Al igual que pasó con el ya poco confiable algoritmo MD5 , ahora los criptógrafos de la Universidad Macquarie, ubicada en Sydney Australia, Cameron McDonald, Philip Hawkes y Josef Pieprzyk han encontrado algunas vulnerabilidades en el diseño del algoritmo SHA-1 que es ampliamente utilizado en firmas digitales, validación de sitios Web y una gran variedad de procedimientos de autentificación.

Actualmente SHA-1 ofrece la capacidad de resistir a 2 elevado a 63 intentos de rompimiento pero en esta Universidad determinaron que se puede romper el algoritmo con 2 elevado a 53 intentos solamente. Una cifra considerablemente menor, lo cual en términos prácticos significa que ciertas organizaciones importantes serían vulnerables...

La técnica empleada es la búsqueda de colisiones en el algoritmo, que en palabras simples sería algo como que "que la huella digital de dos personas distintas fuese igual. De cara a la Autoridad Certificadora, estas dos personas son auténticas, aún cuando solo una de ellas ha realizado los trámites de verificación."(1)

Paul Kocher, presidente de Cryptography Research dice que probablemente a partir de fines de año se comiencen a ver los primeros ataques importantes que utilicen esta vulnerabilidad en SHA-1 o quizá antes, y que quienes administren o utilicen aplicaciones que trabajen con este algoritmo deben estar muy atentos y preparados, ya que con el descubrimiento de este problema muchos sistemas comenzarán a presentar problemas de seguridad". Por ejemplo, las validaciones que usa el sistema de identificación (DNI) de España y otros países quedarían invalidadas o dejan la posibilidad abierta para realizar ataques de usurpación de identidad, interceptación de transacciones online y permitir intrusiones similares.

Fuente: http://www.theregister.co.uk/2009/06/10/digital_signature_weakness/
PDF: http://eprint.iacr.org/2009/259.pdf
Referencias:
(1) http://lennyvpg.wordpress.com/2007/08/15/reto-en-busca-de-colisiones-en-...