Discussion :

[hansaplast]

voila, suite a un topic que j'ai lut dans la section java : "cryptage de mot de passe en local"
je me demandait :

ne serait t il pas possible, a partir d'un mot de passe, de générer une table de hachage, non pas hexadecimale, et d'un tel nombre de bit. Mais plutot, au format date?

je m'explique : la plupart des algos de rand que j'ai vu, se base sur l'heure courante (en millisecondes) pour générer une serie de nombres la plus aléatoire possible entre deux tentatives.

dinc, si on arrive a générer une date, en milliseconde, unique par mot de pass, et qu'a chaque rand, on fasse un saut toujours identique, il serait alors possible de générer autant de fois que voulut la meme clef de cryptage, et, alors, on n'aurait plus besoin de stocker les clefs en local (le pb du topic cité plus haut)

voila, c'est plus que ca me titillait l'esprit qu'autre chose...

[jobherzt]

je ne comprend pas trop ce que tu veux dire... si tu garde en memoire la date de creation du mot de passe pour t'en servir pour generer une cle, alors il suffit de connaitre cette date (stockée en claire) pour deviner la clée... pas tres secure !!

accessoirement, la generation de nombre (pseudo)-aleatoire en se basant sur le nombre de milliseconde en cours n'est absolument pas cryptographiquement sûr.. la generation de nombre aleatoire est un probleme complexe, et c'est souvent une faille privilégiée dans l'implementation d'un algo de cryptage (car négligé.. )

[hansaplast]

en fait, je ne suggere pas de garder la date de création du password, mais d'utiliser le password lui meme pour générer un format date :

a 'linstar du MD5, l'empreinte numérique du hash ne serait pas une séquence hexadécimale, mais un format date (i.e. : 16/06/1432:14h36mn1250ms)

ensuite, soit, ton pas est généré a partir du mot de passe (i.e. : pas de 14ms) soit constant.


a partir de là, il serait peut etre possible de générer un serie pseudo aléatoire de nombres, et surtout, fixe, pour un mot de passe donné, non?

[jobherzt]

la question est : pourquoi s'embeter a passer par un format date ? pourquoi ne pas utiliser directement un hash "normal" qui est beaucoup plus "chargé d'aleatoire" ?

l'autre question est : pourquoi regenere la cle a chaque fois, alors qu'on peut la crypter en utilisant le mot de passe ?

ou alors, je ne vois pas ou tu veux en venir...

[hansaplast]

la question est : pourquoi s'embeter a passer par un format date ? pourquoi ne pas utiliser directement un hash "normal" qui est beaucoup plus "chargé d'aleatoire" ?

bein...
oups, autant pour moi :'(

l'autre question est : pourquoi regenere la cle a chaque fois, alors qu'on peut la crypter en utilisant le mot de passe ?

ou alors, je ne vois pas ou tu veux en venir...

en fait, c'est en reference au topic suivant :
http://www.developpez.net/forums/sho...d.php?t=187443

la personne en question cherchait une solution de stockage de clef sûre, en local. Son point de depart etant : le stockage dans un fichier n'est pas securisée.

mon idée est donc de ne rien stocker, et de trouver une methode permettant de regenerer une clef identique, a partir d'une entrée (le mot de passe). Et que, si l'entrée (le mot de passe) est differente, la clef, soit elle aussi differente.

avant de lui suggérer, j'ai voulut m'assurer de la non-debilitée de mon idée, etant donné que, je ne suis pas géo trouvetout... elle aurait du lui etre suggérée si elle etait faisable.

[Drizzt [Drone38]]

Et puis meme si tu ne stockes pas la clef, tu dois stocker le mdp.
Et comme tu as une bijection entre ton mdp et tes clefs, tu n'ajoutes aucune sécurité.

Moralité tu te retrouves au point de départ

[jobherzt]

oui, j'ai lu son post, c'etait pas tres clair.. en gros, il veut que son programme soit capable tout seul comme un grand, de decrypter un mot de passe stocké en local... mais quelque soit les solutions proposée, open source ou pas, je pense que c'est impossible a faire sans ouvrir une enorme breche.

la question est : pourquoi veut il recuperer ce mot de passe ? vu que l'utilisateur va le taper, ne serait ca pas plus simple de verifier qu'il est bon, puis de le recuperer a partir de ca qu'a tapé l'utilisateur ?