Discussion :

[chess132]

Trés urgent

je voulu crypter le mot de passe avant qu il va vers le serveur, c est pourquoi je doit utiliser un cryptage assymetrique (clé privé/public) je veux crypter le mot de passe avec javaScript on utilisant clé public et le décrypter dans le serveur (PHP) en utilisant un clé privé...qlq un il a des script deja pré pour site usage

Merci en avance

[SpaceFrog]

par exemple ...

[SpaceFrog]

m'enfin tout chiffrage en javascript ressemble plutot à un jeu ...

[Mr N.]

un jeu ? Pourquoi donc ?

Un autre exemple --plus pertinent

[SpaceFrog]

parce que en général très facilement dechiffrable ...
sauf si le resultat est le nom du fichier de destination ...

[SpaceFrog]

oulà MD5 ou comment installer une usine à gaz ....

[SpaceFrog]

il faut en fait chiffrer en javascript avec une clé sur la date insérée dans le message chiffrer et dechiffrer coté serveur.

[Mr N.]

oulà MD5 ou comment installer une usine à gaz ....

Usine à gaz, usine à gaz, ... L'algo de cryptage n'est pas forcément simple, et quand c'est une question de sécurité.... Bon certes il vaut mieux passer par du https mais bon, je trouve que c'est une bonne alternative...
Quand à md5, je préviligierais sha1...

[SpaceFrog]

perso je privilégie de chiffrages maison avec cléf sur la date ...
la cléf est ensuite noyée dans le message chiffré puis récupérée cotée serveur afin de déchiffre le message ...
avantage ... jamais le meme message ...
le problème du MD c'est qu'il y a de freeware de dechiffrage ...

[Mr N.]

perso je privilégie de chiffrages maison avec cléf sur la date ...
la cléf est ensuite noyée dans le message chiffré puis récupérée cotée serveur afin de déchiffre le message ...
avantage ... jamais le meme message ...

Si je sniffe tes messages, j'obtient apparement toutes les infos nécessaires pour décrypter ton message (la date + l'algo) après il manque des infos mais je te les demanderais pas, j'ai pas envie de te pourrir ton système de sécurité.
Mais il faut pas réver, si feu md5, sha1, et cie sont si "uzine à gaz" comme tu dis c'est pas pour rien et c'est apperemment par ce que se baser sur la date n'est pas suffisant...

le problème du MD c'est qu'il y a de freeware de dechiffrage ...

C'est pourquoi je prefere sha1, jusqu'à nouvel ordre

[Celelibi]

Bonjour chess132,

Pour commencer il est de très mauvais goût de commencer un message par "Trés urgent" (en plus avec une faute d'orthographe). Bref.
Première question : pouquoi vouloir chiffrer le mot de passe chez le client ?
Si tu me dis que c'est par paranoïa pour pas que quelqu'un qui intercepte le mdp puisse s'identifier, et bien sache que quelque soit le cryptage utilisé ça ne sert à rien.


SpaceFrog et Mr N. je crois que vous n'avez pas bien compris le principe de la cryptographie asymétrique.
Le principe est qu'on a une clé publique avec laquelle on ne peut que chiffrer des message, et pas déchiffrer ; et le destinataire a une clé privé avec laquelle il peut déchiffrer les messages. La clé publique est généré à partir de la clé privé, mais à partir de la clé publique on peut peut pas retrouver la clé privé (ou du moins c'est très difficile).
Un exemple de chiffrage asymétrique est le RSA.

m'enfin tout chiffrage en javascript ressemble plutot à un jeu ...

Ceci est partiellement faux, si l'algo est bon le fait qu'il soit en javascript ou autre ne change rien. Je crois que tu pensais plutôt à une protection javascript où le mdp chiffré est comparé au bon mdp chiffré en javascript.

perso je privilégie de chiffrages maison avec cléf sur la date ...
la cléf est ensuite noyée dans le message chiffré puis récupérée cotée serveur afin de déchiffre le message ...
avantage ... jamais le meme message ...
le problème du MD c'est qu'il y a de freeware de dechiffrage ...

