Discussion :

[ramijrad]

Bonjour,
J'ai des problemes à comprendre le principe des différents algorithmes de cryptage(DES, triple DES, RSA...) ainsi que le domaines d'application.
Je demande si quelqu'un peut me donner des liens concernant ça ainsi que des exercices corrigées pour les différents algorithmes.
merci

[ram-0000]

Introduction à la cryptographie

[jacqueline]

Pour crypter des mots de passe on fait un hash ( exemple MD5 )

Par rapport à la crypto un hash n'est pas réversible.

Pour la crypto on ne parle pas de hash , mais de cypher

On rehash les mdp entrés et on se contente de vérifier l'égalité avec le hash enregistré.

Hélas bien que les experts en sécurité alertent on trouve des algotythmes de has jugés aujourd'hui comme obsolètes.

Oui car les bécanes ont considérablement augmenté leurs performances et les techniques pour casser les hash et retrouver le mdp ont beaucoup évolué.

Entre autres la technique des tables rainbow

Le MD5 est aujourd'hui obsolète et c'est celui qui est généralement configuré par défaut..

http://fr.wikipedia.org/wiki/MD5

Chaque algorythme de hash donne exactement le même résultat pour le même mot de passe. C'est ce qu 'on fait lorsqu'on vérifie l'intégrité des fichiers avec un MD5.

Aussi il faut le compliquer et le personaliser avec un grain de sel ou SALT. Sinon une grande table suffirait à trouver le mot de passe..

J'ai déjà vu des imbéciles qui se font des tables MD5 à temps perdu.... ils n'ont pas du tout comprendre..

Pour le PHP il y a de bonnes explications sur l'utilisation des grains de sel avec les hash.

Un des plus robustes algorythme de hash, c'est Blowfish.

Mais en fait blowfish est un algo de crypto, donc un cypher qui peut servir aussi de hash.

Aussi lorsqu 'on liste les algos de hash dans lePHP on ne trouve pas blowfish, il faut le chercher dans les cyphers. il est aussi utilisé pour crypter/décrypter les données dans les bases de données.

Je crypte mes données, pour les relire je les décrypte. on utilise une clé..

Il a son propre salt une clé à rallonge aléatoire, cachée, unique, qui est créée au moment de l'install.

Mais un bon système de cryptage de mots de passe ne se contente pas de faire un seul tour de hash et de combiner le mdp avec un salt..

C'est un vrai tambour de machine à laver, avec le programme très sale..

Et donc ça existe tout fait avec blowfish , pour Windows aussi

Là avec leurs tables Rainbow ils peuvent toujours s'accrocher..

Bien entendu il faut utiliser des mots de passe qui ne sont pas dans le dictionnaire, parce quel que soit le systeme de cryptage utilisé ce sera vite trouvé, si le mdp est Toto.. John the ripper utilise le dictionnaire et va même beaucoup plus loin, par contre c'est très très long, et mission impossible avec 12 caractères. ,

Cela s'appelle bcrypt http://bcrypt.sourceforge.net/

L'intéret d'utiliser blowfish par rapport à un autre très robuste aussi c'est son malaxeur bcrypt, bien étudié et prêt à l'emploi. On ne fera pas aussi bien en se faisant son propre malaxeur.. Si ce n'est pour apprendre..

Blowfish vient avec bcrypt.

D'autre part est intégré un élément temps, qui ne sera pas génant pour nous qui connaissons le mdp, mais par contre ça va énormément ralentir les tentatives de crack.

Un bon algo de cryptage c'est un algo qui n'a pas encore été cracké.

Le temps est un élement important. Le malaxeur aussi

"malaxeur " est le nom que j'ai trouvé pour imager Bcrypt.

Bons cryptages