SECURITE 
Sommaire Sécurité
Chiffrement : l'algorithme SHA-1 cassé ?
Des scientifiques chinois auraient découvert une faiblesse dans l'algorithme de chiffrement SHA-1, utilisé lors des transactions sécurisées SSL et pour signer électroniquement les documents.  (21/02/2005)
  En savoir plus
 Les méthodes de cryptographie standard
Dans une note adressée à la communauté scientifique mercredi 16 février, une équipe de chercheurs chinois affirme avoir trouvé une méthode capable de casser l'algorithme de cryptage SHA-1, au cœur de procédés de signature électronique utilisée par le gouvernement américain mais aussi exploité par la majorité des systèmes de paiement en ligne via le SSL ou encore par les internautes désireux de protéger leur correspondance privée via le logiciel de cryptage PGP.

Mis au point par l'agence de sécurité nationale américaine, la NSA, l'algorithme SHA (Secure Hash Algorithm) fait correspondre à un message, une chaîne de caractères de taille fixe par le biais d'un algorithme dit "de hachage". Cette nouvelle clé obtenue est ensuite cryptée pour donner lieu à une signature électronique unique. La première version de l'algorithme SHA avait été publiée en 1993 par le NIST (National Institute of Standards and Technology) et suivi deux ans plus tard de la référence SHA-1, plus complexe.

L'équipe de l'université de Shandong, Xiaoyun Wang, Yiqun Lisa Yin et Hongbo Yu, à l'origine de cette découverte avait déjà réussi à prouver l'existance de failles mathématiques dans les algorithmes de cryptage MD4, MD5, Haval et RipeMD en août 2004. Avec cette découverte, les scientifiques déclarent pouvoir diviser par un facteur 2 000, le temps nécessaire pour obtenir une collision en utilisant le SHA-1 et ses algorithmes dérivés.

Les chercheurs parlent de collisions lorsqu'ils obtiennent à partir de deux messages au contenu différents passés sous l'algorithme de cryptage SHA-1, le même résultat en fin de chaîne brisant ainsi le caractère unique de l'authentification du message. Jusqu'à présent, la seule façon possible pour obtenir une collision revenait à utiliser la force brute, soit crypter une multitude de messages puis de comparer le résultat obtenue avec la clé du message original, une opération qui nécessite 2^80 opérations dans le cas d'une clé complète SHA-1.

L'algorithme SHA-1 ne devait être remplacé totalement qu'à partir de 2010.

Mais avec le procédé utilisé par l'équipe de l'université de Shandong , le nombre d'opérations nécessaires pour obtenir une collision tomberait à 2^69 pour une clé complète. Une technique hors de portée des ordinateurs personnels d'aujourd'hui mais pas des réseaux en grille ou de supercalculateurs selon d'autres scientifiques, précipitant ainsi la fin de vie de l'algorithme. Une fin de vie anticipée car au mois d'août 2004, des scientifiques avaient déjà démontré la fragilité d'une partie du code de SHA-1 et envisagé la possibilité que l'intégralité de l'algorithme SHA-1 puisse être forcé.

  En savoir plus
 Les méthodes de cryptographie standard

Le NIST annonçait une semaine plus tôt son intention de promouvoir la migration des systèmes de signatures électroniques vers de nouvelles techniques de cryptage, baptisées SHA-256 et SHA-512, en lieu et place de SHA-1. Pourtant le directeur de la branche sécurité informatique, William Burr déclarait à cette occasion aux responsables fédéraux : "Il n'y a pas réellement d'urgence à l'heure actuelle". L'intégralité des transactions devaient ainsi migrer doucement vers ces nouveaux algorithmes d'ici 2010.

 
 
Yves DROTHIER, JDN Solutions Sommaire Sécurité
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters