Le SHA-1 a été cassé par une équipe de cryptographes chinois composée de Messieurs Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu (principalement de l'université Shandong). Chapeau Messieurs, vous êtes les premiers ! (Résumé : http://theory.csail.mit.edu/~yiqun/shanote.pdf)
***
Ah, et qu'est-ce que ça veut dire ?
Les fonctions de hachage à sens unique sont très utilisées dans toutes les questions de sécurité informatique. Le principe de base est simple : vous prenez un fichier (par exemple un courriel), vous lui faites subir un hachage et vous obtenez sa signature (sa valeur de hachage). La signature est évidemment bien plus courte que le fichier d'origine.
Ce qui fait la force et l'intérêt du hachage, c'est que cette signature est strictement personnelle au fichier. Par exemple, si vous envoyez un contrat signé avec PGP, la signature est calculée avec un hachage. Si quelqu'un change, ne serait-ce qu'une lettre, dans le contrat après que vous l'ayez signé, la signature n'est plus la même.
Deuxième avantage du hachage : il est facile de signer, il est impossible de faire l'inverse. On ne peut pas, en partant d'une signature, reconstituer le fichier d'origine.
Troisième avantage du hachage : il est facile de calculer une signature. Quand je dis facile, je ne dis pas que vous pouvez le faire à la main. Vous y seriez encore dans trois semaines. Mais votre ordinateur, lui, peut le faire rapidement.
Dans le jargon des crytographes, cela se dit ainsi : les fonctions de hachage à sens unique ont deux propriétés. Un, elles sont à sens unique. Deux, il n'y a pas de collisions (deux fichiers différents produisent deux hachages différents). Casser une fonction de hachage implique qu'une, ou les deux, des propriétés soit fausse.
***
Vous connaissez, sous bien des noms, ces fonctions. La plus ancienne encore en usage est le MD4, inventé en 1990 par Ron Rivest. En 1992, il l'a amélioré et a sorti le MD5. Un an plus tard, la célébrissime et sulfureuse NSA (National Security Agency) a sorti sa propre version du MD5, le SHA (Secure Hash Algorithm). Puis, en 1995, alléguant des faiblesses qu'elle a refusé d'expliquer, la NSA a publié un nouvel algorithme, le SHA-1. C'est le dernier, le plus beau, et un des plus répandus des algorithmes de hachage.
Comme tous les unix, votre Mac dispose et utilise couramment ces fonctions. Pour le vérifier, ouvrez une fenêtre du Terminal, et tapez man MD4 ou man SHA1. Je suis prêt à parier ma chemise que ces fonctions sont utilisés par l'outil de mise à jour de Mac OS X. PGP s'en sert. SSL, le protocole des serveurs sécurisés (ceux en HTTPS), s'en sert également. Bref, les fonctions de hachage sont le cheval de labour de la sécurité informatique.
***
L'algorithme SHA-1 produit un hach de 160 bits. Il réduit donc tous les fichiers à un nombre de 160 bits. Bien évidemment, comme il y a un nombre infini de fichiers possibles, il y a obligatoirement des fichiers qui produiront le même hach. Ce risque a été calculé : un sur 2^80. Ca se lit : un sur 2 puissance 80, c'est à dire 1 divisé par 1 208 925 819 610 000 000 000 000 (environ).
Les crytopgraphes ont une façon amusante d'évaluer la sécurité d'un outil. Il appellent cela l'attaque par la force brutale. Cela revient à dire qu'on peut "casser" un hachage de toute façon, en y allant comme un sauvage et en prenant son temps. Dans le cas du SHA-1, si vous voulez changer un fichier sans toucher à son hachage, il suffit de générer 2^80 fichiers : il y en aura bien un qui aura le même hachage que celui visé (c'est un peu plus compliqué, les probabilités entrent en ligne de compte, mais l'ordre de grandeur reste monstrueux).
Les cryptographes considèrent qu'un outil est compromis si l'on trouve un moyen d'aller plus vite que cela. Et c'est ce qu'on réussi les chinois : ils ont généré un fichier produisant la même signature que celui qu'ils visaient en 2^69 calculs. Soit à peu près 2 000 fois plus vite que la méthode de la force brutale.
***
Pour les utilisateurs de base comme vous et moi, on est encore loin d'une véritable mise en cause des outils existants. Personne n'a les moyens de générer une version truquée de Mac OS X qui ait le même hachage que celui de la version officielle d'Apple. Ni de faire cela pour PGP. Vous pouvez encore utiliser vos clés de 128 ou 160 bits sans crainte.
En extrapolant sur l'histoire du crakage du code DES, on peut estimer qu'il faudrait neuf ans et demi pour casser un hachage du SHA-1 à la manière de SETI, et 56 heures sur une machine faite sur mesure et coûtant 38 millions de dollars. C'est énorme.
Oui, mais c'est 2 000 fois moins que ce que l'on croyait jusqu'à peu. Tous ces outils sont maintenant compromis (des versions simplifiés du MD4 et MD5 ont également été cassées). Bien sûr, à des conditions de faisabilité et de coût effrayantes. Mais dans la course de l'épée contre la cuirasse, l'épée vient de marquer un sacré point.
Et il y a une chose qui est sûre : ce n'est pas en se cachant la tête dans le sable que le problème disparaîtra. Car la méthode trouvée par les chinois ne peut que s'améliorer. Si, dans 5 ans, il n'y a pas de nouvelle méthode de hachage, avec des clés plus longues, alors il sera temps de paniquer.
Cet article est une adaptation très personnelle d'un article du cryptographe Bruce Schneier, tiré de l'édition du 15 mars de sa lettre d'information Cryto-Gram. J'espère que les crytographes me pardonneront mes simplifications et qu'ils corrigeront, si nécessaire, les erreurs dont je suis seul responsable.
, le 05.04.2005 à 00:59
si même le titre de l’article est « crytogaphié »… ça va être dur à suivre …:-)))
, le 05.04.2005 à 02:52
Merci pour l’article, cependant, pour le compléter, je renvoie ceux que ça intéresse sur une enfilade qui a eu lieu sur fr.misc.cryptologie (groupe usenet) qui en parlait il y a quelques temps avec plus de détails :
Merci Google
—
Unix is user friendly, it’s just selective when choosing friends…
, le 05.04.2005 à 07:18
Si l’on considère que coder et décoder est un jeu, alors cela peut être amusant d’entrer dans la danse.
Malheureusement, nous savons tous que ce n’est plus un jeu et que ce qui concernait les agents de renseignements et leurs officines nous concerne désormais.
Voilà maintenant qu’il nous faut dissimuler nos propos comme si nous étions tous des espions ! À cette différence près que si l’espion mène des actions néfastes et illégales et peut se voir découvert par les autorités légales, qui nous protègent, après décodage d’un message, nous, nous serons bientôt contraints de protéger notre intimité de gens honnêtes contre les autorités légales qui veulent avoir la main sur ce que nous représentons comme part d’informations utiles à nous contrôler ou/et nous soumettre.
Imaginons ce qu’un gouvernement totalitaire, piétinant toute protection que nous offre la démocratie, pourrait utiliser contre chacun, sur des critères de son choix, des informations obtenues contre notre gré.
D’ailleurs, pourquoi l’imaginer puisque nous disposons du très réaliste exemple du gouvernement Bush qui, après les attentats du 11 septembre, s’est empressé de faire sauter la plupart des verrous que la démocratie avait placé entre les sujets étatsuniens et de possibles excès d’un pouvoir totalitaire. Ne parlons pas, bien sûr, du programme Echelon duquel personne ne semble se plaindre.
Tout le monde sera-t-il désormais contraint de tout coder ? Ne cède-t-on pas un peu vite à ces dangereux travers ?
Sinon, que dire des solutions de codage sinon qu’elles ne sont réalistes que pour un temps très court et que ceux qui s’y emploient courent après le vent ? Ce qu’un homme fait, un homme le défait.
Une devise pour la vie que l’on semble nous promettre désormais pourrait ête : « Pourquoi faire simple alors qu’on faire compliqué ? »
Quel pied !
—
Une Europe sociale est possible.
, le 05.04.2005 à 07:21
Effectivement, il y avait un bel article de Pierre Vandeginste dans La Recherche (n° 382 de janvier 2005) !!
macdigit
, le 05.04.2005 à 08:21
Merci, Bruce est mon maître à penser en matière de sécurité…
Un peu à l’image des mises à jour de sécurité que nous installons dès qu’elles sont disponibles dans le but d’éviter d’éventuelles attaques qui n’ont pas encore eu lieu, cette histoire prouve simplement que nous devons également mettre à jour nos systèmes/méthodes de cryptage… des normes plus sévères existent (SHA-256 ou 512) mais ne sont pas encore disponibles dans des produits « grands publics » (les armées codent sur plus de 2Mb depuis des années).
T
, le 05.04.2005 à 08:31
Un sha cassé par 160 bits dans un fil de Cuk crypté ?
Faut pas décoder!
;•)
, le 05.04.2005 à 09:14
A quand le chiffrement (mot plus juste en français) quantique pour le particulier ?
Faudra attendre quelques temps encore, mais des solutions existe déjà pour les entreprises dans ce domaine.
, le 05.04.2005 à 09:14
0
, le 05.04.2005 à 09:41
Espérons que Roger Cunéo ne tombera jamais sur cet article…
Sinon, qu’il se rassure : un certains nombre de lecteurs se sentent subitement solidaires…
, le 05.04.2005 à 09:48
La force brute, c’est le cassage de cryptage a la mode shadok : si il y a une chance sur 1 208 925 819 610 000 000 000 000 que ça marche, il faut se dépêcher de rater 1 208 925 819 609 999 999 999 999 fois, la dernière fois sera forcément la bonne :-D.
