Quest-ce quun nonce cryptographique ?

Dans le domaine de la cryptographie, il est important que les choses censées être secrètes le restent. L'un des problèmes rencontrés est le précalcul. C'est là qu'un attaquant peut dépenser une puissance de traitement considérable pour déterminer quelles sorties une combinaison d'entrées produit de manière préventive. Avec suffisamment de puissance de traitement et de temps, vous pouvez tester la sortie que vous obtenez avec une sélection d'entrées spécifiées et un ensemble de clés de chiffrement différentes.

Vous pouvez ensuite vérifier de vastes étendues de transmissions cryptées pour voir si l'une de vos sorties connues est déjà apparue et connaître le message et la clé utilisés. Malheureusement, il n'existe aucun moyen réel d'empêcher complètement ce scénario. Il est cependant possible de le rendre beaucoup plus difficile.

Il est déjà difficile de deviner le contenu exact d'un message et la clé de chiffrement utilisée pour le chiffrer. Même si des différences d'un seul caractère dans le message rendraient tout l'effort inutile, cela n'est vraiment faisable que pour des messages courts et simples. Sinon, il y a tout simplement trop de variations possibles de formulation et de formulation, et même le risque de fautes de frappe et d'argot. Mais même ce risque de capacité à deviner les choses est trop élevé. Pour rendre les choses encore plus difficiles, la plupart des schémas de cryptographie nécessitent une troisième valeur appelée "vecteur d'initialisation", ou IV en abrégé.

IV

L'IV est une autre valeur introduite dans l'algorithme de chiffrement et de déchiffrement. C'est une troisième variable pour l'équation, qui, par sa présence même, augmente massivement la difficulté de deviner correctement les entrées nécessaires pour générer une sortie spécifique. Curieusement, l'IV n'a même pas besoin d'être secret. Ce qu'il doit être est unique.

Tout le problème pour éviter les attaques de précalcul est de rendre encore plus impossible de deviner le contenu des messages. À cette fin, vous ne pouvez pas simplement choisir un intraveineux et vous y tenir ; vous devez le changer. De plus, l'utilisation d'un IV différent à chaque fois rend plus difficile la cryptanalyse des textes chiffrés résultants. Pour avoir une valeur unique et fiable, vous souhaitez utiliser un "nonce", en particulier un nonce cryptographique.

Un nonce cryptographique est une valeur générée par un PRNG cryptographiquement sécurisé ou un générateur de nombres pseudo-aléatoires destiné à être utilisé précisément une fois. Généralement, cela est réalisé en incorporant une certaine forme d'horodatage dans la valeur.

Conseil : Surtout lorsqu'il s'agit d'un locuteur natif de l'anglais britannique, il est essentiel d'utiliser spécifiquement l'expression « nonce cryptographique » plutôt que simplement le mot « une fois ». Au Royaume-Uni, « une fois » est un mot d'argot pour un pédophile. En général, pour éviter toute confusion, il est préférable d'utiliser spécifiquement le terme nonce cryptographique.

Autres utilisations

Alors que la plupart des cas d'utilisation potentiels pour les valeurs uniques n'ont pas nécessairement besoin d'un nombre aléatoire cryptographiquement sécurisé, un nonce cryptographique répond aux exigences. Par exemple, une attaque par relecture est une attaque basée sur le Web dans laquelle un attaquant envoie à plusieurs reprises le même élément de trafic, en le rejouant souvent. Disons que cette requête indique au serveur de passer du temps à générer un rapport. L'attaquant peut multiplier la quantité de travail nécessaire en répétant la demande plusieurs fois.

Souvent, l'attaquant peut également modifier légèrement la demande de manière automatisée. Par exemple, si une boutique en ligne utilise des numéros de produits séquentiels dans l'URL de la page, l'attaquant peut automatiser le processus de demande de tous.

Pour contourner ce problème, le serveur peut fournir au navigateur un jeton à usage unique à chaque requête qu'il effectue. Le serveur garde une trace des jetons utilisés et abandonne automatiquement le trafic qui n'inclut pas de jeton valide et inutilisé. Dans ce scénario, le jeton doit être unique et ne doit pas être réutilisé. Ainsi, un nonce cryptographique fait l'affaire.

Conclusion

Un nonce cryptographique est un nombre aléatoire cryptographiquement sécurisé qui ne doit être utilisé qu'une seule fois. Cela rend les attaques de précalcul impossibles sans exiger que le nonce cryptographique lui-même reste secret. Son utilisation principale est comme vecteur d'initialisation dans les schémas de chiffrement.

On prétend souvent que le terme signifie "nombre utilisé UNE FOIS" ; cependant, c'est une fausse étymologie. Le mot vient du moyen anglais pour signifier quelque chose utilisé une fois ou temporairement. Néanmoins, le concept de « nombre utilisé une fois » aide à expliquer à quoi un nonce cryptographique est destiné. Pour aider à cet objectif, il inclut souvent une certaine forme d'horodatage.