30 de nov. de 2021

Compreendendo as funções de Hash Criptográfico

Introdução

Este artigo fornece uma visão geral das funções de hash criptográfico e como elas se relacionam com certificados e assinaturas digitais. Se este não é o artigo de suporte de que está á procura, use a caixa de pesquisa acima.

 

Funções de Hash Criptográfico

As funções hash, para fins práticos, são consideradas funções unidirecionais, pois são praticamente impossíveis ou, no mínimo, inviáveis de inverter o valor resultante para o conteúdo original.

 

Um exemplo muito básico de uma função hash seria se você enviar a alguém a mensagem “123”. O destinatário lê “123”, mas não pode ter certeza de que está lendo a mensagem original. Também envia a eles o valor do hash “6”. Por si só, é bastante inútil, 6 poderia ter sido derivado de várias maneiras. Se você também especificar que o seu algoritmo de hash deve “somar todos os números”, ele se tornará muito mais útil. Agora pode adicionar 1 + 2 + 3 para obter 6 e saber que a integridade da mensagem foi preservada. Se você recebeu “124” como a sua mensagem, obteria um valor de hash 7 e não corresponderia ao valor de hash enviado e saberia que a integridade da mensagem foi comprometida.

 

Na prática: “O texto dentro dessas aspas” possui um valor de hash SHA-256 de 96b26f6cc52edd91cd52ac5baa1a802f4ff04daab07a308f0b2e897cc807e4bb. O conhecimento do valor da hash não divulga a mensagem original. No entanto, a execução da função de has SHA-256 na mensagem original, se conhecida, validará a integridade dessa mensagem se as duas hashes corresponderem. Como no exemplo anterior, se algo na mensagem original fosse modificado, os valores de hash não corresponderiam.

 

Se duas fontes diferentes produzem a mesma hash, isso é chamado de colisão. Portanto, no primeiro exemplo, se você recebeu a mensagem “33”, também obteria um valor de hash 6 e não saberia que não estava vendo a mensagem original. A capacidade de, no futuro próximo, produzir colisões, propositadamente é um dos fatores para descontinuar o SHA-1. As melhorias no algoritmo SHA-2 e o tamanho maior da hash de 256 bits diminuem bastante a probabilidade de encontrar ou produzir colisões.

 

 

Assinaturas Digitais em Documentos, Códigos e Certificados Digitais

 

O nosso Artigo de Compatibilidade de SHA-256 abrange a validação da hash SHA-256 nas assinaturas do documento, no código assinado e nos próprios certificados. O suporte para um desses cenários não implica suporte para outro. Quando você assina digitalmente um documento ou código, o próprio documento ou código é usado como entrada para calcular a hash.

Se qualquer parte do documento ou código for modificada, a hash será alterada e a assinatura será inválida.

Em um certificado digital, campos como nome comum, código do país, organização e email compõem o que é chamado de Sequência de Certificados TBS (a ser assinado). Essas são as informações usadas num certificado para calcular o valor da hash quando assinado pela GlobalSign ou qualquer outra autoridade de certificação. Dois outros campos de certificado, signatureAlgorithm e signatureValue, auxiliam na validação do seu certificado digital. SignatureAlgorithm especifica o algoritmo de hash usado para calcular a hash, e signatureValue é a hash calculada da sequência tbsCertificate. Com essas informações disponíveis, os sistemas operacionais, navegadores e outros softwares podem verificar a integridade das informações controladas no seu certificado.
 

Por que a impressão digital do meu certificado SHA-256 é SHA-1?

Onde a signatureValue é a hash da sequência tbsCertificate, a impressão digital é a hash de todo o certificado no formato DER binário. Na verdade, não faz parte do certificado. A impressão digital é calculada pelo sistema operacional. O Windows usa SHA-1 por padrão, independentemente do algoritmo de assinatura no certificado.