Wiki du LAMA (UMR 5127) - Contributions [fr]

Bcrypt

2018-11-25T20:41:49Z

Petetin : /* L'attaque avec une table arc-en-ciel */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===
Cette attaque repose sur un compromis temps/mémoire. Le principe est de calculer un tableau de taille M x N d'indices qui correspondent à différents hachés. Au lieu de stocker toutes les correspondances clair --> hash, on stocke généralement que le premier et le dernier élément de la chaine. Plus M et N sont grands, plus on va couvrir l'ensemble des clairs.

Premièrement, on génère un nombre aussi aléatoire que possible, puis on passe d'indice en indices N fois. On répète ce processus M fois.

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Notre état a la même structure que l'état généré par Blowfish. Il contient un tableau P de 18 cases. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:Blowfish structure.png]]

Le schéma ci-dessous montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Chaque S-Box accepte un mot de 8 bits en entrée et produit une sortie de 32 bits.

Les sorties sont additionnées avec une somme modulo <math>2^{32}</math> et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:F-fonction blowfish.png ‎ ]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Telle est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail". Il doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes :
string password_hash ( string $password , int $algo [, array $options ] )

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt.

Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
<?php
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général, l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peut par exemple essayer de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différents et il devra utiliser le même coût pour hacher des chaînes de caractères ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T20:36:34Z

Petetin : /* L'attaque avec une table arc-en-ciel */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===
Cette attaque repose sur un compromis temps/mémoire. Le principe est de calculer un tableau de taille M x N d'indices qui correspondent à différents hachés. Premièrement on génère un nombre aussi aléatoire que possible, puis on passe d'indice en indices N fois.

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Notre état a la même structure que l'état généré par Blowfish. Il contient un tableau P de 18 cases. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:Blowfish structure.png]]

Le schéma ci-dessous montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Chaque S-Box accepte un mot de 8 bits en entrée et produit une sortie de 32 bits.

Les sorties sont additionnées avec une somme modulo <math>2^{32}</math> et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:F-fonction blowfish.png ‎ ]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Telle est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail". Il doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes :
string password_hash ( string $password , int $algo [, array $options ] )

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt.

Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
<?php
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général, l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peut par exemple essayer de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différents et il devra utiliser le même coût pour hacher des chaînes de caractères ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T20:35:33Z

Petetin : /* L'attaque avec une table arc-en-ciel */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===
Cette attaque repose sur un compromis temps/mémoire. Le principe est de calculer un tableau de taille M x N d'indices qui correspondent à différents hachés.

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Notre état a la même structure que l'état généré par Blowfish. Il contient un tableau P de 18 cases. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:Blowfish structure.png]]

Le schéma ci-dessous montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Chaque S-Box accepte un mot de 8 bits en entrée et produit une sortie de 32 bits.

Les sorties sont additionnées avec une somme modulo <math>2^{32}</math> et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:F-fonction blowfish.png ‎ ]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Telle est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail". Il doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes :
string password_hash ( string $password , int $algo [, array $options ] )

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt.

Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
<?php
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général, l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peut par exemple essayer de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différents et il devra utiliser le même coût pour hacher des chaînes de caractères ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T20:29:33Z

Petetin : /* Que se passe-t-il si la base de données est piratée ? */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Notre état a la même structure que l'état généré par Blowfish. Il contient un tableau P de 18 cases. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:Blowfish structure.png]]

Le schéma ci-dessous montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Chaque S-Box accepte un mot de 8 bits en entrée et produit une sortie de 32 bits.

Les sorties sont additionnées avec une somme modulo <math>2^{32}</math> et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:F-fonction blowfish.png ‎ ]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Telle est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail". Il doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes :
string password_hash ( string $password , int $algo [, array $options ] )

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt.

Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
<?php
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général, l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peut par exemple essayer de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différents et il devra utiliser le même coût pour hacher des chaînes de caractères ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T20:27:51Z

Petetin : /* Utiliser bcrypt avec PHP */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Notre état a la même structure que l'état généré par Blowfish. Il contient un tableau P de 18 cases. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:Blowfish structure.png]]

Le schéma ci-dessous montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Chaque S-Box accepte un mot de 8 bits en entrée et produit une sortie de 32 bits.

Les sorties sont additionnées avec une somme modulo <math>2^{32}</math> et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:F-fonction blowfish.png ‎ ]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Telle est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail". Il doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes :
string password_hash ( string $password , int $algo [, array $options ] )

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt.

Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
<?php
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T20:26:56Z

Petetin : /* Utiliser bcrypt avec PHP */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Notre état a la même structure que l'état généré par Blowfish. Il contient un tableau P de 18 cases. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:Blowfish structure.png]]

Le schéma ci-dessous montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Chaque S-Box accepte un mot de 8 bits en entrée et produit une sortie de 32 bits.

Les sorties sont additionnées avec une somme modulo <math>2^{32}</math> et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:F-fonction blowfish.png ‎ ]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Telle est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail". Il doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes :
string password_hash ( string $password , int $algo [, array $options ] )

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt
Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T20:26:01Z

Petetin : /* Les particularités de Bcrypt */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Notre état a la même structure que l'état généré par Blowfish. Il contient un tableau P de 18 cases. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:Blowfish structure.png]]

Le schéma ci-dessous montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Chaque S-Box accepte un mot de 8 bits en entrée et produit une sortie de 32 bits.

Les sorties sont additionnées avec une somme modulo <math>2^{32}</math> et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:F-fonction blowfish.png ‎ ]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Telle est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail". Il doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP :
string password_hash ( string $password , int $algo [, array $options ] )

Utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes.

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt
Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T20:14:09Z

Petetin : /* 2. Chiffrement avec une partie des sous-clés */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Notre état a la même structure que l'état généré par Blowfish. Il contient un tableau P de 18 cases. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:Blowfish structure.png]]

Le schéma ci-dessous montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Chaque S-Box accepte un mot de 8 bits en entrée et produit une sortie de 32 bits.

Les sorties sont additionnées avec une somme modulo <math>2^{32}</math> et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:F-fonction blowfish.png ‎ ]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP :
string password_hash ( string $password , int $algo [, array $options ] )

Utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes.

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt
Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T20:07:06Z

Petetin : /* 2. Chiffrement avec une partie des sous-clés */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Notre état a la même structure que l'état généré par Blowfish. Il contient un tableau P de 18 cases. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune.

[[Fichier:Blowfish structure.png]]

Le schéma ci-dessous montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes.

Les sorties sont additionnées avec une somme modulo 232 et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

Les S-Boxes acceptent un mot de 8 bits en entrée et produisent une sortie de 32 bits. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:F-fonction blowfish.png ‎ ]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP :
string password_hash ( string $password , int $algo [, array $options ] )

Utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes.

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt
Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T19:55:15Z

Petetin : /* 2. Chiffrement avec une partie des sous-clés */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt state with the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc. Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune.

[[Fichier:Blowfish structure.png]]

Les S-Boxes acceptent un mot de 8 bits en entrée et produisent une sortie de 32 bits. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:F-fonction blowfish.png ‎ ]]

Ce schéma montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Les sorties sont additionnées avec une somme modulo 232 et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP :
string password_hash ( string $password , int $algo [, array $options ] )

Utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes.

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt
Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T19:45:32Z

Petetin : /* 1. Génération des sous-clés avec la fonction eksblowfish (pour Expensive Key Schedule Blowfish) */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair. Cet algorithme fait partie des algorithmes de "préparation de clés". Le principe est de partir d'une graine, puis construire petit à petit la clé finale à partir de sous-clés.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31''). Il s'agit du logarithme binaire du nombre d'itérations de l'algorithme.
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc.

Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Les S-Boxes acceptent un mot de 8 bits en entrée et produisent une sortie de 32 bits. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:F-fonction blowfish.png ‎ ]]

Ce schéma montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Les sorties sont additionnées avec une somme modulo 232 et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:Blowfish structure.png]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP :
string password_hash ( string $password , int $algo [, array $options ] )

Utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes.

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt
Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T19:41:57Z

Petetin : /* L'attaque brute force */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

Des variantes de cet algorithme existent, tel que chercher aléatoirement un clair dans la liste plutôt que de parcourir toutes la liste.

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31'')
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc.

Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Les S-Boxes acceptent un mot de 8 bits en entrée et produisent une sortie de 32 bits. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:F-fonction blowfish.png ‎ ]]

Ce schéma montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Les sorties sont additionnées avec une somme modulo 232 et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:Blowfish structure.png]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP :
string password_hash ( string $password , int $algo [, array $options ] )

Utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes.

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt
Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T19:38:13Z

Petetin : /* Que se passe-t-il si la base de données est piraté ? */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31'')
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc.

Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Les S-Boxes acceptent un mot de 8 bits en entrée et produisent une sortie de 32 bits. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:F-fonction blowfish.png ‎ ]]

Ce schéma montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Les sorties sont additionnées avec une somme modulo 232 et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:Blowfish structure.png]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP :
string password_hash ( string $password , int $algo [, array $options ] )

Utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes.

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt
Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piratée ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-25T19:37:34Z

Petetin :

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années. En 2017, une faille a été trouvée sur le protocole le plus répandu pour la sécurité des mots de passe wifi, à savoir le WPA 2. En octobre 2018, le réseau social Facebook s'est fait piraté 5 millions de comptes en Europe. Aujourd'hui, tous les sites possèdent un système d'authentification. Les utilisateurs doivent se connecter avec un mot de passe, plus ou moins complexe en fonction des règles imposées sur le site. La robustesse d'un mot de passe face aux différentes attaques joue un rôle essentielle dans la sécurisation de nos données. Un mot de passe est qualifié de "faible" s'il est facilement attaquable. Il existe plein d'algorithme pour chiffrer les mots de passe (MD5, SHA1, ...).

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.
[[Fichier:Hashing-function schema.png]]
* Les fonction de hachage sont des fonctions à sens unique ( on ne peut pas à partie d'une empreinte retrouver le chaîne de caractère initial )
* La fonction est le plus injective possible ( à partir d'une image on a au plus un seul antécédent )

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31'')
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''plainText'')
//Encrypt le texte clair 64 fois
//Repeatedly encrypt the text "OrpheanBeholderScryDoubt" 64 times
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 bytes ==> three 64-bit blocks
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

Fonction EncryptECB :

[[Fichier:EncryptECB.png]]

Blowfish est basé sur un schéma de Feistel avec 16 tours.
Un réseau de Feistel est subdivisé en plusieurs tours ou étages. Dans sa version équilibrée, le réseau traite les données en deux parties de taille identique. À chaque tour, les deux blocs sont échangés puis un des blocs est combiné avec une version transformée de l'autre bloc.

Chaque ligne représente 32 bits (une case du tableau P). L'algorithme gère deux ensembles de clés : les 18 entrées du tableau P et les quatre S-Boxes de 256 éléments chacune. Les S-Boxes acceptent un mot de 8 bits en entrée et produisent une sortie de 32 bits. Une entrée du tableau P est utilisée à chaque tour. Arrivé au tour final, la moitié du bloc de donnée subit un XOR avec un des deux éléments restants dans le tableau P.

[[Fichier:F-fonction blowfish.png ‎ ]]

Ce schéma montre la F-fonction de Blowfish. Elle sépare une entrée de 32 bits (une case du tableau P) en quatre morceaux de 8 bits et les utilise comme entrées pour accéder aux S-Boxes. Les sorties sont additionnées avec une somme modulo 232 et l'algorithme effectue un XOR entre les deux sous-totaux pour produire la sortie finale de 32 bits.

[[Fichier:Blowfish structure.png]]

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir d'avoir un mot de passe pas trop long afin de pouvoir facilement le retenir.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

== Bcrypt en pratique ==

=== Temps de chiffrement par rapport au coût ===

Voici un graphique représentant le temps de chiffrement de Bcrypt en fonction du coût passé en paramètre avec une implémentation en Node.js avec un MacBook Pro :

* Processor: 2.8 GHz Intel Core i7
* Memory: 16 GB 2133 MHz LPDDR3
* Graphics: Radeon Pro 555 2048 MB, Intel HD Graphics 630 1536 MB

[[Fichier:Hasing_time_compared_to_cost.png]]

Voici les valeurs utilisés pour générer le graphique :

bcrypt | cost: 10, time to hash: 65.683ms
bcrypt | cost: 11, time to hash: 129.227ms
bcrypt | cost: 12, time to hash: 254.624ms
bcrypt | cost: 13, time to hash: 511.969ms
bcrypt | cost: 14, time to hash: 1015.073ms
bcrypt | cost: 15, time to hash: 2043.034ms
bcrypt | cost: 16, time to hash: 4088.721ms
bcrypt | cost: 17, time to hash: 8162.788ms
bcrypt | cost: 18, time to hash: 16315.459ms
bcrypt | cost: 19, time to hash: 32682.622ms
bcrypt | cost: 20, time to hash: 66779.182ms

=== Utiliser bcrypt avec PHP ===

La fonction PHP :
string password_hash ( string $password , int $algo [, array $options ] )

Utilise par défaut l'algorithme Bcrypt pour hacher les mots de passes.

Le coût par défaut définit dans password_hash est de 10.

Vous pouvez spécifier dans les options le coût comme ceci :

$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

L'idéal est de mettre un coût suffisamment pour que le serveur qui hébergera votre application PHP mette au moins 50 ms pour hacher un mot de passe avec bcrypt
Pour ce faire vous pouvez ce petit bout de code qui vous permet de trouver le coût adéquat :
$timeTarget = 0.05; // 50 millisecondes
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Valeur de 'cost' la plus appropriée : " . $cost;

=== Que se passe-t-il si la base de données est piraté ? ===

[[Fichier:Bcrypt hash.png|200px|thumb|middle|Les différentes parties de l'empreinte bcrypt]]

En général l'empreinte bcrypt est stocké dans une seule colonne en base de données.

Si un pirate récupère l'ensemble des hash bcrypt, il peu par exemple essayé de faire une attaque avec des tables arc-en-ciel mais il devrait générer autant de table arc-en-ciel qu'il y a de sel différent et il devra utiliser le même coût pour hacher des chaînes de caractère ce qui sera très long pour générer ce genre de table.

=Sources=

http://www.lefigaro.fr/secteur/high-tech/2018/10/02/32001-20181002ARTFIG00121-piratage-de-facebook-5-millions-de-comptes-concernes-en-europe.php

https://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-12T02:04:33Z

Petetin : /* Sources */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31'')
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''plainText'', ''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''key'')
//Encrypt le texte clair 64 fois
'''repeat''' (64)
''plainText'' <math>\gets</math> EncryptECB(''state'', ''plainText'') //encrypt utilise l'algorithme Blowfish en mode ECB

//''plainText'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''plainText'')

Après avoir généré l'état des sous-clés, on prend la chaîne de caractères plainText qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec l'état de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir facilement retenir le mot de passe.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

https://fr.wikipedia.org/wiki/S-Box

https://fr.wikipedia.org/wiki/Key_schedule

Bcrypt

2018-11-12T00:05:01Z

Petetin : /* Sources */

Bcrypt

2018-11-11T23:28:58Z

Petetin : /* 2. Chiffrement avec une partie des sous-clés */

Bcrypt

2018-11-11T23:10:43Z

Petetin : /* 1. Génération des sous-clés avec la fonction eksblowfish (pour Expensive Key Schedule Blowfish) */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===

Comme nous l'avons dit précédemment, Bcrypt s'appuie sur l'algorithme Blowfish.
La première étape de l'algorithme Bcrypt consiste à générer la clé qui va permettre le chiffrement du texte clair.

Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31'')
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''key'')
//Encrypt le texte "OrpheanBeholderScryDoubt" 64 fois
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 octets ==> trois bloc de 64 bit
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt qui utilise l'agolrithme Blowfish en mode ECB

//''ctext'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré le state des sous-clés, on prend la chaîne de caractère magique '''OrpheanBeholderScryDoubt''' sur 192 bits qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec le state de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir facilement retenir le mot de passe.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

Bcrypt

2018-11-11T23:01:14Z

Petetin : /* 1. Génération des sous-clés avec la fonction eksblowfish (pour Expensive Key Schedule Blowfish) */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===
Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31'')
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractères sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''key'')
//Encrypt le texte "OrpheanBeholderScryDoubt" 64 fois
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 octets ==> trois bloc de 64 bit
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt qui utilise l'agolrithme Blowfish en mode ECB

//''ctext'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré le state des sous-clés, on prend la chaîne de caractère magique '''OrpheanBeholderScryDoubt''' sur 192 bits qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec le state de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir facilement retenir le mot de passe.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

INFO002 : Cryptologie

2018-11-11T13:48:34Z

Petetin :

== Quelques ressources pour l'étudiant ==

# Cours
#* Support de cours (presentation [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Cours/cours.pdf PDF], article [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Cours/article.pdf PDF])
# Fiches de TD
#* TDs 1 : cryptographie élémentaire [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/TDs/td-1.ps PDF]
# TPs et autres travaux pratiques [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Tests/doc/html/index.html Pages des TPs]
# Autres ressources
#* Handbook of Applied Cryptology [http://www.cacr.math.uwaterloo.ca/hac/]
#* Cryptologie en ligne [http://www.apprendre-en-ligne.net/crypto/menu/index.html]
# [[Projets étudiants cryptographie et sécurité]]

== Sujets d'exposés pour l'année 2018/2019 ==

Créez les liens vers vos wikis ci-dessous (comme les autres).

