembre 2030 a favore delle famiglie di algoritmi SHA-2 e SHA-3 più sicure”
hanno scritto gli esperti.
“I moduli che utilizzano SHA-1 dopo il 2030 non potranno essere acquistati dal governo federale. Le aziende hanno otto anni per aggiornarsi ai nuovi standard di crittografia.”
RedazioneÈ stata identificata una vulnerabilità critica nell’architettura di sicurezza hardware AMD SEV-SNP, che impatta i principali provider cloud (AWS, Microsoft Azure e Google Cloud). Tale bug consente...
Nel mondo della sicurezza informatica, dove ogni parola pesa e ogni concetto può diventare complesso, a volte basta un’immagine per dire tutto. Un meme, con la sua ironia tagliente e goliardica e l...
In un mondo in cui la musica è da tempo migrata verso lo streaming e le piattaforme digitali, un appassionato ha deciso di tornare indietro di sei decenni, a un’epoca in cui le melodie potevano anc...
La frase “Costruiremo sicuramente un bunker prima di lanciare l’AGI” dal quale prende spunto l’articolo, è stata attribuita a uno dei leader della Silicon Valley, anche se non è chiaro a chi...
Negli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
