Blog de CiberAbogados
  Imprimir

NIST retira el algoritmo criptográfico SHA-1

404 Hits

La venerable función hash criptográfica tiene vulnerabilidades que hacen desaconsejable su uso posterior. 15 de diciembre de 2022

NIST recomienda que cualquier persona que confíe en SHA-1 para la seguridad cambie a usar los grupos de algoritmos SHA-2 y SHA-3 más seguros. Crédito: B. Hayes/NIST

El algoritmo SHA-1, uno de los primeros métodos ampliamente utilizados para proteger la información electrónica, ha llegado al final de su vida útil, según expertos en seguridad del Instituto Nacional de Estándares y Tecnología (NIST). La agencia ahora recomienda que los profesionales de TI reemplacen SHA-1, en las situaciones limitadas en las que todavía se usa, con algoritmos más nuevos que son más seguros.

SHA-1, cuyas iniciales significan "algoritmo hash seguro", se ha utilizado desde 1995 como parte del Estándar federal de procesamiento de información (FIPS) 180-1 . Es una versión ligeramente modificada de SHA, la primera función hash que el gobierno federal estandarizó para su uso generalizado en 1993. Dado que las computadoras cada vez más potentes de hoy en día pueden atacar el algoritmo, el NIST anuncia que SHA-1 debería eliminarse antes del 31 de diciembre. , 2030, a favor de los grupos de algoritmos SHA-2 y SHA-3 más seguros.

"Recomendamos que cualquier persona que confíe en SHA-1 para la seguridad migre a SHA-2 o SHA-3 lo antes posible", dijo Chris Celi, científico informático del NIST.

SHA-1 ha servido como elemento básico para muchas aplicaciones de seguridad, como la validación de sitios web, de modo que cuando carga una página web, puede confiar en que su supuesta fuente es genuina. Protege la información realizando una operación matemática compleja en los caracteres de un mensaje, produciendo una cadena corta de caracteres llamada hash. Es imposible reconstruir el mensaje original solo a partir del hash, pero conocer el hash proporciona una manera fácil para que un destinatario compruebe si el mensaje original se ha visto comprometido, ya que incluso un ligero cambio en el mensaje altera drásticamente el hash resultante.

"Recomendamos que cualquier persona que confíe en SHA-1 para la seguridad migre a SHA-2 o SHA-3 lo antes posible". —Chris Celi, científico informático del NIST

Las computadoras más poderosas de hoy en día pueden crear mensajes fraudulentos que generan el mismo hash que el original, lo que podría comprometer el mensaje auténtico. Estos ataques de "colisión" se han utilizado para socavar SHA-1 en los últimos años. NIST ha anunciado anteriormente que las agencias federales deben dejar de usar SHA-1 en situaciones donde los ataques de colisión son una amenaza crítica, como para la creación de firmas digitales .

Dado que los ataques a SHA-1 en otras aplicaciones se han vuelto cada vez más graves , el NIST dejará de usar SHA-1 en sus últimos protocolos especificados restantes antes del 31 de diciembre de 2030. Para esa fecha, el NIST planea:

  • Publique FIPS 180-5 (una revisión de FIPS 180) para eliminar la especificación SHA-1.
  • Revise SP 800-131A y otras publicaciones del NIST afectadas para reflejar el retiro planificado de SHA-1.
  • Cree y publique una estrategia de transición para validar algoritmos y módulos criptográficos.

El último elemento se refiere al Programa de Validación de Módulos Criptográficos ( CMVP ) de NIST, que evalúa si los módulos, los componentes básicos que forman un sistema de cifrado funcional, funcionan de manera efectiva. Todos los módulos criptográficos utilizados en el cifrado federal deben validarse cada cinco años, por lo que el cambio de estado de SHA-1 afectará a las empresas que desarrollan módulos.

"El gobierno federal no permitirá la compra de módulos que aún usen SHA-1 después de 2030", dijo Celi. "Las empresas tienen ocho años para presentar módulos actualizados que ya no usen SHA-1. Debido a que a menudo hay una acumulación de envíos antes de la fecha límite, recomendamos que los desarrolladores envíen sus módulos actualizados con mucha anticipación, para que CMVP tenga tiempo de responder".

Las preguntas sobre la transición se pueden enviar a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. . Hay más información disponible en la página de transición del Centro de recursos de seguridad informática del NIST .


Fuente: https://www-nist-gov

0
¿Cómo te sientes acerca de este post?
Feliz (0)
Amor (0)
Sorprendido (0)
Triste (0)
Enojado (0)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Los 6 ciberataques que serán más habituales en 202...
Estafas, famosos e influencers: cuatro recomendaci...

Sobre el autor

Hugo F. Pérez Carretta

Hugo F. Pérez Carretta

Suscribirse a las actualizaciones Cancelar la suscripción a las actualizaciones del autor Hugo F. Pérez Carretta

Logros

Entradas recientes del autor
Más publicaciones del autor
 

Comentarios

No hay comentarios por el momento. Sé el primero en enviar un comentario.
¿Ya està registrado? Ingresa Aquí
Viernes, 25 Abril 2025

Al aceptar, accederá a un servicio proporcionado por un tercero externo a https://www.ciberabogados.ar/

Publicaciones recientes

18 Octubre 2024
Demanda Colectiva contra el Uso de IA para Clonación de Rostro y Voz - ULCMPF CABA
📢 Demanda Colectiva contra el Uso de IA para Clonación de Rostro y VozEn una interesante iniciativa para proteger los derechos de usuarios y consumidores se ha presentado una demanda colectiva de consumo para detener el uso de plataformas que emplean...
Leer más
17 Octubre 2024
Mamba 2FA: El Nuevo Servicio de Phishing que Burla la Autenticación Multifactor en Microsoft 365
Mamba 2FA: El Nuevo Servicio de Phishing que Burla la Autenticación Multifactor en Microsoft 365
17 de octubre de 2024 En el siempre cambiante mundo de la ciberseguridad, surge una nueva amenaza: Mamba 2FA, una plataforma de phishing como servicio (PhaaS) diseñada para atacar cuentas de Microsoft 365. Este servicio emergente no solo facilita la ...
Leer más

Suscribirme al sitio

Suscríbete a nuestro blog

Categorías

En la comunidad

Artículos anclados
Actividades recientes
  • Hugo F. Pérez Carretta
    Hugo F. Pérez Carretta ha compartido un enlace
    Editar
     https://www.linkedin.com/pulse/libertad-de-expresi%C3%B3n-vs-control-judicial-el-caso-la-roberto-nfiqf/?trackingId=JD9DjuVmv3jhFtXjj%2FAmiQ%3D%3D
    Libertad de expresión vs. Control judicial: El caso de la suspensión de X en Brasil
    https://www.linkedin.com/pulse/libertad-de-expresi%C3%B3n-vs-control-judicial-el-caso-la-roberto-nfiqf/?trackingId=JD9DjuVmv3jhFtXjj%2FAmiQ%3D%3D
    El viernes 30 de agosto de 2024, un ministro del Tribunal Supremo Federal de Brasil ordenó la suspensión inmediata y total del funcionamiento de la red social X, ex Twitter, en todo el territorio de ese país hasta que se cumpla la decisión judicial de esa instancia. Adicionalmente, dispuso una astre
    0
    0
    0
    0
    0
    0
    Comments (0)
    La publicación está bajo moderación
    El elemento de la secuencia se ha publicado correctamente. El elemento estará ahora visible en tu stream.
Aún no hay actividades aquí
Inicie sesión para ver más elementos del flujo

Iniciar sesión o registrarse