Plus sérieusement, j’ai l’impression qu’on cherche à atteindre un niveau de sécurité pour les documents numériques qui n’a jamais été atteint pour les documents papiers : combien de temps et d’argent vous faudrait-il, si vous interceptez un courrier, pour falsifier ce courrier, et imiter la signature de l’envoyeur ?
Pour faire les choses bien, quelques heures ….
Personnellement, je ne pense pas que cette nouvelle soit vraiment inquiétante pour la majorité des gens. Pour remettre cette nouvelle dans le contexte actuel (au niveau de la sécu informatique), il faut quelques secondes en moyenne pour casser un hash de mot de passe windows si on dispose d’une machine actuelle bien nourrie (notamment au niveau mémoire, le principe étant de pré-calculer la version cryptée de tous les mots de passe et de les stocker dans une base de données).
Une personne avais mis une démonstration de la technique sur un site web, ça à très bien marché sur les 3 hash que j’avais récupéré.
Quand on connaît la part du marché de windows …
@ bientôt
Jérôme
, le 05.04.2005 à 10:13
Cet article a été écrit par le père d’Olivier Pellerin, c’est une évidence. Voir l’humeur du premier avril, le style est tout à fait identique.
On se laissera pas avoir 2 fois.
, le 05.04.2005 à 10:26
Emile, MDR !
, le 05.04.2005 à 10:36
Okazou: en ce qui concerne le 11 septembre, il semble que les infos avaient été interceptées par la NSA. Le probléme c’est le traitement de l’information, qui est informatisé jusqu’à un certain point. Mais le traitement humain reste essentiel. Parce que la difficulté c’est de savoir s’il y a quelque chose à chercher et donc à décoder.
Olivier, comme tu dis ton adaptation est libre. Mais pas trop mal faite.
En ce qui concerne la longueur des clés, c’est comme une porte blindée, on peut rajouter du blindage, il y aura toujours des cambrioleurs plus futés et mieux équipés. Inventer un meilleur blindage, une meilleure serrure, voila le défi. Augmenter la longueur des clés n’est qu’une fuite en avant, qui mobilise plus de ressources à tenter de casser mais également à coder et encoder dans le cadre légitime de son utilisation par les sociétés et les gouvernements.
A titre d’exemple, la crypto sur base de courbes elliptique a montré que le niveau de « sécurité » était égale à celle de l’algo RSA avec une longueur de clés plus courte.
, le 05.04.2005 à 13:25
Roger Cuneo ! Revenez !!
Alexis… tous les défauts et une clef plate pour rentrer chez lui !
, le 05.04.2005 à 14:27
msulfb opx fuuormdp —> vnil kicmmaefi —> 3469 5487 0000 !
, le 05.04.2005 à 16:04
Bien résumé, caplan !
—
Une Europe sociale est possible.
, le 05.04.2005 à 16:11
Attendre ? Pas tant que ça : tu peux déjà acheter des modules de génération de nombres aléatoires chez Id Quantique . Ils sont en Suisse et si ça marche sur BSD comme ils le disent, ça doit pouvoir marcher sur ton Mac.
Tu n’as plus qu’à écrire les programmes…
, le 06.04.2005 à 00:11
« des normes plus sévères existent (SHA-256 ou 512) mais ne sont pas encore disponibles dans des produits « grands publics »
OSX (en l’occurence sa couche CDSA) sait le faire depuis fort longtemp.
, le 06.04.2005 à 12:04
La solution consistant à truffer toutes ses communications de « bomb, bush, hack, atac, drug » et autres vilaines choses, dans le but de saturer les grandes zoreilles est-elle une option sérieuse (si tout le monde s’y met)?
, le 07.04.2005 à 07:28
zitouna: c’est un peu primaire ce genre de comportement, et un peu irresponsable à mon avis. Le but d’Echelon est avant tout de traquer les activités illégales, pas de fliquer les honnêtes gens. Il y a des dérives, mais n’oublions pas le but principal.
, le 07.04.2005 à 08:26
Renaud: oui, oui, et après tu finis à Guatanamo pendant 2 ans sans chef d’accusation parce que tu es considéré comme un terroriste et que ton dossier n’est pas accessible par tes avocats ou ta famille.
Hé, y aurait pas un peu de dérive??? Mais non… on veut seulement arrêter les méchants.
T
, le 07.04.2005 à 14:08
Hé TTE, y aurait pas un peu de dérive dans ce que tu dis ?
;o/
, le 08.04.2005 à 10:24
ToTheEnd: aucun rapport entre Echelon et Guantanamo. La bas, ce sont des gens principalement « interpellés » de maniére souvent arbitraire, je suis d’accord, en Afghanistan lors de la chute des Talibans et la traque de Ben Laden.
Les US refusent le statut de prisonnier de guerre à ces « interpellés », refusant du même coup que la convention de Genéve relative aux droits des prisonniers de guerre ne s’applique. Il y a eu d’ailleurs des démarches auprés des cours de justice américaine pour ramener un peu de droit dans ce lieu de non-droit, ce qui a accéléré le mouvement de transfert ou de libération de ces « otages », pardon, je voulais dire « interpellés ».