In seguito all’importante annuncio di Google, in cui un gruppo di ricercatori afferma di essere riuscito a provocare una collisione hash sull’algoritmo SHA-1, Mozilla ha scritto un blog post in cui annuncia la completa dismissione di questo algoritmo come protocollo di sicurezza, passando dunque ai più sicuri SHA-2 e al nuovo SHA-3.
Già dal 2015 erano stati sollevati dei dubbi sul livello di sicurezza di SHA-1, infatti Mozilla aveva preannunciato che dalla release di Firefox 51, per molti utenti l’algoritmo SHA-1 sarebbe stato disabilitato. Adesso, in seguito all’annuncio della società di Mountain View, con l’uscita di Firefox 52, questa politica toccherà tutti gli utenti che utilizzano il browser di Mozilla.
Cos’è SHA-1
L’algoritmo SHA-1, in uso da 24 anni, genera hash per ogni tipo di documento, ovvero trasforma un qualsiasi insieme di dati in una stringa binaria di dimensione fissa; questi hash sono unici per ogni serie di dati e identificano ciascun file con una stringa differente. E’ una sorta di impronta digitale del documento, ciascun file ne ha una propria e non può essere replicata, garantendone l’autenticità e l’integrità.
Cosa ha fatto Google e cosa cambierà
Gli esperti di Google, in collaborazione con un gruppo di ricercatori olandesi, sono riusciti, utilizzando uno dei più grandi calcoli computazionali mai portati a termine, a creare due file diversi che, una volta processati dall’algoritmo, hanno generato lo stesso hash. I due file PDF, insieme al research paper, sono disponibili sul sito web SHAttered.io.
Google renderà dunque obbligatorio l’abbandono di SHA-1, considerando non sicuro qualsiasi sito web che continui ad utilizzarlo nei propri sistemi di protezione.