A criptografia \u00e9 a ci\u00eancia de proteger informa\u00e7\u00e3o de modo a que s\u00f3 as partes previstas a possam ler, verificar ou aceitar como aut\u00eantica. Est\u00e1 por detr\u00e1s de quase tudo o que acontece online, desde o in\u00edcio de sess\u00e3o no banco at\u00e9 \u00e0 confirma\u00e7\u00e3o de que um ficheiro descarregado chegou intacto. Esta sec\u00e7\u00e3o explica as ideias centrais e coloca o hashing e as fun\u00e7\u00f5es de hash no centro, porque foi precisamente a\u00ed que a nossa investiga\u00e7\u00e3o deixou marca: em 2017 produzimos a primeira colis\u00e3o pr\u00e1tica de SHA-1 e demonstr\u00e1mos que uma fun\u00e7\u00e3o de hash muito usada estava quebrada n\u00e3o em teoria, mas na realidade.<\/p>\n
Uma fun\u00e7\u00e3o de hash criptogr\u00e1fica recebe dados de qualquer tamanho e devolve uma sequ\u00eancia curta de bytes de comprimento fixo, normalmente apresentada em hexadecimal. A essa sequ\u00eancia costuma chamar-se resumo, ou digest. A ideia \u00e9 simples de descrever: para a mesma entrada, obt\u00e9m-se sempre a mesma sa\u00edda, mas a partir da sa\u00edda n\u00e3o h\u00e1 forma vi\u00e1vel de recuperar a entrada original. \u00c9 um sentido \u00fanico.<\/p>\n
Pense num hash como uma impress\u00e3o digital de dados. Dois ficheiros id\u00eanticos produzem o mesmo resumo, e qualquer diferen\u00e7a, por m\u00ednima que seja, produz um resumo completamente distinto. Isto permite comparar, identificar e verificar dados sem precisar de guardar ou transmitir os dados em si.<\/p>\n
H\u00e1 um conjunto de propriedades que separam uma boa fun\u00e7\u00e3o de hash criptogr\u00e1fica de um c\u00e1lculo qualquer. \u00c9 determin\u00edstica, devolvendo sempre o mesmo valor para a mesma entrada. \u00c9 r\u00e1pida de calcular. \u00c9 resistente \u00e0 pr\u00e9-imagem, ou seja, a partir de um resumo n\u00e3o se consegue, na pr\u00e1tica, encontrar uma entrada que o gere. \u00c9 resistente a colis\u00f5es, o que significa que n\u00e3o se conseguem encontrar duas entradas diferentes com o mesmo resumo. E exibe o efeito de avalanche: mudar um \u00fanico bit da entrada altera cerca de metade dos bits da sa\u00edda, tornando o novo resumo aparentemente sem rela\u00e7\u00e3o com o anterior. O artigo dedicado \u00e0s fun\u00e7\u00f5es de hash<\/a> percorre cada uma destas propriedades em detalhe.<\/p>\n Vale a pena fixar cedo a diferen\u00e7a entre hashing e cifragem, porque os dois s\u00e3o frequentemente confundidos.<\/p>\n A cifragem \u00e9 revers\u00edvel. Cifram-se dados com uma chave e quem possuir a chave correta volta a torn\u00e1-los leg\u00edveis. O prop\u00f3sito da cifragem \u00e9 exatamente esse: recuperar a mensagem mais tarde.<\/p>\n O hashing \u00e9 um processo de sentido \u00fanico. N\u00e3o h\u00e1 chave e n\u00e3o existe forma de inverter o resumo para reaver o original. Usa-se hashing quando se quer verificar algo sem guardar nem transmitir a coisa em si. Uma regra pr\u00e1tica ajuda a distinguir: a cifragem guarda um segredo que se pretende revelar depois, enquanto o hashing cria uma impress\u00e3o digital que nunca se quer inverter.<\/p>\n A maioria das fun\u00e7\u00f5es de hash que aparecem na pr\u00e1tica pertence a um pequeno grupo de desenhos conhecidos. A sigla SHA significa Secure Hash Algorithm, e a designa\u00e7\u00e3o cobre v\u00e1rias gera\u00e7\u00f5es com n\u00edveis de seguran\u00e7a muito diferentes.<\/p>\n MD5<\/strong> n\u00e3o pertence \u00e0 fam\u00edlia SHA, mas surge sempre na mesma conversa. Produz um resumo de 128 bits e foi outrora omnipresente. Hoje considera-se completamente quebrada, ao ponto de se gerarem colis\u00f5es em segundos num port\u00e1til. Como simples soma de verifica\u00e7\u00e3o, sem qualquer pretens\u00e3o de seguran\u00e7a, ainda aparece, mas nunca deve ser usada onde um atacante possa lucrar com a falsifica\u00e7\u00e3o de uma correspond\u00eancia.<\/p>\n SHA-1<\/strong> devolve um resumo de 160 bits e foi, durante anos, o cavalo de batalha da web. A nossa investiga\u00e7\u00e3o, batizada SHAttered, demonstrou a primeira colis\u00e3o real com dois ficheiros PDF diferentes que produziam o mesmo valor de SHA-1. O caso est\u00e1 descrito a fundo no artigo sobre a colis\u00e3o de SHA-1<\/a>, e foi esse resultado que levou a ind\u00fastria a aposentar o SHA-1 em certificados, assinaturas e sistemas de controlo de vers\u00f5es.<\/p>\n SHA-256<\/strong> pertence \u00e0 fam\u00edlia SHA-2 e \u00e9, atualmente, o padr\u00e3o para a maioria das aplica\u00e7\u00f5es. Com 256 bits de sa\u00edda e sem ataques pr\u00e1ticos conhecidos, sustenta certificados TLS, a assinatura de software e a prova de trabalho da Bitcoin. O artigo sobre SHA-256<\/a> explica onde se encaixa e por que motivo continua a resistir.