Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Chiffrement : nul n'est parfait

Chiffrement : nul n'est parfait
2011-10-042013-10-21sécurité applicativefr
L'algorithme de chiffrement AES (Advanced Encryption Standard) est la référence utilisée dans un grand nombre de domaines applicatifs. Mais il est aujourd'hui mis à mal car on aurait trouvé une voie prometteuse pour briser sa sécurité... doit-on pour autant le considérer comme n'étant...
Publié le 4 Octobre 2011 par Cedric Baillet dans sécurité applicative
locker

L’algorithme de chiffrement AES (Advanced Encryption Standard) est la référence utilisée dans un grand nombre de domaines applicatifs depuis une dizaine d’année. Sa présence est notamment très forte dans le monde des communications unifiées, où il est utilisé avec le protocole RTP pour sécuriser les flux media. C’est donc lui qui permet notamment d’assurer la confidentialité des conversations téléphoniques chez la plupart des grands éditeurs.

Son développement a été initié à la fin des années 1990 pour remplacer le DES/3DES qui était considéré comme trop fragile. En effet, non seulement de nombreuses solutions mathématiques avaient été trouvées pour « casser » ces algorithmes, mais en plus, des mises en œuvre pratiques avaient été réalisées avec des résultats plus que probants : la possibilité de déchiffrer les contenus avec du matériel standard et des temps raisonnables.

l’AES est aujourd’hui mis à mal

AES est donc devenu le nouveau standard defacto avec, jusqu’à ce jour, une résistance plus qu’honorable à tous les travaux de recherche. Néanmoins, une équipe de chercheurs (Andrey Bogdanov, Dmitry Khovratovich, Christian Rechberger) semble avoir trouvé une voie prometteuse pour briser sa sécurité. Ces derniers ont réussi à trouver une méthode permettant de réduire par quatre la complexité pour trouver la clé de chiffrement utilisée !

ma conclusion : ne pas tomber dans l’extrême

Doit-on désormais considérer ce dernier comme n’étant plus fiable ? Cela serait sans doute basculer dans l’extrémisme. En effet, bien que la difficulté ait été réduite d’un coefficient quatre, les estimations actuelles montrent qu’il faudrait environ deux milliards d’années pour un milliard de machines, éliminant un milliard de possibilités par seconde, pour identifier la bonne clé. En d’autres mots, le niveau de sécurité d’un AES 128 est plutôt proche d’un AES 126.

Aussi, déclencher un niveau d’alerte élevé ne semble pas d’actualité. Par contre, mettre en œuvre une veille pour suivre les travaux autour de l’AES semble désormais une nécessité. Une fois de plus, il a été démontré que tout algorithme peut être fragilisé, voire brisé. Il n’y a pas d’exception à cette règle, seules des durées plus ou moins longues pour arriver à ce résultat.

Si vous souhaitez avoir le détail complet du travail réalisé sur AES, la publication réalisée sur le sujet peut se trouver ici.

Cédric

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage