{"id":259,"date":"2015-05-28T10:07:00","date_gmt":"2015-05-28T15:07:00","guid":{"rendered":"https:\/\/10.252.76.154\/?p=259"},"modified":"2015-10-15T21:03:30","modified_gmt":"2015-10-16T02:03:30","slug":"csirt-panama-aviso-2015-05-obsolescencia-del-algoritmo-de-hash-sha-1","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=259","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2015-05- Obsolescencia del Algoritmo de Hash SHA-1"},"content":{"rendered":"

CSIRT Panam\u00e1 Aviso 2015-05- Obsolescencia del Algoritmo de Hash SHA-1
\nGravedad: ALTA
\nFecha de publicaci\u00f3n: Mayo, 2015
\nFecha de modificaci\u00f3n: Mayo, 2015
\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.<\/p>\n

I. Sistemas Afectados
\nTodos los sistemas cuyos certificados SSL fueron firmados con el algoritmo SHA-1<\/p>\n

II. Descripci\u00f3n<\/p>\n

\u00bfQu\u00e9 es SHA-1?
\nSHA-1 (Secure Hash Algorithm), es una funci\u00f3n hash de cifrado dise\u00f1ado por el Instituto Nacional de Est\u00e1ndares y Tecnolog\u00edas (NIST). Este algoritmo es utilizado como parte del rol de verificaci\u00f3n de identidad que realizan los certificados SSL.
\n\u00bfQu\u00e9 relaci\u00f3n tiene SHA-1 con la firma de certificados SSL?
\nCuando un certificado es descargado desde un servidor al navegador web de un cliente, se calcula el hash. El hash calculado por el web browser es comparado por el valor del hash proporcionado por el servidor, el cual ya ha sido verificado por una Autoridad Certificadora (AC) al momento de su emisi\u00f3n. Si ambos coinciden, la identidad del sitio web es v\u00e1lida.<\/p>\n

Vulnerabilidad en SHA-1
\nExiste un problema, la utilizaci\u00f3n de SHA-1 para la firma de certificados SSL la misma es considerada obsoleta desde el 2011; cuando una agrupaci\u00f3n llamada \u201cCA\/Browser Forum\u201d public\u00f3 una l\u00ednea base de requerimientos de seguridad para SSL. Estos requerimientos recomendaban que todas las AC dejaran de utilizar SHA-1 lo m\u00e1s pronto posible. Esto se debe a que algoritmo SHA-1 es vulnerable a colisiones. Las colisiones se producen cuando dos archivos distintos producen el mismo valor de hash. Esto permitir\u00eda a alguien mal intencionado forjar un certificado y hacer que un web browser verifique la identidad de un servidor. Esta situaci\u00f3n pone en peligro un proceso muy importante en el modelo de confianza de las AC, la verificaci\u00f3n de identidad. Por esta raz\u00f3n todos los emisores de certificados y las casas fabricantes de los navegadores web m\u00e1s importantes se han puesto de acuerdo para migrar hacia SHA-2 en un tiempo ya definido por las partes.<\/p>\n

Fechas Importantes<\/p>\n