INRIA: le standard industriel SHA-1 définitivement retiré ?

 


Des chercheurs alertent : le standard industriel SHA-1 devrait être retiré plus tôt que prévu. Mais...

 


Une équipe internationale de cryptanalystes presse aujourd'hui l'industrie de retirer le standard de sécurité Internet SHA-1 plus tôt que prévu, car il pourrait être cassé à un coût significativement plus bas que précédemment estimé. Coté fournisseurs de services Facebook, Alibaba, Twitter... soutiennent l’idée de maintenir le support du SHA-1 jusqu’en mars 2019. Un délai trop long pour d'autres tels que Microsoft.  Retour sur l'origine de l'affaire. 

Le 22 septembre, un travail commun de Stevens, Karpman et Peyrin a produit une collision à valeur d’initialisation libre sur le standard industriel SHA-1. SHA-1 est un algorithme cryptographique conçu par la NSA en 1995 pour calculer des empreintes sûres de messages. Ces empreintes sont utilisées dans le calcul des signatures électroniques, qui sont fondamentales pour la sécurité d'Internet, par exemple la sécurité d'HTTPS (SSL), la banque dématérialisée, la signature de documents et de logiciels. SHA-1 est utilisé dans de nombreuses applications via les navigateurs. C'est le cas pour pour les signatures électroniques, qui sécurisent les transactions à base de carte bancaire, la banque dématérialisée, et la distribution de logiciel.

Aujourd'hui, il n'est prévu de déclarer, au niveau des navigateurs Internet, les signatures à base de SHA-1 comme "risquées". Son successeur, SHA-2, ne serait "prêt" qu'en janvier 2017.

Marc Stevens (CWI, Pays-Bas), Pierre Karpman (INRIA, France et NTU, Singapour) et Thomas Peyrin (NTU,Singapour), des chercheurs à l'origine de la découverte d'une vulnérabilité sur ce protocole estiment que des attaques sont désormais possibles et de moins en mons chères : " les attaques au niveau de l'état de l'art, décrites en 2013, sur SHA-1 devraient coûter 100 000 dollars en louant des cartes graphiques dans le cloud. Les collisions – plusieurs messages qui présentent la même empreinte – peuvent conduire à la création de signatures numériques frauduleuses. Une collision à initialisation libre casse le niveau interne de SHA-1. Nous avons démontré comment des cartes graphiques peuvent être utilisées de manière très efficace pour de telles attaques. Maintenant nous pouvons utiliser ce résultat pour rendre l'attaque par collision sur SHA-1, issue de l'état de l'art, significativement moins coûteuse”, explique Pierre Karpman.

L'équipe déclare : “en 2012, l'expert en sécurité Bruce Schneier a estimé que le coût de production d'une collision SHA-1 sera autour de 700 000 dollars en 2015”. Ce montant décroitrait pour être en 2018 de l'ordre de 173 000 dollars, qu'il a estimé être dans les capacités financières de criminels.

Toutefois, nous avons utilisé des cartes graphiques très rapides, et nous estimons maintenant que le coût d'une collision complète sur SHA-1 sera, au début de l'automne 2015, entre 75000 et 120000 dollars en louant le cloud EC2 d'Amazon pendant quelques mois seulement.
Cela implique que de telles collisions sont déjà accessibles aux ressources d'organisations criminelles, presque deux ans plus tôt que prévu, et un an avant que SHA-1 soit traitée comme peu sûre dans les navigateurs Internet modernes.
En conséquence nous recommandons que les signatures à base de SHA-1 soit déclarées
dangereuses, bien plus tôt que prévu par les recommandations internationales courantes.

 

Navire qui sombre
“Bien que ce ne soit pas encore une attaque complète, l'attaque actuelle n'est pas une défaillance usuelle ans un algorithme de sécurité, le rendant plus vulnérable seulement dans un futur lointain”, ajoute le professeur Ronald Cramer, responsable du groupe de cryptologie du CWI.


“Comparons SHA-1 à un bateau qui a heurté un iceberg et qui se remplit d'eau rapidement. Nous savons maintenant la taille de la voie d'eau, la vitesse à laquelle l'eau rentre, et quand le vaisseau coulera : bientôt. Il est temps de changer de bateau, et de changer pour SHA-2”.
Le Professeur Assistant Thomas Peyrin, responsable du Symmetric and Lightweight cryptography Lab (SYLLAB) à NTU, explique:“SHA-1 était déjà cassée théoriquement, mais maintenant une implantation très efficace, à coût raisonnable, de cette attaque est en vue.

 

SHA-2 et SHA-3, les successeurs de SHA-1, ne sont pas affectées par ces dernières avancées en cryptanalyse et restent sûres”. Daniel Augot, responsable de l'équipe-projet Grace, et directeur de thèse de Pierre Karpman chez INRIA déclare : “L'impact des collisions actuelles sur SHA-1 ne sera pas aussi drastique que dans le cas de l'attaque sur HTTPS de 2008 ou de l'apparition du logiciel malveillant Flame en 2012. Toutefois, les collisions à valeur d’initialisation libre annoncent la fin de la confiance dans les signatures électroniques basées sur SHA-1.”


