Il National Institute of Standards and Technology (NIST) degli Stati Uniti annuncia la deprecazione dell’algoritmo crittografico SHA-1 e raccomanda una transizione completa ai più sicuri SHA-2 e SHA-3 entro il 31 dicembre 2030.
Permettetemi di ricordarvi che gli esperti di sicurezza delle informazioni hanno avvertito dell’insicurezza di SHA-1 più di 15 anni fa. Nel 2005, gli esperti hanno iniziato a parlare della potenziale possibilità di violare SHA-1 attraverso un attacco di collisione.
Questo da agli aggressori la possibilità di creare un file differente con lo stesso hash SHA -1, come la versione del file reale.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La situazione è peggiorata alla fine di febbraio 2017. Google, con il supporto degli scienziati dell’olandese Centrum Wiskunde & Informatica hanno realmente dimostrato che SHA-1, creato nel lontano 1995, è vulnerabile alla collisione attacchi.
Cioè, gli aggressori, basandosi su collisioni di funzioni hash, possono effettivamente creare un file falso con lo stesso hash SHA-1 della versione reale del file.
Nel 2019, l’attacco SHAttered di Google è stato ulteriormente migliorato. Il team combinato di scienziati di Singapore e Francia, ha reso possibili attacchi con un determinato prefisso.
E’ diventato da tempo ovvio che è giunto il momento per l’algoritmo SHA-1 di “ritirarsi”.
Ora, questo è stato finalmente confermato ufficialmente dal National Institute of Standards and Technology degli Stati Uniti, che scrive che la vita di SHA-1 è giunta al termine.
Questo è dovuto alle elevate capacità di calcolo dei sistemi moderni che possono facilmente attaccare l’algoritmo.
Il NIST ha precedentemente consigliato alle agenzie federali statunitensi di smettere di utilizzare l’algoritmo per le firme digitali, i timestamp e altre operazioni resistenti alle collisioni.
Tuttavia, secondo il CAVP (Cryptographic Algorithm Validation Program), in base al quale il NIST supervisiona l’elenco degli algoritmi crittografici approvati, da gennaio 2018, 2.272 biblioteche supportano ancora SHA-1.
Ora è stato riferito che entro il 2030 SHA-1 dovrebbe essere completamente eliminato. A questo punto, il NIST pubblicherà lo standard federale FIPS 180-5, dal quale verrà rimossa la specifica SHA-1. Inoltre, la deprecazione di SHA-1 si rifletterà nell’SP 800-131A rivisto e in altre specifiche.
“Il NIST sta annunciando che eliminerà gradualmente SHA-1 entro il 31 dicembre 2030 a favore delle famiglie di algoritmi SHA-2 e SHA-3 più sicure”
hanno scritto gli esperti.
“I moduli che utilizzano SHA-1 dopo il 2030 non potranno essere acquistati dal governo federale. Le aziende hanno otto anni per aggiornarsi ai nuovi standard di crittografia.”
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyberpolitica
Cultura
Vulnerabilità
Cultura
Cybercrime