Créer son algo de chiffrage perso est certainement une des plus mauvaise chose à faire en cryprographie, car à moins que tu ai fait des études de mathématiques poussés et que tu sois totalement au courrant des attaques possibles sur un cryptogramme, tout cryptosystème que tu peux créé sera d'une faiblesse que tu n'imagine même pas.
Le md5 ne se déchiffre pas, et il est d'alleur indéchiffrable et ce pour la simple et bonne raison que dans le hash md5 on a non pas le texte chiffré, mais des données qui ont étés chiffrés avec comme "clé partielle" le texte d'entré. J'ai passé quelques semaines sur le md5 pour finir par me rendre compte qu'il n'était pas déchiffrable.
Le fait qu'il existe des soft de brut-forçage de md5 gratuit n'entame en rien la sécurité qu'offre cet algo. En effet, si c'est la seul chose qui te pousse à créer ton propre algo, je me ferais un malin plaisir de créer un soft de déchiffrage.
La secrécité d'un algorithme ne fait que donner une illusion de sécurité.

Question : Pourquoi le RSA est-il tellement utilisé à travers le monde alors qu'on connait ses baiblesses et comment l'attaquer ?
Et bien justement parcequ'on sait comment l'attaquer et on sait aussi que pour factoriser une clé publique (pour retrouver la clé privée) il faut parfois plusieurs années même avec un cluster de 500 supercalculateurs.

C'est pourquoi je prefere sha1, jusqu'à nouvel ordre

Nan mais faut arrêter de rêver, il existe des soft pour brut-forcer à peu près tout et n'importe quoi.
À partir du moment où un nouvel algo avec la mention "super-sécurisé" voir le jour il ne faut pas plus de quelques jours pour voir apparaitre les premiers prog de brut-force.

note : le brut-force est une technique qui consiste à tester toutes les combinaisons de caractères possibles, de les chiffrer et de les comparer au hash que l'on veut déchiffrer.
Ceci car on suppose les fonctions de hashage injective.
C'est à dire que par exemple on suppose que si md5($texta) == md5($textb) alors $texta == $textb.
Même si ce n'est pas vrai dans l'absolu, on considère que les risques de collision sont très minces.



Bref, tout ça pour dire que créer son propre algo ça ne sert à rien, et chiffrer des mdp en javascript ne sert à rien non plus. Si on veut un minimum de sécurité il faut s'orienter vers https.


Voici un petit exemple d'une fonction de hashage pour ceux qui ne croieraient pas en l'irréversibilité :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
function shuf(a, msg, idx) {
	ret = a^msg;
	for (i=0; i < (msg+idx*7) % 0x20; i++) {
		ret = ret << 1 | ret >>> 0x1f;
	}
	return ret;
}
 
function hash(texte) {
	var msg = new Array(0x0f);
	for (i=0; i<0x0f; i++) {
		msg[i] = (17*i) % 0xff;
	}
	for (i=0; i<texte.length; i++) {
		msg[i % 0x0f] += (texte.charCodeAt(i)*7) % 0xff;
	}
 
	var a = 0x98abcdef;
	for (i=0; i<0x0f; i++) {
		a = shuf(a, msg[i], i);
	}
 
	return a.toString(16);
}

C'est un peu codé à l'arrache, pas testé et grandement inspiré de md5, mais je ne penses pas à première vue qu'il soit facile de retrouver le texte de départ lorsqu'on dispose du hash d'arrivé.
Cet exemple de fonction de hashage à simplement pour but de montrer qu'en connaissant l'algorithme de chiffrage il n'est pas forcément facile (ni même possible) de remonter au texte de départ et qu'il n'est pas toujours possible de remonter "à l'envers" la fonction qui a généré le hash en question.

[chess132]

j ai trouvé dans ce site http://shop-js.sourceforge.net/crypto2.htm un cryptge RSA mais ils font cryptage et le décryptage avec javascript...pour le moment je vais utiliser le dechiffrement de mot de passe en utilisant SHA1 http://pajhome.org.uk/crypt/md5/ en attendant qu j utilise SSL...merci de votre aide