Ataque com SHA-1 pode resultar nos repositórios SVN

O WebKit foi corrompido depois de investigadores terem comprovado definitivamente as vulnerabilidades da função de cifra.

webkit_sha-1-collisionUm ataque de colisão de SHA-1 recentemente revelado tem o potencial de quebrar os repositórios de código que usam o sistema de controlo de revisão, Subversion (SVN). A primeira tecnologia vítima desta acção foi o repositório do motor de browser, WebKit.

Em 2015, Sergio Silva, coordenador da Unidade de Informática do Conselho Superior de Magistratura (CSM), alertava para o facto de várias plataformas da Administração Pública usarem certificados de segurança baseados em SHA-1.

O incidente aconteceu horas depois dessa equipa da Google e do Centrum Wiskunde & Informatica (CWI) na Holanda anunciarem a execução prática de ataque de colisão através da função  de SHA-1, na última quinta-feira. A demonstração consistiu em criar dois ficheiros PDF com diferentes conteúdos, mas com resultados iguais de cifra.

Isso provou sem quaisquer dúvidas que a função de dispersão de encriptação pode ser subvertida porque uma função “hash” deve sempre produzir resultados diferentes, para partes diversas de dados ou ficheiros. SHA-1 é uma função de dispersão de cifra usada para calcular uma sequência alfa-numérica, capaz de servir como a representação de encriptação de um ficheiro ou um pedaço de dados.

Um programador do WebKit quis desenvolver um teste para provar que o ataque demonstrado não podia usado para acções de “envenenamento” de “cache”, no contexto do recurso de de-duplicação de “cache” de disco presente no WebKit, e que depende da SHA-1. Para fazer isso, enviou os dois ficheiros de PDF gerados pelo CWI e pela Google para o repositório SVN do WebKit, notando depois a ocorrência de erros.

O Git, sistema de controlo concorrente e mais popular, também usa funções SHA-1 internamente e de acordo com os investigadores do CWI e da Google, é teoricamente vulnerável

Parece que mesmo depois de remover os ficheiros, alguns problemas mantiveram-se e foi necessária mais intervenção manual para os corrigir. O problema não é específico do repositório do WebKit, mas de todos aqueles baseados no SVN.

Entretanto os programadores do Subversion lançaram um “script” para os gestores dos repositórios poderem usar e evitarem problemas de colisão de ficheiros com SHA-1 nos seus repositórios. Decorre paralelamente, outras iniciativas para uma correcção mais robusta.

O Git, sistema de controlo concorrente e mais popular, também usa funções SHA-1 internamente e de acordo com os investigadores do CWI e da Google, é teoricamente vulnerável. Mas um potencial ataque exige que os atacantes façam a computação da colisão.

A Google teve de operacionalizar mais de nove quintilhões de cálculos SHA-1, o equivalente a um ano de cálculos contínuos em 110 GPU ou 6 500 CPU. Linus Torvalds, fundador do Linux e do Git, desvalorizou as implicações do ataque, em parte porque hackers podem ser facilmente dissuadidos, se houver mecanismos de verificação simples, fazem um ataque deixar de valer a pena.




Deixe um comentário

O seu email não será publicado