Les algorithmes de hachage MD5 et SHA-0 victimes de faiblesses

 

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours


Par Alexandre Chassignon (JDN) - Trois faiblesses ont été découvertes coup sur coup, et annoncées à l'occasion de la conférence Crypto 2004. Deux d'entre elles concernent la fonction SHA-0, dont on savait déjà qu'elle n'était pas totalement fiable. Les travaux des équipes chinoise et israélienne étaient donc attendus.

SHA-0, pour "Secure Hash Algorithm", est le premier procédé d'une série créée par la NSA (la fameuse National Security Agency) à partir de 1993. Il n'a presque pas été utilisé, puisque dès 1995 SHA-1 était publié pour corriger un défaut affectant la sécurité du chiffrement.

Les conséquences sont donc bien plus importantes dans le cas de la troisième faiblesse découverte, qui touche le procédé de hachage MD5 (pour Message-Digest Algorithm).

 


Celui-ci, contrairement au SHA-0, est largement utilisé : des solutions développées par Sun ou encore le serveur Apache s'en servent pour vérifier l'intégrité de fichiers.

 Le français Antoine Joux, qui avait déjà co-découvert une faiblesse dans SHA-0 en 1998, a obtenu une collision, c'est-à-dire deux empreintes identiques pour des fichiers différents. Puisque les empreintes (en principe) uniques générées par les algorithmes de hachage sont destinées à vérifier l'intégrité d'un fichier, on peut imaginer que cette faiblesse soit utilisée pour faire passer pour authentique un programme auquel une porte dérobée a été ajoutée, par exemple.

Les études menées sur les faiblesses des procédés de cryptographie sont toutefois hautement expérimentales, et font appel à du matériel difficilement accessible à des personnes mal intentionnées : les travaux de Joux, Carribault et Lemuet ont mobilisé le supercalculateur du Tera Nova CEA et ses 256 Itanium2 pendant 80 000 heures-processeur.

Et même si une étape vers le contournement des protections MD5 est franchie, il reste un obstacle théorique considérable : la démarche des chercheurs consistait à trouver deux ensembles de données dont l'empreinte coïncide. Or pour faire passer pour authentique un fichier modifié, il faudrait faire coïncider son empreinte à celle de l'original sans modifier l'algorithme de hachage, ce qui semble encore hors d'atteinte.

A plus long terme encore, c'est la crédibilité du SHA-1 qui pourrait être mise en cause. Les chercheurs israëliens Eli Biham and Rafi Chen ont engagé des travaux préliminaires sur le procédé de hachage le plus utilisé (c'est le standard dans les administrations des Etats-Unis, dans SSL, ou encore PGP et son clone libre GPG). Au pire, il pourrait être 500 millions de fois plus rapide que prévu de générer deux fichiers d'empreinte identiques.

La seule solution pour protéger au mieux ses documents sensibles consite à utiliser un chiffrement plus fort que les 128 bits produits en sortie par le MD5 ou les 160 bits du SHA-0 (mais aussi du SHA-1). Dans la famille SHA, les version 256, 384 et 512 bits sont -encore- considérés comme sûres.

Mais ces algorithmes ne sont, de toutes façons, pas supposés être inviolables, et la montée en chiffrage, donc en complexité, sert seulement à élever le temps de calcul théoriquement nécessaire pour casser la protection.

Par Alexandre Chassignon (JDN)
 

F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits