Suporte a SHA-2 e Suite B no Windows

Recentemente na EuroCrypt2009 pesquisadores de uma universidade australiana anunciaram ter reduzido a complexidade para colisões no algoritmo de hash SHA-1 para 252. O anúncio foi feito em uma “rump session” (sessão de cinco minutos) e o trabalho ainda não foi divulgado, mas se confirmado significa que a complexidade dos ataques passa a ser 2048 vezes menor e ao alcance de grandes organizações.


[Ataques de colisões permitem que dois conjuntos de dados tenham o mesmo valor de hash. No final do ano passado um ataque de colisão foi feito na prática contra uma infraestrutura de chaves públicas (PKI) usando MD5];


Este anúncio torna mais importante a mudança das infraestruturas de chaves públicas (ICP/PKI) e aplicações para o algoritmo SHA-2. O SHA-2 é o mais recente algoritmo de hash padronizado pelo NIST americano (que já iniciou o concurso para o SHA-3), e faz parte de uma família de algoritmos criptográficos conhecidos como Suite B, que inclui também o algoritmo simétrico AES e os algoritmos assimétricos ECDSA e ECDH:
























Algoritmo


Secreto


Ultra Secreto


Encriptação:


Advanced Encryption Standard (AES)


128 bits


256 bits


Assinatura Digital:


Elliptic Curve Digital Signature Algorithm (ECDSA)


256 bit


384 bit


Troca de Chaves:


Elliptic Curve Diffie-Hellman (ECDH)


256 bit


384 bit


Resumo (hash) :


Secure Hash Algorithm (SHA)


SHA-256


SHA-384


Dentro da Microsoft pelas regras do processo SDL nenhum código novo pode utilizar MD5 ou mesmo SHA-1, sendo obrigatório o uso do SHA-2. O suporte a algoritmos da Suite B foi incluído no Windows Vista e Windows Server 2008, e o paper Installing a Suite B Only PKI contém um passo a passo de como configurar uma autoridade certificadora Windows Server 2008 para emitir certificados usando a Suite B.


O suporte a SHA-2 no Windows XP foi introduzido no Windows XP Service Pack 3, que fornece o suporte a SHA-2 para validação de certificados digitais. Para a obtenção de certificados digitais com SHA-2 é necessário ainda a instalação da atualização 968730. A mesma atualização permite o suporte a obtenção de certificados SHA-2  Windows Server 2003 SP2.