Le professeur Huaxiong Wang, directeur de la division des sciences mathématiques de NTU, dit “Nous recommandons que les autorités de certification (CA), les distributeurs de navigateur, et l'industrie en général accélèrent la migration vers SHA-2. Malheureusement, même la fragilisation d'une seule autorité de certification menace la sécurité de tous les sites HTTPS dans le monde entier, comme montré clairement par l'attaque sur HTTPS en 2008. Néanmoins, nous conseillons aussi aux sites web de migrer bientôt vers SHA-2, pour éviter des messages d'avertissement quand les navigateurs Internet retirerons leur confiance en SHA-1”. Marc Stevens ajoute : “nous espérons juste que l'industrie a su apprendre des évènements dus à MD5, le prédécesseur de SHA1, et, dans ce cas, qu'elle retirera SHA-1 avant que des exemples de fausses signatures
apparaissent dans un futur très proche”.

Début Juillet 2016, l'INRIA a publié un panaorama du monde numérique 2015 avec une "option" cybersécurité:  

https://panorama.inria.fr/rubrique/de-securite/

 

INRIA-1

 

Enjeux pour la cybersécurité: 

Qu’est-ce que SHA-1 ?

 

SHA-1 est une fonction de hachage cryptographique standardisée par le NIST en 1995. Elle prend en entrée un document numérique de taille quelconque et produit une empreinte de 160 bits. Elle est entre autres beaucoup utilisée dans les certificats qui permettent d'authentifier les sites web. Ce standard industriel est utilisé par exemple pour les signatures électroniques qui sécurisent les transactions à base de carte bancaire, la banque dématérialisée et la distribution de logiciel.

Qu'est-ce qu'une fonction de hachage ?

Une fonction de hachage est un algorithme cryptographique qui transforme tout document électronique en une empreinte courte de taille fixe. Ces fonctions de hachage, véritables couteaux suisses de la cryptographie, ont de nombreux usages dont un des plus importants est la signature électronique. La signature électronique d'un document se construit en deux temps, avec deux algorithmes différents : application de la fonction hachage sur le document à signer pour obtenir une empreinte courte, et ensuite de l'algorithme de signature proprement dit qui s'applique à cette empreinte. La signature électronique est utilisée notamment pour certifier l'authenticité des sites web auxquels nous voulons nous connecter de manière sécurisée. Ce sont les certificats électroniques délivrés par des autorités de certification.

En quoi une collision est-elle une menace ?

Une collision sur une fonction de hachage donnée se constitue de deux documents qui produisent la même empreinte. Un de ces deux documents peut avoir été signé légitimement par son propriétaire. L'attaquant, qui dispose du deuxième document donnant la même empreinte, peut le substituer au premier document, et comme la signature ne porte en réalité que sur l'empreinte, la signature  sera aussi valide sur le deuxième document : on a ainsi produit un faux. Un algorithme de signature proprement dit, même sûr, combiné à une fonction de hachage  ainsi affaiblie mène à des signatures électroniques non fiables.

Quel est le résultat de Stevens, Karpman, Peyrin ?

Une fonction de hachage comme SHA-1 fonctionne en utilisant en interne une fonction de compression, qui prend des messages de taille fixe, et produit des messages plus courts. C'est en itérant cette fonction de compression sur des blocs de messages de taille fixe qu'on obtient un algorithme global qui opère sur des messages de longueur quelconque. Stevens, Karpman, Peyrin ont trouvé  une collision sur la fonction de compression, et non sur la fonction de hachage SHA-1

(Extrait : http://www.inria.fr/centre/saclay/actualites/une-menace-sur-la-signature-electronique-des-sites-web )

 

BONUS:

http://www.inria.fr/centre/nancy/innovation/laboratoire-securite-informatique?mediego_ruuid=7abd7151-4e98-11e6-940d-8de9dd0092f3

https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/

 

 

A propos du CWI
Fondé en 1946, le Centrum Wiskunde & Informatica (CWI) est l’institut national des
mathématiques et des sciences du numérique aux Pays-Bas. Situé dans le « Amsterdam Science Park », il fait partie de l’organisation néerlandaise pour la recherche scientifique (NWO). L’institut est internationalement reconnu et renommé. Environ 150 chercheurs conduisent des recherches pionnières et partagent leurs connaissances avec la société. Environ 30 chercheurs sont également professeurs au sein des universités. L’institut a contribué à la création de 32 sociétés « spin-off ».

 

A propos d’Inria
Inria, institut national de recherche dédié au numérique, promeut « l'excellence scientifique au service du transfert technologique et de la société ». Inria emploie 2700 collaborateurs issus des meilleures universités mondiales, qui relèvent les défis des sciences informatiques et mathématiques. Son modèle ouvert et agile lui permet d’explorer des voies originales avec ses partenaires industriels et académiques. Inria répond ainsi efficacement aux enjeux pluridisciplinaires et applicatifs de la transition numérique. Inria est à l'origine de nombreuses innovations créatrices de valeur et d'emplois.

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires