Que é un hash criptográfico?

Os conceptos básicos dos algoritmos de cifrado son bastante fáciles de entender. Unha entrada ou texto plano é tomado xunto cunha clave e procesado polo algoritmo. A saída está cifrada e coñécese como texto cifrado. Non obstante, unha parte crítica dun algoritmo de cifrado é que pode reverter o proceso. Se tes un texto cifrado e a clave de descifrado, podes executar de novo o algoritmo e recuperar o texto sen formato. Algúns tipos de algoritmos de cifrado requiren que se use a mesma clave para cifrar e descifrar os datos. Outros requiren un par de claves, unha para cifrar e outra para descifrar.

O concepto de algoritmo de hash está relacionado pero ten algunhas diferenzas críticas. A diferenza máis importante é o feito de que un algoritmo de hash é unha función unidireccional. Poses texto plano nunha función hash e obtén un resumo hash, pero non hai forma de converter ese resumo hash de novo no texto plano orixinal.

Nota: a saída dunha función hash coñécese como un resumo hash, non un texto cifrado. O termo resumo de hash tamén se acurta habitualmente a "hash", aínda que o seu uso pode carecer de claridade ás veces. Por exemplo, nun proceso de autenticación, xera un hash e compárao co hash almacenado na base de datos.

Outra característica clave dunha función hash é que o resumo hash é sempre o mesmo se fornece a mesma entrada de texto plano. Ademais, se fai un pequeno cambio no texto plano, a saída do resumo hash é completamente diferente. A combinación destas dúas características fai que os algoritmos de hash sexan útiles na criptografía. Un uso común é cos contrasinais.

Algoritmos de hash de contrasinais

Cando inicias sesión nun sitio web, proporcionas o teu nome de usuario e contrasinal. A nivel de superficie, o sitio web verifica que os detalles que introduciu coincidan cos que ten no arquivo. Aínda que o proceso non é tan sinxelo.

As violacións de datos son relativamente comúns, é moi probable que xa te afectou. Os datos dos clientes son un dos grandes obxectivos dunha violación de datos. As listas de nomes de usuario e contrasinais pódense negociar e vender. Para dificultar todo o proceso para os piratas informáticos, os sitios web xeralmente executan cada contrasinal a través dun algoritmo de hash e só almacenan o hash do contrasinal en lugar do propio contrasinal.

Isto funciona porque cando un usuario tenta autenticarse, o sitio web tamén pode usar o hash do contrasinal enviado e comparalo co hash almacenado. Se coinciden, entón sabe que se enviou o mesmo contrasinal aínda que non saiba cal era o contrasinal real. Ademais, se os piratas informáticos violan a base de datos cos hash de contrasinais almacenados, non poden ver de inmediato cales son os contrasinais reais.

Hash fortes

Se un hacker ten acceso aos hash de contrasinais, non hai moito que poida facer con eles de inmediato. Non hai ningunha función inversa para descifrar os hash e ver os contrasinais orixinais. Pola contra, deben tentar romper o hash. Isto implica basicamente un proceso de forza bruta para facer moitas adiviñas de contrasinais e ver se algún dos hash coincide cos almacenados na base de datos.

Hai dous problemas cando se trata da forza dun hash. A forza da función hash en si e a forza do contrasinal que foi hash. Asumindo que se usa un contrasinal seguro e un algoritmo de hash, un pirata informático debería ter que probar contrasinais suficientes para calcular o 50 % do espazo de saída de hash completo para ter un 50/50 de posibilidades de descifrar calquera hash.

A cantidade de procesamento pode reducirse drasticamente se o algoritmo de hash ten debilidades que filtran datos ou teñen unha maior probabilidade de ter o mesmo hash, o que se coñece como colisión.

Os ataques de forza bruta poden ser lentos xa que hai un gran número de contrasinais posibles para probar. Desafortunadamente, a xente adoita ser bastante previsible á hora de buscar contrasinais. Isto significa que se poden facer adiviñas, utilizando listas de contrasinais de uso habitual. Se escolle un contrasinal débil, pode adiviñarse moito antes do que suxire o 50% do espazo de saída de hash.

É por iso que é importante usar contrasinais seguros. Se o hash do teu contrasinal está implicado nunha violación de datos, non importa se o sitio web utilizase o mellor algoritmo de hash posible e máis seguro dispoñible, se o teu contrasinal é "contrasinal1", aínda se adiviñará case ao instante.

Conclusión

Un algoritmo de hash é unha función unidireccional. Sempre produce a mesma saída se se proporciona coa mesma entrada. Incluso pequenas diferenzas na entrada cambian significativamente a saída, o que significa que non pode dicir se estaba preto da entrada correcta. As funcións hash non se poden reverter. Non hai forma de dicir que entrada se utilizou para xerar calquera saída sen só adiviñar. Unha función hash criptográfica é criptográficamente segura e adecuada para usos que precisan dese tipo de seguridade. Un caso de uso común é o hash de contrasinais. Outros casos de uso inclúen ficheiros hash como verificación da integridade.