25 abr. 2023

Comprender las Funciones Hash

Introducción

Este artículo proporciona una descripción general de las funciones criptográficas hash y cómo se relacionan con los certificados y firmas digitales. Si este no es el artículo de soporte que está buscando, use la barra de búsqueda de arriba.

Funciones Criptográficas Hash

Las funciones hash, a efectos prácticos, se consideran funciones unidireccionales, ya que son prácticamente imposibles o al menos inviables de invertir del valor resultante al contenido original.
Un ejemplo muy básico de una función hash sería si le envías a alguien el mensaje "123". El destinatario lee "123", pero no puede estar seguro de estar leyendo el mensaje original. También les envía el valor hash de "6". Por sí solo es bastante inútil, 6 podría haberse derivado de muchas maneras. Si también especifica que su algoritmo hash es "sumar todos los números", se vuelve mucho más útil. Ahora puede sumar 1+2+3 para obtener 6 y saber que se conservó la integridad del mensaje. Si recibió "124" como su mensaje, obtendría un valor hash de 7 y no coincidiría con el valor hash que le enviaron y sabría que la integridad del mensaje se ha visto comprometida.
En la práctica: "El texto dentro de estas comillas" tiene un valor hash SHA-256 de: . El conocimiento del valor hash no revela el mensaje original. Sin embargo, ejecutar la función hash SHA-256 en el mensaje original, si se conoce, validará la integridad de ese mensaje si los dos hashes coinciden. Al igual que con el ejemplo anterior, si se modificara algo en el mensaje original, los valores hash no coincidirían.

Si dos fuentes diferentes producen el mismo hash, se denomina colisión. Entonces, en el primer ejemplo, si le enviaron el mensaje "33", también obtendría un valor hash de 6 y no se daría cuenta de que no estaba mirando el mensaje original. La capacidad de un futuro algo cercano para producir colisiones a propósito es uno de los factores en la desaprobación de SHA-1. Las mejoras con el algoritmo SHA-2 y el tamaño de hash más grande de 256 bits reducen en gran medida la probabilidad de encontrar o producir colisiones.

Firmas Digitales en Documentos, Código y Certificados Digitales

Nuestro artículo de compatibilidad SHA-256 cubre la validación del hash SHA-256 en las firmas de documentos, el código firmado y los propios certificados. El soporte para uno de estos escenarios no implica el soporte para otro. Cuando firma digitalmente un documento o código, el documento o código en sí se usa como entrada para calcular el hash. Si se modifica alguna parte del documento o código, el hash cambia y la firma no será válida.

En un certificado digital, campos como el nombre común, el código de país, la organización y el correo electrónico forman lo que se denomina  Secuencia de certificado TBS (To Be Signed). Esta es la información utilizada en un certificado para calcular el valor hash cuando lo firma GlobalSign o cualquier otra autoridad de certificación. Otros dos campos de certificado, signatureAlgorithm y signatureValue, ayudan en la validación de su certificado digital. SignatureAlgorithm especifica el algoritmo hash utilizado para calcular el hash, y signatureValue es el hash calculado de la secuencia tbsCertificate. Con esta información disponible, los sistemas operativos, navegadores y otro software pueden verificar la integridad de la información examinada en su certificado.

¿Por qué la huella digital de mi certificado SHA-256 es SHA-1?

Donde signatureValue es el hash de la secuencia tbsCertificate, la huella digital es el hash de todo el certificado en formato DER binario; en realidad no es parte del certificado. La huella digital es calculada por el sistema operativo; Windows usa SHA-1 de forma predeterminada, independientemente del algoritmo de firma del certificado.