Un gruppo di ricercatori ha messo insieme un cluster “economico” a base di GPU NVIDIA, usandolo poi per testare la robustezza degli hash crittografici generato con l’algoritmo SHA-1. Ed è subito SHAppening : la tecnologia non può più essere considerata sicura e va abbandonata quanto prima.
Kraken, il cluster di cui sopra, è composto da 64 GPU GeForce GTX 970 organizzate in 16 nodi, dove ogni nodo include 4 schede GTX 970, una CPU Intel Core i5-4460 (microarchitettura Haswell) e 16 Gigabyte di RAM. Con cotanto hardware, i ricercatori dicono di aver semplificato grandemente le risorse necessarie ad attaccare lo storico algoritmo SHA-1.
Il problema è di una certa gravità, dicono gli autori dello studio, visto che SHA-1 è ancora usato per firmare digitalmente i certificati SSL alla base delle comunicazioni sicure su canale HTTPS. I browser moderni non accetteranno più certificati con hash SHA-1 dopo il primo gennaio 2017, ma a quel punto potrebbe già essere troppo tardi.
I ricercatori hanno trovato il modo di semplificare la generazione di due hash SHA-1 identici per file differenti, una “collisione” che potrebbe essere sfruttata per camuffare come sicuro un software malevolo o un certificato compromesso. Usando il cloud computing, i ricercatori stimano un costo compreso fra i 75mila e i 120mila dollari per generare un attacco in grado di scardinare definitivamente SHA-1.
È il momento del panico? Non ancora, sostengono gli autori dello studio, anche se è meglio per l’industria non scherzare col fuoco : al momento la generazione di collisioni tra hash SHA-1 non è ancora provata, nondimeno l’algoritmo dovrebbe essere abbandonato in anticipo sui tempi. TrueCrypt e Microsoft (tra gli altri) lo avevano già fatto anni addietro.
Alfonso Maruccia