md5 - faille de sécurité ?
Voilà. J'ai hésite entre faire un post sur le blog et un article sur mon site ... va pour le moment pour le blog, car c'est plus rapide.
Alors, dans mon cours de Sécurité des Systèmes d'Informations, j'ai eu la surprise d'entendre les mots "analyse du md5", "problèmes que cela engendre", ... Bien entendu, certains ne connaissent pas le md5 !
Présentation du md5
Alors, le md5 est un algorithme de cryptage, plus précisément de hachage.
Cela signifie que pour n'importe quel texte, il donne une signature. Normalement, il vérifie plusieurs propriétés, dont :
- on ne peut pas retrovuer la source à partir de la signature
- il est difficile de générer 2 fois la même clé
- ...
voir http://fr.wikipedia.org/wiki/Md5.
Problèmes actuels
Comme je le disais, un de mes profs a dit que certaines personnes arrivaient à générer des conflits automatiquement (soit une violation de la propriété 2 énoncée plus haut). Il s'agit en fait d'une équipe chinoise (je sais, il y a 2 ans, mais bon ...) .
Plus d'informations : en anglais
Alors, pour simplifier, ils ont réussis à générer automatiquement des doublons sur des textes vérifiants certaines propriétés.
Quelles sont les conséquences ?
Au première vue, je n'en voyait pas des masses : la propriété 1 n'est pas remise en cause, donc la plupart des bases de données sur le web (site avec gestion de membres, par exemple, qui utilisent énormément md5) ne sont pas du tout affectées.
Les problèmes sont sur les signatures de logiciels :
il est possible (mais bon, vue les propriétés nécessaires pour le moment ...) de faire un fake d'un logiciel avec la signature de l'original, et donc de tromper sur la marchandise.
Une question, tout de même, est de savoir si cette brèche ne va pas engendrer une grosse faille, un trou béant dans la sécurité proposée par md5 (découvertes futures en exploitant ces résultats). J'aime bien la comparaison faites par un des autres master2 de mon année :
C'est comme un petit trou sur un pare-brise d'une voiture, qui peut engendrer l'explosion de celui-ci par un tout petit choc !
Bref, dès que j'ai des nouvelles, je vous tiens au courant.
Alors, dans mon cours de Sécurité des Systèmes d'Informations, j'ai eu la surprise d'entendre les mots "analyse du md5", "problèmes que cela engendre", ... Bien entendu, certains ne connaissent pas le md5 !
Présentation du md5
Alors, le md5 est un algorithme de cryptage, plus précisément de hachage.
Cela signifie que pour n'importe quel texte, il donne une signature. Normalement, il vérifie plusieurs propriétés, dont :
- on ne peut pas retrovuer la source à partir de la signature
- il est difficile de générer 2 fois la même clé
- ...
voir http://fr.wikipedia.org/wiki/Md5.
Problèmes actuels
Comme je le disais, un de mes profs a dit que certaines personnes arrivaient à générer des conflits automatiquement (soit une violation de la propriété 2 énoncée plus haut). Il s'agit en fait d'une équipe chinoise (je sais, il y a 2 ans, mais bon ...) .
Plus d'informations : en anglais
Alors, pour simplifier, ils ont réussis à générer automatiquement des doublons sur des textes vérifiants certaines propriétés.
Quelles sont les conséquences ?
Au première vue, je n'en voyait pas des masses : la propriété 1 n'est pas remise en cause, donc la plupart des bases de données sur le web (site avec gestion de membres, par exemple, qui utilisent énormément md5) ne sont pas du tout affectées.
Les problèmes sont sur les signatures de logiciels :
il est possible (mais bon, vue les propriétés nécessaires pour le moment ...) de faire un fake d'un logiciel avec la signature de l'original, et donc de tromper sur la marchandise.
Une question, tout de même, est de savoir si cette brèche ne va pas engendrer une grosse faille, un trou béant dans la sécurité proposée par md5 (découvertes futures en exploitant ces résultats). J'aime bien la comparaison faites par un des autres master2 de mon année :
C'est comme un petit trou sur un pare-brise d'une voiture, qui peut engendrer l'explosion de celui-ci par un tout petit choc !
Bref, dès que j'ai des nouvelles, je vous tiens au courant.