09 octobre 2018

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#207 chiffrement symétrique et hachage expliqués en BD

#207 chiffrement symétrique et hachage expliqués en BD

[9 octobre 2018] Si aujourd’hui vous lisez ces quelques lignes, c’est que vous consultez une page web accessible depuis une adresse en « https ». « http » (tout court), c’est le protocole web « normal » de transfert de données qui s’appuie lui même sur le protocole tcp/ip. Le « S » de https signifie « sécurisé ». Et « sécurisé », ça veut dire quoi ? ça veut dire qu’il y a du chiffrement dans l’air… Cryptologie ? Chiffrement ? Chiffrement symétrique ? Hachage ? Chiffrement à clé privée et clé publique ? authentification et signature numérique ? Commençons par les concepts de base pour comprendre cette science mathématique appliquée à la technologie numérique. Commençons donc par « chiffrement symétrique et hachage » avant de nous pencher dans un second temps sur le chiffrement asymétrique à clé privée + clé publique, avant de terminer par le droit du chiffrement (« expliqué aux NON juristes ») dans une 3° présentation (en ligne le 6 novembre 2018). Comme toujours, vous avez le choix : la présentation complète et détaillée dans le slider ci-dessous ou son résumé pour les littéraires juste après.
Si je passe tant de temps à comprendre les techniques numériques d’aujourd’hui, c’est que j’ai horreur de ne pas comprendre… Ne pas comprendre, c’est forcément prendre le risque d’écrire des bêtises dans les contrats… Et si l’on veut correctement encadrer une prestation de Blockchain as a Service (en novembre sur ce blog) et y appliquer les bons concepts juridiques, il faut d’abord comprendre les aspects techniques, notamment les procédés de chiffrement.
Pour la partie BD (merci encore à Sébastien Le Foll des éditions Delcourt) qui me sert à illustrer ces trois présentations sur le chiffrement, j’ai choisi l’univers sombre du « Régulateur« . Il a fallu le génie d’Eric Corbeyran (« l’homme au 1000 scénarii« ) associé au grand talent de Marc Moreno (et parfois de son frère Eric pour les couleurs et certains dessins précise le site web BDGest) pour développer cette histoire apocalyptique en 6 tomes vraiment bluffants. Attention, ce n’est pas de la BD pour fillette – le thème illustré non plus, ça tombe bien !


[wonderplugin_gallery id= »223″]


chiffrement symétrique et hachage : chiffrer ? déchiffrer ? décrypter ?

Chiffrer, c’est une opération réversible par laquelle une personne (aidée par un logiciel…) rend incompréhensible le contenu d’un fichier numérique. Quel type de fichier numérique ? TOUT TYPE de fichier, pourvu qu’il soit numérique : messagerie instantanée, voix (protocole 3G, 4G et bientôt 5G), films (pensez à la « chaine cryptée »), photos, musique, emails, pièces jointes transmises par courrier électronique, que sais-je encore…
Seule la personne (aidée du même logiciel) qui dispose de la clé de chiffrement peut alors rendre compréhensible le même fichier en procédant à l’opération inverse, le « déchiffrement ».
Celui qui tente d’accéder au fichier en clair sans disposer de la clé secrète (la « convention secrète » pour les juristes) ne fait pas du déchiffrement, mais du « décryptage ». Si l’art de chiffrer s’appelle la « cryptographie », l’art d’accéder à un contenu chiffré -sans la clé secrète- s’appelle la « cryptanalyse ». Cryptographie et cryptanalyse forment ensemble la « cryptologie ». C’est ce terme global que retient aujourd’hui la législation sur le chiffrement, nous y reviendrons dans « le droit du chiffrement expliqué aux NON juristes ».


chiffrement symétrique et hachage : une fonction réversible vs une fonction NON réversible

Ahhhhhhhhhh, le hachage cryptographique… mon chapitre préféré… Cette fonction mathématique à sens unique permet de convertir un fichier numérique en une « empreinte » unique. Le principe du hachage est une fonction mathématique appliquée par un logiciel : le fichier numérique, quelle que soit sa taille, son format, etc. est « résumé » en une sorte de numéro identifiant unique. Le même fichier haché par le même algorithme (oui, on y revient encore…), avec les mêmes « primitives » cryptographique, donnera TOUJOURS la même empreinte. C’est l’intérêt même du hachage. Comme pour le chiffrement, le hachage s’applique à … à ?


