Quest-ce quun hachage cryptographique ?

Les bases des algorithmes de chiffrement sont assez faciles à comprendre. Une entrée ou un texte en clair est pris avec une clé et traité par l'algorithme. La sortie est cryptée et connue sous le nom de texte chiffré. Une partie essentielle d'un algorithme de chiffrement est cependant que vous pouvez inverser le processus. Si vous avez un texte chiffré et la clé de déchiffrement, vous pouvez réexécuter l'algorithme et récupérer le texte en clair. Certains types d'algorithmes de chiffrement nécessitent l'utilisation de la même clé pour chiffrer et déchiffrer les données. D'autres nécessitent une paire de clés, une pour chiffrer et une autre pour déchiffrer.

Le concept d'algorithme de hachage est lié mais présente quelques différences critiques. La différence la plus importante est le fait qu'un algorithme de hachage est une fonction à sens unique. Vous mettez du texte en clair dans une fonction de hachage et obtenez un résumé de hachage, mais il n'y a aucun moyen de transformer ce résumé de hachage en texte en clair d'origine.

Remarque : La sortie d'une fonction de hachage est connue sous le nom de résumé de hachage, et non de texte chiffré. Le terme condensé de hachage est également couramment abrégé en « hachage », bien que son utilisation puisse parfois manquer de clarté. Par exemple, dans un processus d'authentification, vous générez un hachage et le comparez au hachage stocké dans la base de données.

Une autre caractéristique clé d'une fonction de hachage est que le résumé de hachage est toujours le même si vous fournissez la même entrée de texte en clair. De plus, si vous apportez ne serait-ce qu'une petite modification au texte en clair, la sortie du résumé de hachage est complètement différente. La combinaison de ces deux caractéristiques rend les algorithmes de hachage utiles en cryptographie. Une utilisation courante est avec les mots de passe.

Algorithmes de hachage de mot de passe

Lorsque vous vous connectez à un site Web, vous lui fournissez votre nom d'utilisateur et votre mot de passe. Au niveau de la surface, le site Web vérifie ensuite que les détails que vous avez entrés correspondent aux détails qu'il a dans le dossier. Le processus n'est cependant pas si simple.

Les violations de données sont relativement courantes, il est fort probable que vous en ayez déjà été affecté. Les données des clients sont l'une des principales cibles d'une violation de données. Les listes de noms d'utilisateur et de mots de passe peuvent être échangées et vendues. Pour rendre l'ensemble du processus plus difficile pour les pirates, les sites Web exécutent généralement chaque mot de passe via un algorithme de hachage et ne stockent que le hachage du mot de passe plutôt que le mot de passe lui-même.

Cela fonctionne car lorsqu'un utilisateur tente de s'authentifier, le site Web peut également hacher le mot de passe soumis et le comparer au hachage stocké. S'ils correspondent, alors il sait que le même mot de passe a été soumis même s'il ne sait pas quel était le mot de passe réel. De plus, si la base de données contenant les hachages de mots de passe stockés est violée par des pirates, ils ne peuvent pas voir immédiatement quels sont les mots de passe réels.

Hachages forts

Si un pirate a accès à des hachages de mots de passe, il ne peut pas en faire grand-chose immédiatement. Il n'y a pas de fonction inverse pour déchiffrer les hachages et voir les mots de passe d'origine. Au lieu de cela, ils doivent essayer de casser le hachage. Cela implique essentiellement un processus de force brute consistant à faire de nombreuses suppositions de mot de passe et à voir si l'un des hachages correspond à ceux stockés dans la base de données.

Il y a deux problèmes en ce qui concerne la force d'un hachage. La force de la fonction de hachage elle-même et la force du mot de passe qui a été haché. En supposant qu'un mot de passe fort et un algorithme de hachage sont utilisés, un pirate devrait avoir besoin d'essayer suffisamment de mots de passe pour calculer 50% de l'espace de sortie de hachage entier pour avoir 50/50 de chances de déchiffrer n'importe quel hachage.

La quantité de traitement peut être considérablement réduite si l'algorithme de hachage présente des faiblesses qui fuient des données ou ont une chance accrue d'avoir accidentellement le même hachage, connu sous le nom de collision.

Les attaques par force brute peuvent être lentes car il existe un grand nombre de mots de passe possibles à essayer. Malheureusement, les gens ont tendance à être assez prévisibles lorsqu'ils proposent des mots de passe. Cela signifie que des suppositions éclairées peuvent être faites, en utilisant des listes de mots de passe couramment utilisés. Si vous choisissez un mot de passe faible, il peut être deviné bien plus tôt que ne le suggèrent les 50 % du parcours dans l'espace de sortie de hachage.

C'est pourquoi il est important d'utiliser des mots de passe forts. Si le hachage de votre mot de passe est impliqué dans une violation de données, peu importe si le site Web a utilisé le meilleur algorithme de hachage possible et le plus sécurisé disponible, si votre mot de passe est "password1", il sera toujours deviné presque instantanément.

Conclusion

Un algorithme de hachage est une fonction à sens unique. Il produit toujours la même sortie s'il est fourni avec la même entrée. Même des différences mineures dans l'entrée modifient considérablement la sortie, ce qui signifie que vous ne pouvez pas dire si vous étiez proche de la bonne entrée. Les fonctions de hachage ne peuvent pas être inversées. Il n'y a aucun moyen de savoir quelle entrée a été utilisée pour générer une sortie donnée sans simplement deviner. Une fonction de hachage cryptographique est cryptographiquement sécurisée et adaptée aux utilisations nécessitant ce type de sécurité. Un cas d'utilisation courant consiste à hacher les mots de passe. D'autres cas d'utilisation incluent le hachage de fichiers comme vérification d'intégrité.