Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Título:
Autores:
TARAPOTO
2023
Índice de contenidos
Resumen .......................................................................................................... 4
Abstract ............................................................................................................ 5
I. Introducción ........................................................................................... 6
Referencias .................................................................................................... 18
2
Índice de tablas
Índice de figuras
3
Resumen
4
Abstract
The importance of this research work lies in the review of more than 30
references that help to have a better technical and specialized perspective on the
interested parties. Regarding the conceptual framework, it explains what a hash
algorithm is, the versions of these algorithms, their use and which ones are
currently most appropriate in the web environment.
The conclusions are the identification of the family of obsolete and current
hash algorithms; the algorithms that are most used in web systems (MD5, SHA-
1 and SHA-2) and according to the review of scientific literature, the most suitable
algorithm for the web environment is SHA-256, because it is safe and very fast
at runtime.
5
I. Introducción
6
(Ntantogian et al., 2019) mencionan que en estudios recientes se ha
observado que los desarrolladores no utilizan funciones hash adecuadas para
proteger las contraseñas, debido a que no tienen suficientes conocimientos
de seguridad informática. Es en este contexto que se plantea las siguientes
interrogantes de investigación:
7
II. Justificación e importancia
8
III. Marco conceptual
3.1. ¿Qué es un algoritmo hash?
Un algoritmo hash es una función matemática que toma una entrada
de datos de cualquier tamaño y la transforma en una salida de longitud fija
o variable. La salida, conocida como hash, es una cadena de caracteres
que representa la entrada original. (Pittalia, 2019). Si los datos se modifican
en cualquier forma, el valor hash resultante también cambiará. Esto hace
que los algoritmos hash sean útiles para detectar cambios no autorizados
en los datos. El algoritmo hash está implícito en una función hash.(Brogada
et al., 2019).
9
Las funciones hash, según (Andreeva et al., 2010) mantienen tres
propiedades para ser adecuadas: (1) Unidireccionalidad. No se puede
recuperar el contenido de los datos originales a partir del valor hash
generado. (2) No colisiones con valores hash. Nunca debe ocurrir que se
asigne un mismo valor hash a datos de origen distinto. (3) Ultrarrápida. La
conversión de las entradas en un valor hash debe consumir un tiempo
mínimo de ejecución y en bases de datos los valores hash deben
almacenarse en las tablas hash para asegurar un acceso rápido.
10
3.2. Versiones de algoritmos hash
11
Algoritmo SHA-1: Este algoritmo hash lo desarrolló el Instituto
Nacional de Estándares y Tecnología (NIST) y la Agencia Nacional de
Seguridad (NSA). Se desarrolló para usarlo con DSA (algoritmo de firma
digital) o DSS (estándar de firma digital), tal como lo dicen (Kurniawan et al.,
2017), El SHA-1 genera un valor hash de 160 bits. Este algoritmo, aunque
es más potente que el MD5, también presenta vulnerabilidades y solamente
se debe usar de manera muy limitada, tal como lo recomiendan (Laatansa
et al., 2019). Aunque un informe mencionado por (Ntantogian et al., 2019),
asegura que existen cientos de miles de páginas web que mantienen
algoritmos hash obsoletos como el MD5.
12
3.3. Los mejores algoritmos de hash para el entorno web
Durante más de una década se utilizó el algoritmo Hash MD5
ampliamente en la seguridad web, debido a su irreversibilidad, sien
embargo, en el año 2007 y luego en el 2015 se demostró que el MD5 no es
seguro ante un ataque de colisión, (Y. Li et al., 2019), demostraron que
usando la herramienta Fastcoll y con un experimento en lenguaje C usando
el método de Bai Honghuan se realizaron colisiones MD5 en menos de una
hora.
13
14
Figura 4: Diagrama de flujo simplificado de la parte de GPU del ataque de inicio libre
en SHA-1 de 76 pasos.
Pasos 4 80 80 24
Colisión Sí Sí No No
15
Tabla 2. Diferencias entre el SHA-256 y SHA-512.
Factor SHA 256 SHA 512
16
IV. Conclusiones y recomendaciones
4.1. Conclusiones
• Se identificó a la familia de los algoritmos hash obsoletos y vigentes,
en el caso del MD5 es un algoritmo cuyo uso resulta peligroso en el
entorno web, salvo en tareas muy específicas y que no representen un
alto riesgo en la seguridad de datos.
• Los algoritmos más usados en los sistemas web en la actualidad son
MD5, SHA-1 Y SHA-2, es decir, algunos desarrolladores desconocen
las ventajas y vulnerabilidades de los algoritmos hash.
• Según la revisión de la literatura científica, el algoritmo más adecuado
para el entorno web es el SHA-256, porque resulta seguro y muy rápido
en tiempo de ejecución; los algoritmos SHA-512 se usan muy poco en
la autenticación de sistemas web.
4.2. Recomendaciones
• Se debe considerar un metaanálisis de estudios comparativos en la
seguridad de datos para tener indicadores precisos sobre los riesgos
que implica no tomar en cuenta las versiones de los algoritmos hash.
• Se debe revisar más exhaustivamente investigaciones en la región,
pues se encontró poca literatura científica en idioma español sobre el
tema.
• Es importante que la UNSM promueva más y mejores investigaciones
en el campo de ciencias de la computación.
17
Referencias
Andreeva, E., Mennink, B., & Preneel, B. (2010). Security Properties of Domain
Extenders for Cryptographic Hash Functions. Journal of Information
Processing Systems, 6(4). https://doi.org/10.3745/jips.2010.6.4.453
Arévalo Rodríguez, A. S., Hurtado Gómez, D. M., & Galindo Sierra, G. J. (2022).
Algoritmo internacional de cifrado de datos (IDEA) que utiliza la variante de
cifrado SHA-256. Revista Vínculos: Ciencia, tecnología y sociedad, ISSN
1794-211X, ISSN-e 2322-939X, Vol. 19, No. 2, 2022, 19(2), 3.
https://dialnet.unirioja.es/servlet/articulo?codigo=9020213&info=resumen
&idioma=SPA
Canada Privacy. (2023). Password Storage with Hash Functions. Paper IT.
https://privacycanada.net/hash-functions/password-storage-with-hash-
functions/
Erşahin, B., & Erşahin, M. (2022). Web application security. South Florida
Journal of Development, 3(4). https://doi.org/10.46932/sfjdv3n4-002
Ferdiansyah, R., & Hasugian, P. M. (2020). Data Security System login With
MD5 Algorithms in Applications deskresy.com. Journal Of Computer
18
Networks, Architecture and High Performance Computing, 2(1).
https://doi.org/10.47709/cnapc.v2i1.359
Guo, J., Liao, G., Liu, G., Liu, M., Qiao, K., & Song, L. (2020). Practical Collision
Attacks against Round-Reduced SHA-3. Journal of Cryptology, 33(1).
https://doi.org/10.1007/s00145-019-09313-3
He, D., Zhou, B., Yu, H., Cheng, Y., Chan, S., Zhang, M., & Guizani, N. (2021).
Group-based Password Characteristics Analysis. IEEE Network, 35(1).
https://doi.org/10.1109/MNET.011.2000354
Heap SSL Web. (2023). SHA 256 vs SHA 512: Key Encryption Algorithms
Differences. https://cheapsslweb.com/blog/sha-256-vs-sha-512-key-
encryption
Kurniawan, F., Kusyanti, A., & Nurwarsito, H. (2017). Analisis dan Implementasi
Algoritma SHA-1 dan SHA-3 pada Sistem Autentikasi Garuda Training
Cost. Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer, 1(9).
Li, D., Yang, Y., & Zeng, G. (2023). Search framework for neutral bits and
boomerangs in SHA-1 collision attacks. IET Information Security, 17(4).
https://doi.org/10.1049/ise2.12122
19
Li, Y., HeLu, X., Li, M., Sun, Y., & Wang, L. (2019). Implementation of MD5
Collision Attack in Program. Lecture Notes in Computer Science (including
subseries Lecture Notes in Artificial Intelligence and Lecture Notes in
Bioinformatics), 11632 LNCS. https://doi.org/10.1007/978-3-030-24274-
9_54
Mezher, M., & Ibrahim, A. (2019). Introducing practical SHA-1 collisions to the
classroom. SIGCSE 2019 - Proceedings of the 50th ACM Technical
Symposium on Computer Science Education.
https://doi.org/10.1145/3287324.3287446
20
International Journal of Computer Science and Mobile Computing, 8(6),
147-152. www.ijcsmc.com
Rehan Anwar, M., Apriani, D., Adianita, I. R., Anwar, M. R., & Apriani, D. (2021).
Hash Algorithm In Verification Of Certificate Data Integrity And Security.
Aptisi Transactions on Technopreneurship (ATT), 3(2), 181-188.
https://doi.org/10.34306/ATT.V3I2.212
Wang, S.-Q., Wang, J.-Y., & Li, Y.-Z. (2013). The Web Security Password
Authentication based the Single-block Hash Function. IERI Procedia, 4.
https://doi.org/10.1016/j.ieri.2013.11.002
Zhuoyu, H., & Yongzhen, L. (2022). Design and implementation of efficient hash
functions. 2022 IEEE 2nd International Conference on Power, Electronics and
Computer Applications, ICPECA 2022.
https://doi.org/10.1109/ICPECA53709.2022.9719176
21