El ENS y la CCN-STIC 807 entierran definitivamente el MD5

Hoy en día es muy habitual todavía encontrar informes, certificados y elementos de seguridad que utilizan el algoritmo de Función Resumen MD5 como elemento de Checksum de validación, a pesar de que ya quedó demostrado en 2005 por Xiaoyun Wang y Hongbo Yu de la Universidad de Shandong (How to Break MD5 and Other Hash) que esta función estaba “reventada” y  por ello insegura y obsoleta.

En el contexto del Esquema Nacional de Seguridad (ENS) es el Centro Criptológico Nacional (CCN) el que determina que algoritmos están expresamente acreditados para su uso en los sistemas.

Si consultamos la guía CCN-STIC 807 emitida por la CNN (disponible en el apartado “Estudios y Guías”) se puede apreciar que el MD5 no se encuentra entre los algoritmos aceptados, si bien, el MD5 podría seguir usándose en aquellos contextos en los cuales el nivel de seguridad fuese definido como bajo, sí se debería tener en cuenta y considerarlo como prohibido en los de mayor nivel de seguridad.

Realmente siendo prácticos,  aunque el MD5 haya sido y sea un algoritmo muy usado y extendido, no tiene sentido seguir conservando su uso en vías del romanticismo del pasado o de la simple comodidad. Existen otros algoritmos como los SHA (Secure Hash Algoritm, Algoritmo Resumen Seguro) de la serie 1 (SHA-1 que es una evolución del MD5) o de la serie 2 (SHA-256) cuyo nivel de seguridad es mucho más alto, aunque éste último presenta mayores problemas de compatibilidad con los protocolos de comunicación.

Ambos algoritmos están integrados en todas las herramientas puestas al alcance de los usuarios para los usos de seguridad, certificados  e identificación unívoca de información.

Los peritos y técnicos informáticos y tecnológicos han de evolucionar al ritmo que lo hacen  las tecnologías, y si el MD5 no es bueno y queda desfasado para el ENS, para los certificados y las comunicaciones, también lo debería ser para nuestros futuros trabajos y desempeños donde, en muchas ocasiones, los utilizamos para la identificación unívoca de los ficheros, es por ello, que toca colocar el crespón negro por el luto del MD5 y dejar que descanse  en campo santo, quizás únicamente mantener las herramientas a modo de consulta y poder verificar cosas del pasado o trabajos de aquellos que se empeñan en anclarse en tiempo más pretéritos.

Para mayor información sobre los algoritmos de función de resumen, ver el Anexo C (pag. 73) de la guía CCN-STIC 807 ( disponible en el apartado “Estudios y Guías”).

Anuncios

Acerca de Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Divulgación, ENS, Estándares y normas, Estudios, Todos y etiquetada , , , , . Guarda el enlace permanente.