SHA-1 (abreviatura de Secure Hash Algorithm 1) es una de varias funciones de hash criptográficas.
SHA-1 se utiliza más a menudo para verificar que un archivo no ha sido alterado. Esto se hace produciendo una suma de comprobación antes de que el archivo haya sido transmitido, y luego de nuevo una vez que llega a su destino.
El archivo transmitido puede considerarse auténtico sólo si ambas sumas de comprobación son idénticas .
Índice de contenidos
Historia y Vulnerabilidades de la Función Hash del SHA
SHA-1 es sólo uno de los cuatro algoritmos de la familia Secure Hash Algorithm (SHA). La mayoría fueron desarrollados por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y publicados por el Instituto Nacional de Estándares y Tecnología (NIST).
SHA-0 tiene un tamaño de compendio de mensajes de 160 bits (valor hash) y fue la primera versión de este algoritmo. Los valores de hash SHA-0 son de 40 dígitos. Fue publicado bajo el nombre de «SHA» en 1993, pero no se utilizó en muchas aplicaciones porque fue reemplazado rápidamente por SHA-1 en 1995 debido a un fallo de seguridad.
SHA-1 es la segunda iteración de esta función de hash criptográfica. SHA-1 también tiene un resumen de mensajes de 160 bits y trató de aumentar la seguridad arreglando una debilidad encontrada en SHA-0. Sin embargo, en 2005, el SHA-1 también se consideró inseguro.
Una vez que se encontraron debilidades criptográficas en la SHA-1, el NIST hizo una declaración en 2006 alentando a las agencias federales a adoptar el uso de la SHA-2 para el año 2010. El SHA-2 es más fuerte que el SHA-1 y es poco probable que los ataques contra el SHA-2 se produzcan con la potencia de cálculo actual.
No sólo las agencias federales, sino también compañías como Google, Mozilla y Microsoft han comenzado planes para dejar de aceptar certificados SSL SHA-1 o ya han bloqueado la carga de este tipo de páginas.
Google tiene pruebas de una colisión SHA-1 que hacen que este método no sea fiable para generar sumas de comprobación únicas, ya sea en relación con una contraseña, un archivo o cualquier otro dato. Puede descargar dos archivos PDF únicos de SHAttered para ver cómo funciona. Utilice una calculadora SHA-1 de la parte inferior de esta página para generar la suma de comprobación para ambos, y descubrirá que el valor es exactamente el mismo aunque contengan datos diferentes.
SHA-2 y SHA-3
El SHA-2 se publicó en 2001, varios años después del SHA-1. SHA-2 incluye seis funciones hash con diferentes tamaños de digestión: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, y SHA-512/256.
Desarrollado por diseñadores no pertenecientes a la NSA y publicado por el NIST en 2015, es otro miembro de la familia Secure Hash Algorithm, llamado SHA-3 (anteriormente Keccak).
SHA-3 no está destinado a sustituir a SHA-2 como las versiones anteriores estaban destinadas a sustituir a las anteriores. En cambio, el SHA-3 fue desarrollado como otra alternativa al SHA-0, SHA-1 y MD5.
¿Cómo se utiliza el SHA-1?
Un ejemplo del mundo real en el que se puede utilizar SHA-1 es cuando está introduciendo su contraseña en la página de inicio de sesión de un sitio web. Aunque sucede en segundo plano sin que usted lo sepa, puede ser el método que utiliza un sitio web para verificar de forma segura que su contraseña es auténtica.
En este ejemplo, imagine que está intentando iniciar sesión en un sitio web que visita con frecuencia. Cada vez que solicite iniciar sesión, deberá introducir su nombre de usuario y contraseña.
Si el sitio web utiliza la función de hash criptográfico SHA-1, significa que su contraseña se convierte en una suma de comprobación después de introducirla. Esa suma de comprobación se compara con la suma de comprobación almacenada en el sitio web que se refiere a su contraseña actual, ya sea que no haya cambiado su contraseña desde que se registró o que la haya cambiado hace unos instantes. Si los dos coinciden, se le concede acceso; si no lo hacen, se le dice que la contraseña es incorrecta.
Otro ejemplo en el que se puede utilizar la función de hash SHA-1 es para la verificación de archivos. Algunos sitios web proporcionan la suma de comprobación SHA-1 del archivo en la página de descarga, de modo que cuando descargue el archivo, puede comprobar la suma de comprobación por sí mismo para asegurarse de que el archivo descargado es el mismo que el que pretendía descargar.
Usted podría preguntarse dónde se encuentra un uso real en este tipo de verificación. Considere un escenario en el que usted conoce la suma de comprobación SHA-1 de un archivo del sitio web del desarrollador, pero desea descargar la misma versión desde otro sitio web. A continuación, puede generar la suma de comprobación SHA-1 para su descarga y compararla con la suma de comprobación original de la página de descarga del desarrollador.
Si los dos son diferentes entonces no sólo significa que el contenido del archivo no es idéntico sino que podría ser malware oculto en el archivo, los datos podrían estar corrompidos y causar daños a los archivos de su ordenador, el archivo no tiene nada que ver con el archivo real, etc.
Sin embargo, también podría significar que un archivo representa una versión más antigua del programa que el otro, ya que incluso ese pequeño cambio generará un valor de suma de comprobación único.
También es posible que desee comprobar que los dos archivos son idénticos si está instalando un Service Pack o algún otro programa o actualización, ya que se producen problemas si faltan algunos de los archivos durante la instalación.
Calculadoras de suma de comprobación SHA-1
Se puede utilizar un tipo especial de calculadora para determinar la suma de comprobación de un archivo o grupo de caracteres.
Por ejemplo, SHA1 Online y SHA1 Hash son herramientas en línea gratuitas que pueden generar la suma de comprobación SHA-1 de cualquier grupo de texto, símbolos y/o números.
Estos sitios web generarán, por ejemplo, la suma de comprobación SHA-1 de bd17dabf6fdd24dab5ed0e2e2e6624d312e4ebeaba para el texto pAssw0rd!.
