¿Qué es SHA-1? (Definición de SHA-1 y SHA-2)

December 02, 2021
EnInternet, Redes Y Seguridad Antivirus

SHA-1 (abreviatura de Algoritmo hash seguro 1) es uno de varios funciones hash criptográficas.

SHA-1 se usa con mayor frecuencia para verificar que un expediente ha sido inalterado. Esto se hace produciendo un suma de comprobación antes de que el archivo se haya transmitido, y luego nuevamente una vez que llegue a su destino.

El archivo transmitido puede considerarse genuino solo si ambas sumas de comprobación son idénticas.

Historia y vulnerabilidades de la función SHA Hash

SHA-1 es solo uno de los cuatro algoritmos de la familia Secure Hash Algorithm (SHA). La mayoría fueron desarrollados por la Agencia de Seguridad Nacional de EE. UU. (NSA) y publicados por el Instituto Nacional de Estándares y Tecnología (NIST).

SHA-0 tiene un tamaño de resumen de mensaje de 160 bits (valor hash) y fue la primera versión de este algoritmo. Los valores hash SHA-0 tienen 40 dígitos. Se publicó con el nombre "SHA" en 1993, pero no se usó en muchas aplicaciones porque fue reemplazado rápidamente por SHA-1 en 1995 debido a una falla de seguridad.

SHA-1 es la segunda iteración de esta función hash criptográfica. SHA-1 también tiene un resumen de mensajes de 160 bits y busca aumentar la seguridad al corregir una debilidad encontrada en SHA-0. Sin embargo, en 2005, también se descubrió que SHA-1 era inseguro.

Una vez que se encontraron debilidades criptográficas en SHA-1, NIST hizo una declaración en 2006 alentando a las agencias federales a adoptar el uso de SHA-2 para el año 2010. SHA-2 es más fuerte que SHA-1 y es poco probable que los ataques realizados contra SHA-2 ocurran con la potencia informática actual.

No solo las agencias federales, sino incluso empresas como Google, Mozilla y Microsoft han comenzado planea dejar de aceptar certificados SSL SHA-1 o ya ha bloqueado ese tipo de páginas cargando.

Google tiene pruebas de una colisión SHA-1 que hace que este método no sea confiable para generar sumas de verificación únicas, ya sea con respecto a una contraseña, archivo o cualquier otro dato. Puede descargar dos únicos PDF archivos de SHAtter para ver cómo funciona. Use una calculadora SHA-1 de la parte inferior de esta página para generar la suma de verificación para ambos, y encontrará que el valor es exactamente el mismo aunque contengan datos diferentes.

SHA-2 y SHA-3

SHA-2 se publicó en 2001, varios años después de SHA-1. SHA-2 incluye seis funciones hash con diferentes tamaños de resumen: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, y SHA-512/256.

Desarrollado por diseñadores que no pertenecen a la NSA y lanzado por NIST en 2015, es otro miembro de la familia Secure Hash Algorithm, llamado SHA-3 (anteriormente Keccak).

SHA-3 no está destinado a reemplazar SHA-2 como las versiones anteriores estaban destinadas a reemplazar a las anteriores. En cambio, SHA-3 se desarrolló solo como otra alternativa a SHA-0, SHA-1 y MD5.

¿Cómo se usa SHA-1?

Un ejemplo del mundo real en el que se puede usar SHA-1 es cuando ingresa su contraseña en la página de inicio de sesión de un sitio web. Aunque sucede en segundo plano sin su conocimiento, puede ser el método que utiliza un sitio web para verificar de forma segura que su contraseña es auténtica.

En este ejemplo, imagine que está intentando iniciar sesión en un sitio web que visita con frecuencia. Cada vez que solicite iniciar sesión, se le pedirá que ingrese su nombre de usuario y contraseña.

Si el sitio web utiliza la función de hash criptográfico SHA-1, significa que su contraseña se convierte en una suma de verificación después de ingresarla. Luego, esa suma de verificación se compara con la suma de verificación almacenada en el sitio web que se relaciona con su contraseña, si no ha cambiado su contraseña desde que se registró o si acaba de cambiarla en un momento atrás. Si los dos coinciden, se le concede acceso; si no es así, se le indicará que la contraseña es incorrecta.

Otro ejemplo en el que se puede utilizar la función hash SHA-1 es para la verificación de archivos. Algunos sitios web proporcionarán la suma de comprobación SHA-1 del archivo en la página de descarga para que cuando descargue el archivo, puede comprobar la suma de comprobación usted mismo para asegurarse de que el archivo descargado sea el mismo que el que pretendía descargado.

Quizás se pregunte cuál es el uso real de este tipo de verificación. Considere un escenario en el que conoce la suma de comprobación SHA-1 de un archivo del sitio web del desarrollador, pero desea descargar la misma versión de un sitio web diferente. Luego, podría generar la suma de verificación SHA-1 para su descarga y compararla con la suma de verificación genuina de la página de descarga del desarrollador.

Si los dos son diferentes, no solo significa que el contenido del archivo no es idéntico, sino que podría Ser malware oculto en el archivo, los datos podrían corromperse y causar daños a los archivos de su computadora, el archivo no tiene nada que ver con el archivo real, etc.

Sin embargo, también podría significar que un archivo representa una versión más antigua del programa que el otro, ya que incluso ese pequeño cambio generará un valor de suma de comprobación único.

Es posible que también desee compruebe que los dos archivos sean idénticos si está instalando un paquete de servicio o algún otro programa o actualización porque ocurren problemas si faltan algunos de los archivos durante la instalación.

Calculadoras de suma de comprobación SHA-1

Se puede utilizar un tipo especial de calculadora para determinar la suma de comprobación de un archivo o grupo de caracteres.

Por ejemplo, SHA1 en línea y Generador de hash SHA1 son herramientas en línea gratuitas que pueden generar la suma de comprobación SHA-1 de cualquier grupo de texto, símbolos y / o números.

Esos sitios web generarán, por ejemplo, la suma de comprobación SHA-1 de bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba para el texto pAssw0rd!.