Recherchez sur tout Techno-Science.net
       
Techno-Science.net : Suivez l'actualité des sciences et des technologies, découvrez, commentez
Catégories
Techniques
Sciences
Encore plus...
Techno-Science.net
Partenaires
Organismes
 CEA
 ESA
Sites Web
Photo Mystérieuse

Que représente
cette image ?
Posté par Adrien le Lundi 29/10/2012 à 12:00
Nouvel algorithme de hachage cryptographique: appelons un SHA un SHA
Cinq ans, c'est le temps qu'il a fallu au NIST (National Institute of Standards and Technology) pour déterminer le vainqueur de son concours lancé en 2007 pour définir un nouvel algorithme de hachage cryptographique dans la continuité des SHA (prononcé "cha") pour "Secure Hash Algorithm" ou Algorithme de Hachage Sécurisé. Ces algorithmes ont pour fonction de crypter un message (La théorie de l'information fut mise au point pour déterminer mathématiquement le taux d’information transmis dans la communication d’un message par un canal de communication, notamment...) de manière à ce que le résultat, appelé empreinte, soit dénué d'information mais reste unique pour chaque suite de caractère. Ainsi, si on recalcule l'empreinte d'un message et que celui-ci ne correspond pas à l'empreinte initialement transmise avec le message, on peut affirmer que celui-ci a été modifié ou corrompu.

A l'époque de la mise en place du projet (Un projet est un engagement irréversible de résultat incertain, non reproductible a priori à l’identique, nécessitant le concours et l’intégration d’une grande diversité de...), les participants s'apprêtaient déjà à livrer un long combat. La pré-sélection à elle seule devait se dérouler sur un an. Le 31 octobre 2008, le NIST clôturait son appel à candidature avec un total ( Total est la qualité de ce qui est complet, sans exception. D'un point de vue comptable, un total est le résultat d'une addition, c'est-à-dire une somme. Exemple : "Le total des dettes". En physique le total n'est pas forcément...) de 64 soumissions. A peine un mois (Le mois (Du lat. mensis «mois», et anciennement au plur. «menstrues») est une période de temps arbitraire.) et demi après, le 9 décembre 2008, l'institut (Un institut est une organisation permanente créée dans un certain but. C'est habituellement une institution de recherche. Par exemple, le Perimeter Institute for Theoretical Physics est un tel institut.) annonçait la liste des 53 candidats invités à prendre part au premier tour. Un fort écrémage s'en est suivi 6 mois après lors de la publication de la liste des participants au second tour où le NIST a choisi de ne retenir que 14 candidats, soit le quart des équipes encore en lice. Pour atteindre l'objectif que s'était fixé le NIST pour la finale, c'est-à-dire un groupe restreint de 5 candidats, l'institut a impliqué une large communauté d'experts et de connaisseurs en chiffrement (En cryptographie, le chiffrement (parfois appelé à tort cryptage) est le procédé grâce auquel on peut rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de...) dans le processus de décision. Il a ainsi organisé quelques conférences qui ont eu pour effet d'attirer l'attention d'un public d'avertis et de les mobiliser sur l'événement en leur proposant de leur transmettre leurs retours par le moyen d'un forum ou d'une mailing-list créée à cet effet. Les réactions ont été nombreuses, que ce soit avant ou après les conférences. Le NIST a donc pu s'appuyer sur ces retours collectés ainsi que sur la révision effectuée en interne (En France, ce nom désigne un médecin, un pharmacien ou un chirurgien-dentiste, à la fois en activité et en formation à l'hôpital ou en cabinet pendant une durée variable selon le "Diplôme...) pour procéder à la sélection des cinq finalistes, dont la liste a été diffusée le 9 décembre 2010.

Les équipes BLAKE (GBR/SUI), Grøstl (AUT/DAN), JH (SGP), Keccak (BEL/ITA), and Skein (ALL/USA) ont ainsi pu finaliser leur algorithme lors de la 3e et dernière phase (Le mot phase peut avoir plusieurs significations, il employé dans plusieurs domaines et principalement en physique :) du concours d'une durée de 2 mois avant de devoir livrer le produit au public le 31 janvier 2011. Ceux-ci ont fait l'objet (De manière générale, le mot objet (du latin objectum, 1361) désigne une entité définie dans un espace à trois dimensions, qui a une fonction précise, et qui peut être désigné par une étiquette verbale. Il est...) d'une consultation publique de plus d'une année (Une année est une unité de temps exprimant la durée entre deux occurrences d'un évènement lié à la révolution de la Terre autour du Soleil.). Une dernière conférence organisée en mars 2012 a permis de collecter une masse (Le terme masse est utilisé pour désigner deux grandeurs attachées à un corps : l'une quantifie l'inertie du corps (la masse inerte) et...) importante de données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement,...) de la part de la communauté de cryptographie (La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des messages (assurant confidentialité, authenticité et intégrité) en s'aidant souvent de secrets ou...) avant de mener une dernière révision en interne. Les résultats ont été dévoilés le 2 octobre 2012, proclamant l'équipe Keccak grand gagnant de ce concours de la nouvelle génération de SHA.

Reste que ce choix ne devrait pas impacter immédiatement l'utilisation des fonctions de hachage actuelles. En effet, lors de la mise en place du concours en 2007, le NIST évoquait la catastrophe (Une catastrophe est un événement brutal, d'origine naturelle ou humaine, ayant généralement la mort et la destruction à grande échelle pour conséquence.) qu'engendrerait une attaque réussie sur la famille SHA-2, derniers nés de la lignée et regroupant les SHA-256 et SHA-512 (basés sur des tailles de blocs différentes). Pourtant réputé comme très solide, il aurait suffit d'une seule attaque réussie pour mettre à mal le système de signatures des agences fédérales américaines. Le NIST portait aussi à l'époque de forts doutes sur la longévité (La longévité d'un être vivant est la durée de vie pour laquelle il est biologiquement programmé, dans des conditions idéales et en l'absence de maladie ou d'accident. Elle correspond...) du fameux SHA-1, au vu du grand intérêt suscité par la communauté de cryptanalyse. Cet algorithme vieux de 17 ans (1995) est toujours le plus utilisé de nos jours (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil éclairent le ciel. Son début (par rapport à minuit heure locale) et sa durée...), malgré la découverte de failles théoriques en 2005. Mais bien que de multiples tentatives d'attaques ont eu lieu depuis, aucune n'a semble-t-il abouti de manière concrète (La concrète est une pâte plus ou moins dure obtenue après extraction d’une matière première fraîche d’origine végétale (fleurs, feuille) par solvants volatils (non aqueux). Le solvant...). Les algorithmes SHA-1 et SHA-2 restent donc des valeurs sûres, mais pour combien de temps (Le temps est un concept développé par l'être humain pour appréhender le changement dans le monde.) encore ?

C'est en effet la question que s'est dernièrement posé un expert qui s'est intéressé aux possibilités d'utilisation des ressources du "Cloud Computing" pour réussir à attaquer l'algorithme du SHA-1. L'une des principales attaques utilisées contre les algorithmes de hachage cryptographique consiste à profiter du fait qu'aucun d'entre eux ne peut totalement s'assurer qu'une empreinte est unique. En effet, avec les connaissances actuelles, il existera toujours une possibilité qu'une suite de caractères possède la même empreinte qu'une autre suite de caractères. Cette attaque s'appelle l'attaque par collision (Une collision est un choc direct entre deux objets. Un tel impact transmet une partie de l'énergie et de l'impulsion de l'un des corps au second.). Le principe d'un bon algorithme se base donc sur la difficulté et le temps mit pour trouver une suite de caractères donnant la même empreinte que celle que l'on étudie. Hors, avec la généralisation (La généralisation est un procédé qui consiste à abstraire un ensemble de concepts ou d'objets en négligeant les détails de façon à ce qu'ils puissent être considérés de...) du Cloud Computing, un chercheur (Un chercheur (fem. chercheuse) désigne une personne dont le métier consiste à faire de la recherche. Il est difficile de bien cerner le métier de chercheur tant les domaines de recherche sont diversifiés et impliquent...) en sécurité d'Intel Corp., Jesse Walker (qui fait d'ailleurs parti de l'équipe Skein, finaliste du concours), a évoqué la possibilité pour une organisation (Une organisation est) criminelle d'accéder, d'ici 2018, à suffisamment de ressources pour pouvoir cracker le SHA-1. Il suffira de louer pour un temps donné une grande quantité (La quantité est un terme générique de la métrologie (compte, montant) ; un scalaire, vecteur, nombre d’objets ou d’une autre manière de dénommer la...) de ressources de calcul à un prix raisonnable et d'effectuer des attaques avec un grand nombre (La notion de nombre en linguistique est traitée à l’article « Nombre grammatical ».) de suites de caractères. Une fois le processus réussi, toute personne malveillante pourra ainsi falsifier des documents officiels ou déjouer certains mécanismes de sécurité mis en place sur les sites Internet (Internet est le réseau informatique mondial qui rend accessibles au public des services variés comme le courrier électronique, la messagerie instantanée...).

Heureusement pour les entités fédérales américaines et pour une grande partie des entreprises ou administrations du monde (Le mot monde peut désigner :) entier, l'arrivée du nouvel algorithme offre un recours supplémentaire dans le cas où le SHA-1 et/ou le SHA-2 venaient à être compromis. Mais ces vieux algorithmes restent encore des valeurs sûres, tant et si bien que le NIST conseille de ne pas passer (Le genre Passer a été créé par le zoologiste français Mathurin Jacques Brisson (1723-1806) en 1760.) directement à l'utilisation du SHA-3 et d'exploiter pour l'instant (L'instant désigne le plus petit élément constitutif du temps. L'instant n'est pas intervalle de temps. Il ne peut donc être considéré comme une durée.) le SHA-2, qui date de 2001 mais a encore de beaux jours devant lui. Il nous reste tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou l'univers.) de même à louer cette initiative préventive du NIST au travers de ce concours et surtout de la mise à disposition au grand public de ce nouvel outil (Un outil est un objet finalisé utilisé par un être vivant dans le but d'augmenter son efficacité naturelle dans l'action. Cette augmentation se traduit par la...) SHA-3 sans restrictions de propriétés intellectuelles ou autres royalties.

Commentez et débattez de cette actualité sur notre forum Techno-Science.net. Vous pouvez également partager cette actualité sur Facebook, Twitter et les autres réseaux sociaux.
Icone partage sur Facebook Icone partage sur Twitter Partager sur Messenger Icone partage sur Delicious Icone partage sur Myspace Flux RSS
Source: BE Etats-Unis numéro 306 (19/10/2012) - Ambassade de France aux Etats-Unis / ADIT - http://www.bulletins-electroniques.com/ ... /71274.htm