SHA-1 (abreviatura de Secure Hash Algorithm 1 ) es una de varias funciones hash criptográficas.
SHA-1 se usa con más frecuencia para verificar que un archivo no ha sido modificado. Esto se hace produciendo una suma de comprobación antes de que el archivo haya sido transmitido, y luego una vez que llegue a su destino.
El archivo transmitido puede considerarse genuino solo si ambas sumas de control son idénticas.
Historia y Vulnerabilidades de la Función Hash SHA
SHA-1 es solo uno de los cuatro algoritmos de la familia Secure Hash Algorithm (SHA). La mayoría fueron desarrollados por la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés) y publicados por el Instituto Nacional de Normas y Tecnología (NIST).
SHA-0 tiene un tamaño de resumen de mensaje (valor hash) de 160 bits y fue la primera versión de este algoritmo. Los valores de hash SHA-0 tienen 40 dígitos de longitud. Se publicó con el nombre "SHA" en 1993, pero no se usó en muchas aplicaciones porque fue reemplazado rápidamente por SHA-1 en 1995 debido a una falla de seguridad.
SHA-1 es la segunda iteración de esta función criptográfica de hash. SHA-1 también tiene un resumen de mensajes de 160 bits y buscó aumentar la seguridad al corregir una debilidad encontrada en SHA-0. Sin embargo, en 2005, también se encontró que SHA-1 era inseguro.
Una vez que se encontraron debilidades criptográficas en SHA-1, NIST hizo una declaración en 2006 alentando a las agencias federales a adoptar el uso de SHA-2 para el año 2010. SHA-2 es más fuerte que SHA-1 y los ataques realizados contra SHA-2 son poco probables Que suceda con la potencia informática actual.
No solo las agencias federales, sino que incluso empresas como Google, Mozilla y Microsoft han comenzado planes para dejar de aceptar los certificados SSL SHA-1 o ya han bloqueado ese tipo de páginas para que no se carguen.
Google tiene pruebas de una colisión SHA-1 que hace que este método no sea confiable para generar sumas de comprobación únicas, ya sea con respecto a una contraseña, un archivo o cualquier otro dato. Puede descargar dos archivos PDF únicos de SHAttered para ver cómo funciona esto. Use una calculadora SHA-1 en la parte inferior de esta página para generar la suma de comprobación para ambos, y encontrará que el valor es exactamente el mismo aunque contengan datos diferentes.
SHA-2 y SHA-3
SHA-2 se publicó en 2001, varios años después de SHA-1. SHA-2 incluye seis funciones hash con diferentes tamaños de resumen: SHA-224 , SHA-256 , SHA-384 , SHA-512 , SHA-512/224 y SHA-512/256 .
Desarrollado por diseñadores que no son de la NSA y lanzado por NIST en 2015, es otro miembro de la familia de algoritmos Secure Hash, llamado SHA-3 (anteriormente Keccak ).
SHA-3 no está destinado a reemplazar a SHA-2 como las versiones anteriores estaban destinadas a reemplazar a las anteriores. En su lugar, SHA-3 se desarrolló como otra alternativa a SHA-0, SHA-1 y MD5.
¿Cómo se usa SHA-1?
Un ejemplo del mundo real en el que se puede usar SHA-1 es cuando ingresa su contraseña en la página de inicio de sesión de un sitio web. Aunque sucede en segundo plano sin su conocimiento, puede ser el método que utiliza un sitio web para verificar de forma segura que su contraseña sea auténtica.
En este ejemplo, imagine que está intentando iniciar sesión en un sitio web que visita con frecuencia. Cada vez que solicite iniciar sesión, deberá ingresar su nombre de usuario y contraseña.
Si el sitio web utiliza la función hash criptográfica SHA-1, significa que su contraseña se convierte en una suma de comprobación después de ingresarla. Esa suma de comprobación se compara con la suma de comprobación almacenada en el sitio web que se relaciona con su contraseña actual, independientemente de si No cambié su contraseña desde que se registró o si la cambió hace unos momentos. Si los dos coinciden, se le otorga acceso; Si no lo hacen, te dicen que la contraseña es incorrecta.
Otro ejemplo donde se puede usar la función hash SHA-1 es para la verificación de archivos. Algunos sitios web proporcionarán la suma de comprobación SHA-1 del archivo en la página de descarga, de modo que cuando descargue el archivo, podrá comprobar la suma de comprobación para asegurarse de que el archivo descargado sea el mismo que el que desea descargar.
Quizás te preguntes dónde está un uso real en este tipo de verificación. Considere un escenario en el que conoce la suma de comprobación SHA-1 de un archivo del sitio web del desarrollador, pero desea descargar la misma versión de un sitio web diferente. Luego, puede generar la suma de comprobación SHA-1 para su descarga y compararla con la suma de comprobación genuina de la página de descarga del desarrollador.
Si los dos son diferentes, entonces no solo significa que el contenido del archivo no es idéntico, sino que hay podría puede haber malware oculto en el archivo, los datos podrían estar dañados y dañar los archivos de su computadora, el archivo no tiene nada que ver con el archivo real, etc.
Sin embargo, también podría significar que un archivo representa una versión más antigua del programa que el otro, ya que incluso ese pequeño cambio generará un valor de suma de comprobación único.
También es posible que desee comprobar que los dos archivos son idénticos si está instalando un paquete de servicio o algún otro programa o actualización, ya que se producen problemas si faltan algunos de los archivos durante la instalación.
SHA-1 Checksum Calculators
Se puede usar un tipo especial de calculadora para determinar la suma de comprobación de un archivo o grupo de caracteres.
Por ejemplo, SHA1 en línea y SHA1 Hash son herramientas en línea gratuitas que pueden generar la suma de control SHA-1 de cualquier grupo de texto, símbolos y / o números.
Esos sitios web, por ejemplo, generarán la suma de comprobación SHA-1 de bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba para el texto pAssw0rd! .
