Des­cu­bra có­mo la co­li­sión SHA-1 rom­pe­ría los re­po­si­to­rios SVN

El re­po­si­to­rio de We­bkit fue co­rrom­pi­do des­pués de que al­guien in­tro­du­jo dos ar­chi­vos PDF co­li­sio­na­do­res.

IT Now Nicaragua - - Know How - CIO

Utie­ne el po­ten­cial de rom­per los re­po­si­to­rios 16 n ata­que de co­li­sión SHA-1 anun­cia­do re­cien­te­men­te de có­di­go que usa el sis­te­ma de con­trol de re­vi­sión de sub­ver­sion (SVN en in­gles). La pri­me­ra víc­ti­ma fue el re­po­si­to­rio del mo­tor de bús- que­da We­bkit, que fue co­rrom­pi­do des­pués de que al­guien in­tro­du­jo dos ar­chi­vos PDF di­fe­ren­tes con el mis­mo hash SHA-1 pe­ga­do a ellos. Co­noz­ca có­mo ocu­rrió.

El in­ci­den­te ocu­rrió ho­ras des­pués de que los in­ves­ti­ga­do­res de Goo­gle y Cen­trum Wis­kun­de e Un desa­rro­lla­dor We­bkit qui­so crear una prue­ba pa­ra de­mos­trar que la co­li­sión ocu­rri­da no se po­dría uti­li­zar pa­ra el en­ve­ne­na­mien­to del ca­ché en el con­tex­to de la fun­ción de eli­mi­na­ción de da­tos du­pli­ca­dos de ca­ché del dis­co de We­bkit que se ba­sa en SHA-1. In­for­ma­ti­ca (CWI), en los Paí­ses Ba­jos anun­cia­ron el pri­mer ata­que prác­ti­co de co­li­sión con­tra la fun­ción hash SHA-1. Su de­mos­tra­ción con­sis­tió en crear dos ar­chi­vos PDF con di­fe­ren­tes con­te­ni­dos que te­nían el mis­mo di­gest SHA-1.

Es­to pro­bó sin lu­gar a du­das que SHA-1 se rom­pe crip­to­grá­fi­ca­men­te por­que una fun­ción hash siem­pre de­be pro­du­cir di­fe­ren­tes di­gests (has­hes) pa­ra di­fe­ren­tes par­tes de da­tos o ar­chi­vos. SHA-1 es una fun­ción de hash uti­li­za­da pa­ra cal­cu­lar una ca­de­na al­fa­nu­mé­ri­ca que sir­ve co­mo la re­pre­sen­ta­ción crip­to­grá­fi­ca de un ar­chi­vo o una pie­za de da­tos.

Un desa­rro­lla­dor We­bkit qui­so crear una prue­ba pa­ra de­mos­trar que la co­li­sión ocu­rri­da no se po­dría uti­li­zar pa­ra el en­ve­ne­na­mien­to del ca­ché en el con­tex­to de la fun­ción de eli­mi­na­ción de da­tos du­pli­ca­dos de ca­ché del dis­co de We­bkit que se ba­sa en SHA-1. Pa­ra ello subió los dos ar­chi­vos PDF ge­ne­ra­dos por CWI y Goo­gle a la SVN de We­bkit, que lue­go co­men­zó a dar los erro­res. Pa­re­ce que in­clu­so des­pués de la eli­mi­na­ción de los ar­chi­vos al­gu­nos pro­ble­mas se man­tu­vie­ron y fue ne­ce­sa­ria una ma­yor in­ter­ven­ción ma­nual pa­ra so­lu­cio­nar­los.

El pro­ble­ma no es es­pe­cí­fi­co del re­po­si­to­rio de We­bkit, sino de to­dos los ba­sa­dos en

La pri­me­ra víc­ti­ma fue el re­po­si­to­rio del mo­tor de bús­que­da We­bkit, que fue co­rrom­pi­do des­pués de que al­guien in­tro­du­jo dos ar­chi­vos PDF di­fe­ren­tes con el mis­mo hash SHA-1 pe­ga­do a ellos.

Newspapers in Spanish

Newspapers from Nicaragua

© PressReader. All rights reserved.