SHA-1 (abreviatura de Secure Hash Algorithm 1) es una de varias funciones hash criptográficas.
Se usa con mayor frecuencia para verificar que un archivo no ha sido alterado. Esto se hace produciendo una suma de verificación antes de que el archivo haya sido transmitido, y luego nuevamente una vez que llega a su destino.
El archivo transmitido puede considerarse genuino solo si ambas sumas de verificación son idénticas.
Historial y vulnerabilidades de la función hash SHA
SHA-1 es solo uno de los cuatro algoritmos de la familia Secure Hash Algorithm (SHA). La mayoría fueron desarrollados por la Agencia de Seguridad Nacional de EE. UU. (NSA) y publicados por el Instituto Nacional de Estándares y Tecnología (NIST).
SHA-0 tiene un tamaño de resumen de mensaje (valor hash) de 160 bits y fue la primera versión de este algoritmo. Sus valores hash tienen 40 dígitos. Se publicó con el nombre de "SHA" en 1993, pero no se usó en muchas aplicaciones porque se reemplazó rápidamente con SHA-1 en 1995 debido a una falla de seguridad.
SHA-1 es la segunda iteración de esta función hash criptográfica. Este también tiene un resumen de mensajes de 160 bits y buscó aumentar la seguridad al corregir una debilidad encontrada en SHA-0. Sin embargo, en 2005, también se descubrió que SHA-1 era inseguro.
Una vez que se encontraron debilidades criptográficas en SHA-1, NIST hizo una declaración en 2006 alentando a las agencias federales a adoptar el uso de SHA-2 para el año 2010. SHA-2 es más fuerte que SHA-1, y los ataques realizados contra SHA-2 es poco probable que suceda con la potencia informática actual.
No solo las agencias federales, sino incluso empresas como Google, Mozilla y Microsoft han iniciado planes para dejar de aceptar certificados SSL SHA-1 o ya han bloqueado la carga de ese tipo de páginas.
Google tiene pruebas de una colisión SHA-1 que hace que este método no sea confiable para generar sumas de verificación únicas, ya sea con respecto a una contraseña, un archivo o cualquier otro dato. Puede descargar dos archivos PDF únicos de SHAttered para ver cómo funciona. Use una calculadora SHA-1 de la parte inferior de esta página para generar la suma de verificación para ambos, y encontrará que el valor es exactamente el mismo a pesar de que contienen datos diferentes.
SHA-2 y SHA-3
SHA-2 se publicó en 2001, varios años después de SHA-1. Incluye seis funciones hash con diferentes tamaños de resumen: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 y SHA-512/256.
Desarrollado por diseñadores que no pertenecen a la NSA y lanzado por el NIST en 2015, es otro miembro de la familia de algoritmos hash seguros, llamado SHA-3 (anteriormente Keccak).
SHA-3 no está destinado a reemplazar a SHA-2 como las versiones anteriores estaban destinadas a reemplazar a las anteriores. En cambio, se desarrolló como otra alternativa a SHA-0, SHA-1 y MD5.
¿Cómo se usa SHA-1?
Un ejemplo del mundo real donde se puede usar SHA-1 es cuando ingresa su contraseña en la página de inicio de sesión de un sitio web. Aunque ocurre en segundo plano sin su conocimiento, puede ser el método que utiliza un sitio web para verificar de forma segura que su contraseña es auténtica.
En este ejemplo, imagina que intentas iniciar sesión en un sitio web que visitas con frecuencia. Cada vez que solicita iniciar sesión, debe ingresar su nombre de usuario y contraseña.
Si el sitio web utiliza la función hash criptográfica SHA-1, significa que su contraseña se convierte en una suma de verificación después de ingresarla. Esa suma de verificación luego se compara con la suma de verificación almacenada en el sitio web que se relaciona con su cuenta actual. contraseña, ya sea que no haya cambiado su contraseña desde que se registró o si la cambió hace unos momentos. Si los dos coinciden, se le otorga acceso; si no lo hacen, se le dice que la contraseña es incorrecta.
Otro ejemplo en el que se puede usar esta función hash es para la verificación de archivos. Algunos sitios web proporcionarán la suma de verificación SHA-1 del archivo en la página de descarga para que cuando descargue el archivo, pueda verificar la suma de verificación por sí mismo y asegurarse de que el archivo descargado sea el mismo que pretendía descargar.
Quizás te preguntes cuál es el uso real de este tipo de verificación. Considere un escenario en el que conoce la suma de verificación SHA-1 de un archivo del sitio web del desarrollador, pero desea descargar la misma versión de un sitio web diferente. Luego podría generar la suma de verificación SHA-1 para su descarga y compararla con la suma de verificación genuina de la página de descarga del desarrollador.
Si los dos son diferentes, no solo significa que el contenido del archivo no es idéntico, sino que podría haber malware oculto en el archivo, los datos podrían corromperse y dañar los archivos de su computadora, el archivo no es cualquier cosa relacionada con el archivo real, etc.
Sin embargo, también podría significar que un archivo representa una versión más antigua del programa que el otro, ya que incluso ese pequeño cambio generará un valor de suma de comprobación único.
También puede comprobar que los dos archivos son idénticos si está instalando un paquete de servicios o algún otro programa o actualización, ya que se producen problemas si f altan algunos de los archivos durante la instalación.
SHA-1 Calculadoras de suma de comprobación
Se puede utilizar un tipo especial de calculadora para determinar la suma de comprobación de un archivo o grupo de caracteres.
Por ejemplo, SHA1 Online y SHA1 Hash Generator son herramientas gratuitas en línea que pueden generar la suma de comprobación SHA-1 de cualquier grupo de texto, símbolos o números.
Esos sitios web, por ejemplo, generarán este par:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