<\/p>\n SHA-3<\/strong> \u00e9 um padr\u00e3o mais recente, assente numa estrutura interna completamente diferente da do MD5, SHA-1 e SHA-2. Foi normalizado como reserva, para que uma eventual fraqueza futura no SHA-2 n\u00e3o deixasse todos sem alternativa.<\/p>\n \u00c0 primeira vista, transformar dados numa impress\u00e3o digital fixa pode parecer um detalhe t\u00e9cnico menor. Na verdade, \u00e9 uma das pe\u00e7as que torna a confian\u00e7a poss\u00edvel em redes onde ningu\u00e9m conhece pessoalmente ningu\u00e9m.<\/p>\n As assinaturas digitais, os certificados e as verifica\u00e7\u00f5es de integridade raramente assinam o documento em si. Assinam o seu resumo. Uma assinatura, um identificador de commit no Git, a impress\u00e3o digital de um certificado ou a garantia de que um ficheiro n\u00e3o foi alterado reduzem tudo a um hash e confiam que esse hash \u00e9 \u00fanico para aquele conte\u00fado. Da\u00ed a import\u00e2ncia da resist\u00eancia a colis\u00f5es: se dois ficheiros partilharem o mesmo resumo, uma assinatura sobre um vale igualmente para o outro, e a liga\u00e7\u00e3o entre o que foi aprovado e o que se recebeu quebra-se em sil\u00eancio. \u00c9 exatamente este o cen\u00e1rio de ataque que torna a quebra do SHA-1 mais do que uma curiosidade acad\u00e9mica.<\/p>\n O mesmo princ\u00edpio aparece em muitos pontos do dia a dia digital:<\/p>\n A partir deste centro, quatro artigos aprofundam cada ramo do tema, e todos assentam nos mesmos blocos descritos acima.<\/p>\n O artigo sobre a colis\u00e3o de SHA-1<\/a> conta a hist\u00f3ria completa do SHAttered, o que \u00e9 uma colis\u00e3o e por que motivo a sua exist\u00eancia pr\u00e1tica abalou a confian\u00e7a na assinatura digital. O artigo sobre SHA-256<\/a> explica o padr\u00e3o atual, como se comporta e onde \u00e9 usado. O texto sobre fun\u00e7\u00f5es de hash<\/a> generaliza o conceito, detalhando as propriedades que uma fun\u00e7\u00e3o criptogr\u00e1fica precisa de ter e como difere de um hash comum. E o artigo sobre assinaturas digitais<\/a> liga tudo, mostrando como o hashing e as chaves assim\u00e9tricas se combinam para provar autoria e integridade ao mesmo tempo, e por que uma colis\u00e3o de hash amea\u00e7a diretamente essa prova.<\/p>\n Lidos em conjunto, estes textos descrevem a mesma ideia vista de \u00e2ngulos diferentes: a confian\u00e7a online n\u00e3o vem de bloquear o acesso aos dados, mas de provar, de forma que qualquer pessoa pode verificar, que os dados s\u00e3o exatamente o que dizem ser.<\/p>\n N\u00e3o. A cifragem \u00e9 revers\u00edvel com uma chave, enquanto o hashing \u00e9 uma impress\u00e3o digital de sentido \u00fanico, sem volta. Costumam usar-se em conjunto, mas s\u00e3o ferramentas distintas para problemas distintos.<\/p>\n Continua a gerar uma sa\u00edda, mas v\u00e1rios investigadores, incluindo a nossa equipa, encontraram forma de produzir duas entradas diferentes com o mesmo valor de SHA-1. A partir do momento em que as colis\u00f5es se tornam vi\u00e1veis, deixa de ser poss\u00edvel confiar na fun\u00e7\u00e3o para assinaturas ou certificados, mesmo que ela ainda funcione tecnicamente.<\/p>\n Para a generalidade dos fins, o SHA-256 \u00e9 a escolha segura por defeito. O SHA-3 \u00e9 uma alternativa s\u00f3lida sobre outra estrutura. Para guardar palavras-passe, o ideal \u00e9 uma fun\u00e7\u00e3o propositadamente lenta e desenhada para esse fim, como bcrypt, scrypt ou Argon2, em vez de um hash r\u00e1pido aplicado diretamente.<\/p>\nHashing n\u00e3o \u00e9 cifragem<\/h2>\n
A fam\u00edlia SHA, em tra\u00e7os largos<\/h2>\n
\n\n
\n \nFun\u00e7\u00e3o de hash<\/th>\n Tamanho do resumo<\/th>\n Estado<\/th>\n<\/tr>\n<\/thead>\n \n MD5<\/td>\n 128 bits<\/td>\n Quebrada, a evitar<\/td>\n<\/tr>\n \n SHA-1<\/td>\n 160 bits<\/td>\n Quebrada (colis\u00e3o encontrada), aposentada<\/td>\n<\/tr>\n \n SHA-256 (SHA-2)<\/td>\n 256 bits<\/td>\n Segura, recomendada<\/td>\n<\/tr>\n \n SHA-3<\/td>\n 224 a 512 bits<\/td>\n Segura, estrutura alternativa<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Por que o hashing sustenta a confian\u00e7a online<\/h2>\n
\n
O que esta sec\u00e7\u00e3o cobre<\/h2>\n
Perguntas frequentes<\/h2>\n
O hashing \u00e9 uma forma de cifragem?<\/h3>\n
Porque \u00e9 que o SHA-1 \u00e9 considerado quebrado se continua a produzir um resumo?<\/h3>\n
Qual a fun\u00e7\u00e3o de hash que devo usar?<\/h3>\n