A finales de la semana pasada informamos de que Google había conseguido romper definitivamente el hash criptográfico SHA1 consiguiendo que dos archivos totalmente diferentes tengan la misma suma. El proceso para conseguir esto era muy complejo y requería, además de una gran capacidad de proceso, mucho tiempo. Sin embargo, parece que existe un peligro mucho mayor al que pensamos, ya que no ha pasado ni una semana y este fallo en el algoritmo se ha tomado ya su primera víctima.

A lo largo de este fin de semana, uno de los desarrolladores del motor WebKit subía a su repositorio Subversion una prueba con la que comprobar cómo manejaría el motor web la colisión SHA1. Para ello, el desarrollador subió al repositorio SVN los dos archivos PDF generados por Google para la demostración de la colisión. Tan pronto como Subversion identificó los dos archivos diferentes con el mismo hash, dejó de funcionar, se bloqueó y dejo de admitir más código en el repositorio.

Aunque el desarrollador eliminó ambos archivos manualmente, toda la instancia de Subversión dejó de funcionar. Además, también se detuvo la sincronización de repositorios y numerosos servicios internos de la herramienta dejaron de funcionar sin otra solución que revertir los cambios a nivel del servidor.

Una solución temporal de la mano de Apache

Este problema es muy preocupante ya que puede hacer que cualquier repositorio de Subversion deje de funcionar, cualquier versión en cualquier parte del mundo en la que tan solo se intente subir dos archivos con mismo hash. Sin embargo, aunque no podemos saber con certeza si el problema se llegará a solucionar y se podrán subir estos dos archivos y trabajar con ellos sin problemas, al menos la mitigación del problema está ya a la puerta de la esquina.

Los responsables de Apache han publicado un script que se ejecuta antes de que SVN procese los archivos subidos y que nos permite bloquear la comprobación y la subida de los datos con idénticos hashes.

Git no está afectada por la colisión SHA1 y su responsable llama a la calma

Git, la alternativa a Subversion de Linus Torvalds, no está afectada por este problema y la plataforma es capaz de lidiar sin problemas con esta colisión SHA1, aunque Linus ya tiene en mente migrar a hashes más seguros para evitar futuros problemas como a los que se está enfrentando su rival SVN.

De todas formas, Torvalds pide que no cunda el pánico y asegura que no se está cayendo el cielo, ya que hay una inmensa diferencia entre usar estos hashes con fines de seguridad, que nadie los usa, y utilizarlos para identificar archivos. Además, debido a la naturaleza de este problema, con unos simples parches es muy sencilla de solucionar y evitar que nuevos casos como los de Subversion puedan aparecer en otras plataformas similares.

De todas formas, como hemos dicho, Torvalds tiene en mente dar el salto a nuevos algoritmos de hash para su controlador de versiones, siendo SHA3-256 el favorito de este responsable, aunque la decisión aún no está tomada.

¿Crees que el problema de la colisión SHA-1 es tan preocupante como dicen?