Benvenuti su shattered.io

shattered.io è un sito indipendente che spiega in modo chiaro la crittografia, la sicurezza informatica, la privacy e la tecnologia alla base dei sistemi provabilmente equi (provably fair). Il nome del dominio non è casuale: questo indirizzo è la sede storica della ricerca SHAttered del 2017, il lavoro che dimostrò per la prima volta, nella pratica, una collisione della funzione di hash SHA-1.

Il nostro obiettivo è semplice. Vogliamo prendere argomenti tecnici che spesso sembrano riservati agli specialisti e renderli accessibili a chiunque abbia curiosità e voglia di capire come funzionano davvero le cose. Niente promesse esagerate, niente slogan: solo spiegazioni oneste, verificate e scritte in italiano corrente.

La storia della collisione SHA-1

Il 23 febbraio 2017 un gruppo di ricercatori del CWI di Amsterdam (il centro nazionale olandese per la matematica e l'informatica) insieme a Google annunciò un risultato che molti esperti attendevano da anni. Per la prima volta erano riusciti a produrre una collisione pratica per la funzione di hash SHA-1. Il progetto prese il nome di SHAttered, un gioco di parole tra "SHA" e l'inglese "shattered", cioè frantumato.

Per capire la portata della cosa serve un piccolo passo indietro. Una funzione di hash prende un file di qualsiasi dimensione e ne calcola una specie di impronta digitale, una stringa corta di caratteri. In teoria, due file diversi non dovrebbero mai produrre la stessa impronta. Quando questo accade, si parla di collisione, e una collisione manda in crisi tutte le garanzie di sicurezza costruite su quella funzione.

I ricercatori non si limitarono a una dimostrazione teorica. Costruirono due file PDF diversi, con contenuto visibile diverso, che però condividevano esattamente la stessa impronta SHA-1: il valore 38762cf7f55934b34d179ae6a4c80cadccbb7f0a. I due documenti restano distinguibili con una funzione più moderna come SHA-256, ma per SHA-1 risultano identici. È la prova concreta che quella funzione non poteva più essere considerata sicura per gli usi che dipendono dall'unicità dell'impronta.

Perché una collisione conta davvero

Le funzioni di hash sono ovunque, anche se raramente le notiamo. Stanno dietro le firme digitali, i certificati che proteggono i siti web, i sistemi di aggiornamento del software e i controlli di integrità dei file. Quando firmi digitalmente un documento, in realtà firmi la sua impronta. Se un aggressore riesce a creare un secondo documento con la stessa impronta, può sostituirlo al primo e la firma continuerà a sembrare valida.

Lo stesso ragionamento vale per i certificati. Un'autorità che firma il certificato di un sito legittimo potrebbe, in presenza di una collisione, vedere quella firma riutilizzata per un certificato fraudolento. Anche gli aggiornamenti software sono a rischio: molti sistemi verificano l'impronta di un pacchetto prima di installarlo, e una collisione apre la porta a contenuti manomessi. Per questo il risultato del 2017 spinse l'intero settore ad abbandonare SHA-1 più in fretta, a favore di alternative come SHA-256.

I file e il documento di ricerca

Chi vuole esaminare la prova in prima persona può scaricare i materiali originali. I due PDF in collisione e l'articolo scientifico completo restano disponibili a questi indirizzi:

• Primo PDF: https://shattered.io/static/shattered-1.pdf
• Secondo PDF: https://shattered.io/static/shattered-2.pdf
• Articolo di ricerca: https://shattered.io/static/shattered.pdf

I due file appaiono diversi quando li apri, eppure restituiscono la stessa impronta SHA-1. È un modo molto diretto per toccare con mano un concetto che, descritto a parole, può sembrare astratto. Vale la pena ricordare che produrre quella collisione richiese una quantità enorme di calcolo: secondo i ricercatori furono necessari oltre nove trilioni di operazioni di compressione SHA-1, un'impresa fuori dalla portata di un singolo computer ma ormai realistica per chi disponga di risorse adeguate. Proprio per questo il risultato non era solo curioso, era un avvertimento concreto sul fatto che la funzione andava ritirata.

Cosa troverete sul sito

A partire da questa eredità, shattered.io raccoglie guide e approfondimenti su crittografia applicata, protezione dei dati personali, buone pratiche di sicurezza e meccanismi di verifica come quelli usati nei sistemi provabilmente equi. Ogni argomento è trattato con lo stesso spirito: prima i fatti, poi le spiegazioni, con riferimenti alle fonti quando servono.

Vi invitiamo a esplorare le sezioni del sito, a leggere gli articoli che vi incuriosiscono di più e a tornare quando avete una domanda. La sicurezza informatica riguarda tutti, non solo gli addetti ai lavori, e crediamo che capirla sia il primo passo per usarla bene.

Beyond the original SHA-1 collision proof, the site now publishes ongoing coverage across cryptography, cybersecurity, privacy, cryptocurrency and provably-fair systems. Every article is editorial, lightly-opinionated and built on primary sources where possible.