La différence fondamentale entre chiffrement et hachage : une fois haché, il est impossible de « reconstituer » le fichier numérique d’origine. « Impossible » en mathématique, ça veut dire très, très difficilement, avec une probabilité de succès proche de zéro. « Impossible » en hachage cryptographique, ça veut dire impossible sauf pour la N.S.A. et quelques rares autres « agences » de renseignement dotées de très très grosses capacités de stockage et de calcul…


chiffrement symétrique et hachage : 3 fonctions pour la cryptographie

Commençons par le commencement. Chiffrer, c’est bien mais savoir d’abord à quoi ça sert, c’est mieux. C’est d’autant plus important que la législation française repose sur une distinction subtile entre les fonctions auxquelles sont destinées les « moyens » ou les « prestations » de chiffrement. Ceci dit, c’est pas très compliqué.


Rendre un message « secret » pour toute autre personne que son destinataire, c’est la fonction première et la plus connue de la cryptographie : c’est la fonction de confidentialité.
La deuxième fonction, l’authentification, combine le plus souvent chiffrement et hachage : comment s’assurer que le destinataire est bien la personne à laquelle je destine mon fichier numérique ? Le destinataire peut se poser la même question à propos de la personne à laquelle il adresse sa réponse : ai-je adressé mon fichier à la bonne personne ?
La troisième fonction, le contrôle de l’intégrité d’un fichier, est assurée par le hachage : on réalise une empreinte (le « hash ») d’un fichier avant son transfert par un réseau de communication électronique et le destinataire réalise une empreinte du fichier reçu. Si le fichier n’a pas été modifié pendant son transport, le « hash » (l’empreinte) réalisé par le destinataire sera forcément identique à celui réalisé par l’expéditeur. Fallait y penser…


Dans l’usage de ces trois fonctions, une fois encore, la « vérité » est attachée à la confiance que l’on a dans la technique utilisée. Aucune technique de chiffrement ni de hachage n’est fiable à 100 %. Ce que les mathématiques peuvent faire, les mathématiques peuvent le défaire. Si le III° Reich a chiffré ses messages stratégiques avec la machine « Enigma », les français avec les polonais, puis les anglais ont fini par « casser » ce chiffre symétrique réputé inviolable à l’époque. C’est occasion ici de louer le génie (le mot n’est pas trop fort) de Alan Turing, qui a réussi à « casser » le code de chiffrement d’Enigma et surtout à concevoir vers 1943 une machine nommée « Colossus » véritable ancêtre de l’ordinateur au sens ou nous l’entendons en ce début de XXIème siècle.
La confiance dans un procédé de hachage mérite que l’on s’attarde un instant sur les procédés logiciels utilisés. Si l’algorithme de hachage ne remplit pas certaines conditions d’efficacité, le résultat obtenu sera inutilisable…


chiffrement symétrique et hachage : la technique du « hash »


chiffrement symétrique et hachage : un protocole BlockChain met en oeuvre un hachage des « messages » conservés

Les « messages » conservées dans une blockchain ne sont en principe pas les messages « entiers », mais des hash de ces mêmes messages. Sur ce point, quelques explications rapides en attendant une présentation détaillée « blockchain publique vs blockchain privée » (ça arrive).



la cryptographie par chiffrement symétrique

Après le hachage, passons à un sujet « léger » : la technique du chiffrement symétrique. Lorsque vous rentrez chez vous ou que vous en sortez, vous utilisez la même clé (physique ou magnétique) pour fermer ou ouvrir votre porte. La même clé permet les deux usages. En chiffrement, la même clé (symétrique, donc) permet de chiffrer ET de déchiffrer. C’est simple, non ?


quelle faiblesse pour un chiffrement symétrique ?

En fait, pas grand chose à dire sur le chiffrement symétrique, si ce n’est insister sur sa fiabilité et sa rapidité. Le point faible ? Si expéditeur et destinataire utilisent la même clé, il va falloir que l’expéditeur partage sa clé unique avec le destinataire. Et c’est là qu’est le hic : la vulnérabilité du secret en cas d’interception de la clé unique. C’est le vol de clé par attaque de type « man in the middle » qui fragilise la confiance dans un chiffrement symétrique, si puissant soit-il.


Voilà, à ce stade, vous savez l’essentiel sur le chiffrement symétrique et le hachage cryptographique ! Vous voyez que vous avez survécu !!! Je ne vous cache pas que la complexité de l’affaire surgit lorsqu’il s’agit de mêler chiffrement symétrique et chiffrement asymétrique… Ce sera dans une prochaine présentation à suivre sur ce blog…

à suivre sur ce blog : le chiffrement Asymétrique


à suivre encore : le droit du chiffrement expliqué aux NON juristes (législation – responsabilité – jurisprudence…)






 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​