# Authentification à deux facteurs { R. VIOLETTE, C. THONONT } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Authentification_deux_facteurs Authentification à deux facteurs]
# Sécuriser les mots de passe avec Bcrypt { A. PETETIN, F. SEBIRE } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php?title=Bcrypt Bcrypt]
# Les réseaux euclidiens {A. BROGNA, A. BRUHL} -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Les_r%C3%A9seaux_euclidiens Les réseaux euclidiens]
# Game Trainer {L. AUGER} -- []
# Cryptologie pour le Cloud { S. DEMARS, X. GOLEMI } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Cryptologie_pour_le_Cloud Cryptologie pour le Cloud]
# Faille CSRF et CRLF { V. BASSET, V.PEILLEX } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Faille_CSRF_et_CRLF Faille CSRF et CRLF]

== Sujets d'exposés pour l'année 2017/2018 ==

# Stéganographie { S. BARNIAUDY, S. DUPRAZ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Steganographie stéganographie]
# Pretty Good Privacy { M. PELLET, B. LE SAUX } [https://lama.univ-savoie.fr/mediawiki/index.php?title=Pretty_Good_Privacy Pretty Good Privacy]
# Cryptographie Visuelle { T. COUPECHOUX, N. TASCA} -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=CryptographieVisuelle Cryptographie Visuelle]
# Prise de contrôle à distance de la machine Windows 7 par une faille sur acrobat reader 9, preuve par l'exemple de l'intérêt des mises à jours { A. CHIVOT, P. PASQUIER, T. NOWICKI} -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=HackWind7FailleAcrobR7 Attaque Windows 7 par une faille sur acrobat reader 9 via Metasploit]
# Authentification via fingerprint { Z. CIMINERA, A. HURSTEL, F. VOUILLAMOZ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Autentification_via_fingerprint Autentification via fingerprint]
# Ransomwares { L. FERREIRA-GOMEZ, S. BERCHERY } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Ransomware Ransomwares]
# Cryptomonnaie { A. PORCHERON-ROCHE, L. JOMMETTI } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Cryptomonnaie Crypto-monnaie]
# Sécurité des réseaux sans fils WEP, WPA { M. LEBLANC, M.-O. DIALLO } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Securite_des_reseaux_WEP_WPA Sécurité des Réseaux WEP & WPA]
# le chiffre ADFGVX { M. OUALI-ALAMI, O. SOUISSI } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Le_chiffre_ADFGVX le chiffre ADFGVX]
# La sécurité de la couche physique du RFID { J. MANGANONI, F. PRISCOGLIO } --[https://lama.univ-savoie.fr/mediawiki/index.php/Attaque_des_supports_sans_contact_type_RFID_et_NFC Sécurité du RFID]
# Blockchains { A. BADAJ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Blochchain Blockchains]

== Sujets d'exposés pour l'année 2016/2017 ==

# Carré de Polybe { C. Farnier, B. Lauret } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php?title=Carre_de_Polybe Carré de Polybe]
# Cryptographie sur courbe elliptique (ECC) et l'échange de clés Diffie-Hellman sur une courbe elliptique (ECDH) { P. Clavier }
# Sécurité des réseaux mobiles { G. Charvier, G. Yoccoz } -- [https://lama.univ-savoie.fr/mediawiki/index.php/GSM_Security La sécurité du réseau GSM]
# Sécurité des fichiers de format commun { A. De-Laere, T. Martin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/S%C3%A9curit%C3%A9_des_fichiers_de_format_commun Sécurité des fichiers de format commun]
# Sécurité des appareils mobiles { B. Vaudey, B. Toneghin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Sécurité_appareil_mobile Sécurité des appareils mobiles]
# Vulnérabilité des réseaux lorawan { H. A. RAKOTOARIVONY, N. Y. P. RANDRIANJATOVO } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Vulnerabilite_du_reseaux_lorawan Vulnerabilite des reseaux lorawan]
# Injections SQL (SQLi) et méthodes de protection { R. Rebillard, L. Robergeon } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Injections_SQL_et_m%C3%A9thodes_de_protection WikiSQLi]
# Social engineering { A. Senger, J. Manceaux } [https://lama.univ-savoie.fr/mediawiki/index.php/Social_engineering Social engineering]
# Courbes elliptiques pour la sécurité informatique {J. Suzan, G. Zablocki }
# Application "textsecure" { F. Ribard, A. Abdelmoumni } -- [https://lama.univ-savoie.fr/mediawiki/index.php/TextSecure WikiTextSecure]
# Cryptographie Visuelle { N. Baudon, G. Gomila, A. Vincent } -- [http://www.lama.univ-savoie.fr/mediawiki/index.php/Cryptographie_Visuelle Cryptographie visuelle]

== Sujets d'exposés pour l'année 2014/2015 ==

# Cryptologie VS NSA { H. Ramamonjy, N.E. Ould Kadi }
# le Bitcoin { H. Helbawi, A. Tang, J. }
# le virus "stuxnet" { N. Challut et T. Chisci }
# Google Recaptcha { A. SAYAH, A. EL-HARRAS }
# La cryptographie dans l'antiquité { Y. Lombardi, G. Badin }
# La sécurité des cartes bancaires { M. Salvat, Y. Salti }
# Cryptolocker { W. Lecable, M. Genovese }
# La machine de Turing et ses variantes { C. Laignel, P.E. Roux }
# La machine ENIGMA { B. Da Silva, G. Ply }
# La stéganographie { K. Deléglise, Y. Rakotonanahary }
# Sécurité des cartes bancaires { A. Bigane, F. Way }
# Le craquage de la cryptographie quantique ? { D. Cauwet, A. Hauguel }
# Le paiement par NFC { J. Maurice, S. Zehnder }

== Sujets d'exposés pour l'année 2013/2014 ==

#* Le cryptosystème Bitcoin { Johanny Clerc-Renaud & Clément Montigny }
#* La stéganographie { Bosviel Thomas & Tolron Sebastien}
#* AES { Avet Anthony & Duraz Aurélien }
#* Payement NFC { Montouchet Raphaël & Marois Jeremy }
#* La sécurité dans les box de FAI { Charron Thomas & Mesurolle Anthony }
#* La technologie RFID et la sécurité { CHANTREL Thierry & SEZILLE Aurélien }
#* Le Cloud et la Cryptologie { Capellaro Alexandre & Chabert Cédric }
#* La sécurité et les chaines TV cryptées { CINDOLO Giuseppe & NARETTO Benjamin }
#* Tunneling TCP/IP via SSH {RAHARISON Laurent & JEAN FRANÇOIS Michael}
#* Principes et techniques de génération de nombres aléatoires {BERTHON Yohann & KELFANI Hugo & REY Anthony}
#* Sécurité atypique et empreintes des navigateurs {FONTANA Antonin}
#* La sécurité des monnaies électroniques {BUISSON Valentin & GENY-DUMONT Rémi}

== Sujets d'exposés pour l'année 2012/2013 ==

#* Nouvelle philosophie de partage de fichiers avec MEGA { WAYNTAL David et DOMINATI Nicolas } (ok)
#* La cyberguerre { COLIN François et APPREDERISSE Benjamin } (ok)
#* Octobre Rouge { REGAZZONI Rudy et LOMBARD Adrien } (ok)
#* HTTPS et SSL { ASSIER Aymeric et ROLLINGER Claire } (ok)
#* DMZ { COLLOMB Camille et LAURENT Corantin } (ok)
#* Failles de sécurité des systèmes informatiques de grandes entreprises (LinkedIn, Apple, Sony, ...) { ARNOULD Mickaël et LEMAIRE Noémie } (ok)
#* Biométrie { BACART Aurélien et BAH Abdoulaye } (ok)
#* Sécurité et mobile : nouvelle cible des pirates { GEVET Gwénaël et YANG Yang } (ok)
#* Sécurité et [http://www.infosafe.fr/Armoirefortedin/Armoirefortedin.htm armoire forte ignifuge] pour les sauvegardes de données
#* Injections SQL & faille XSS { GUILLOT Pierre & KRATTINGER Thibaut }
#* La cryptographie militaire { GIUNCHI Ryan & CIMINERA Lary }

== Sujets d'exposés pour l'année 2011/2012 ==

A vous de proposer des sujets d'exposés... Prévoir 15min d'exposé, suivi de 5min de questions.

#* La sécurité des cartes bancaires (ok) { DORIEN Christophe et LAPIERRE Rémy }
#* La cyberguerre (ok) {MAIRE Cyril et MONTCHAL Justine}
#* La sécurité sur les sites Web (ok) {RABARIJAONA Domoina et BERTHET Vincent}
#* Virus et antivirus (ok) {EL AZHAR Said}
#* Présentation et explication de l'attaque par le virus Stuxnet (ok) {PIRAT Victor et MENDES Etienne}
#* Vulnérabilités des smartphones (ok) {Titouan VAN BELLE et Jean-Baptiste PAUMIER}
#* L'histoire de la cryptographie (ok) {Costa Jean-Philippe et Morel Julien}
#* L'Informatique Ambiante et La Sécurité:Quel Protocole? (ok) {Marclin LEON et Farid BOUKHEDDAD}
#* Systèmes physiques de génération de nombres aléatoires : principes et avantages. (ok) {Florent Carral et Julie Tacheau}
#* Présentation des Honeypots (ok) {Adiche Rafik et Jean-François Michel-Patrique}

== Sujets d'exposés pour l'année 2010/2011 ==

# Les exposés auront lieu le mercredi 23/3/2011 après-midi, et jeudi 24/3/2011 à partir de 13h30 selon le nb d'exposés. Prévoir 15min d'exposé, suivi de 5min de questions. L'ordre proposé est celui ci-dessous. N'hésitez pas à échanger entre vous.

#* Sécurité des réseaux sans fils (ok) { ZHONG Jie et GONZALEZ Miguel }
#* La cyberguerre (ok) { SOUBEYRAND Martin et ROBART Laetitia }
#* Le principe de VPN et les attaques de VPN (ok) { DU Peng }
#* La signature numérique (ok) { DJEDDI Abdelkader }
#* Présentation de quelques attaques informatiques et quelques solutions proposées pour y remédier dans les réseaux P2P (ok) { Lila Zane et Ouhemmi }
#* Sécurité dans les cartes à puce (ok) { LAGHA Youssef et Nodari }
#* Evolution de la cryptologie à travers les âges (ok, mais vaste !) { DEBAENE Aurélien et VINCENT Christophe }
#* Biométrie (ok) { ZANE Bania et MENTDAHI Houda }
#* Comparaison de différents logiciels de crackage (ok) { AMBLARD Mathieu }
#* Construire des bons mots de passe { Liu Siqi }
#* La Machine Enigma (ok) { JULLIAN-DESAYES Jeremy et GARDET Nicolas }
#* Calculateurs quantiques et applications en cryptographie { BORCARD Justine et CATHELIN Gaël }
#* Présentation des Honeypots {Adiche Rafik et Jean-François Michel-Patrique}

== Déroulement (2009/2010) ==

Les exposés se feront dans l'ordre suivant. Vous pouvez vous mettre d'accord entre vous pour échanger.

# Lundi 14/12 après-midi
#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
# Mardi 15/12 après-midi
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONNET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
# Mercredi 16/12 après-midi
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Securité des réseaux sans fils (ok) {Tounkara Mounina et Philippe Monteiro}

== Sujets d'exposés pour l'année 2009/2010 ==

#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Fuites de donnée en entreprise (ok) {Tounkara Mounina et Philippe Monteiro}
#* PGP et la sécurité de l'information {Cyrille Mortier}

== Sujets d'exposés pour l'année 2008/2009 ==

Les exposés auront lieu le vendredi 30/1 de 8h à 12h (4CANTONS - 64) et de 13h30 à 17h30 (4CANTONS - 65). Les exposés sont à faire par binôme (ou monôme) et doivent durer 20 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

#* Les Protocoles de sécurité dans les réseaux WiFi (WEP et WPA) <<<< { Mickaël Wang & Arnaud Villevieille } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/Securite-wifi.pdf PDF]
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison { Anis HADJALI & Vlad VESA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/analyse-securite.pdf PDF]
#* Google Hacking { Julien ARNOUX & Jeremy DEPOIL } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ghack.pptx PPTX]
#* Virus et antivirus { Mehdi M. et Christophe M. }
#* 3DSecure { Natalia Lecoeur & Cindy Chiaberto } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/3D_Secure.pdf PDF]
#* Sécurité sous Linux en entreprise { Joël Leroy Ebouele & Barbier Keller }
#* Techniques et outils de chiffrements de partitions [Valat Sebastien & Bouleis Romain]
#* IP Spoofing et DNS Spoofing { Alberic Martel & Fabien Dezempte ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ip-dns-spoofing.ppt PPT]
#* PRA le Plan de Reprise d'Activité {Achraf AMEUR}
#* Les attaques médiatisées sur les systèmes informatiques {Renneville Guybert et Fabrice Noraz}
#* La gestion des DRM {Petithory Thomas & Paccard Charléric}
#* L'introduction SSL,SSH { Julien Roche & Yi Wang }

== Sujets d'exposés pour l'année 2007/2008 ==

Exposés le mardi 26/2 de 8h15 à 11h30 et le mercredi 27/2 de 8h15 à 11h30. Les exposés sont à faire par binôme et doivent durer 25 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

# Sujets d'exposés (propositions, à étoffer)
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Presentation_cryptologie_PAVLOU_DALLA_COSTA_512.mov MOV]
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Cryptologie_et_securite_informatique_-_Fernandes.pdf PDF]
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Les_attaques_mediatisees_-_PIPARO_HUMBERT.pdf PDF]
#* La mise en place de la sécurité informatique au niveau national et international : CERTs, sites AntiSPAM
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Expose_securite_sur_le_XSS_-_Roche_et_Serra.pdf PDF]
#* Virus et antivirus
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, CIMINERA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Watermarking_Ciminera_Maeseele.pdf PDF]
#* La gestion des DRM
#* Les certificats (PGP, X509) et les infrastructures de gestion de clés
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* IPsec
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/presentation_VIALA_FOLLIET.pdf PDF]
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/OpenBSD_-_Revelin-Errochdi.pdf PDF]
#* Sécurité GPRS <<<<<< (PEHME et REY) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Securite_GPRS_-PEHME_REY.pdf PDF]
# Planning des exposés Mardi 12/2/2008
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES}
# Mardi 27/2/2008, 8h15 -> 11h30
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI)
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA}
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA }
# Planning des exposés Mercredi 28/2/2008, 8h15 -> 11h30
#* Sécurité GPRS <<<<<< (PEHME et REY)
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT }
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE )
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, ??? }

Bcrypt

2018-11-09T15:13:45Z

Petetin :

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===
Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31'')
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractère sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''key'')
//Encrypt le texte "OrpheanBeholderScryDoubt" 64 fois
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 octets ==> trois bloc de 64 bit
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt qui utilise l'agolrithme Blowfish en mode ECB

//''ctext'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré le state des sous-clés, on prend la chaîne de caractère magique '''OrpheanBeholderScryDoubt''' sur 192 bits qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec le state de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?

L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est que l’algorithme utilisé est lent ce qui dissuade les attaques par brute force ou avec une table arc-en-ciel.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est lent. Ceci est notamment utile au vu de l'évolution des CPU et GPU sachant que la taille des mots de passe reste constante. En effet les humains ont besoin de pourvoir facilement retenir le mot de passe.

Quel coût choisir pour bcrypt ?

Tel est la question que chaque développeur doit se poser s'il veut utiliser bcrypt.
En effet, le coût aussi connu sous le nom de "force de travail" se doit d'être suffisamment grand pour que bcrypt soit le plus lent possible sans affecter l'expérience utilisateur.

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

https://www.commonlounge.com/discussion/d95616beecc148daaa23f35178691c35

Bcrypt

2018-11-05T21:48:10Z

Petetin : /* Sources */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage transforme une donnée en entrée de taille quelconque en une donnée de sortie de taille fixe. Une fonction de hachage cryptographique va permettre de lier un clair à son empreinte. Pour que cette fonction soit efficace, il ne faudrait pas (en théorie) pouvoir retrouver le clair à partir du haché. Pour cela, cette fonction doit être aussi injective que possible.

; Empreinte
: Une empreinte est le résultat d'une fonction de hachage sur un clair. Une empreinte est aussi appelée une '''hash value''', un '''hash code''', un '''digest''' ou encore un '''hash'''.

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le chiffrement respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=== L'attaque brute force ===
Il s'agit de l'attaque la plus simple, mais aussi la plus longue. On va essayer de trouver le bon haché en testant l'ensemble des clairs possibles pour un alphabet donné. Généralement, les hackers utilisent des fichiers textes appelés '''dictionnaire''', qui contient cet ensemble.

Fonction BrutForce(dictionnaire : Liste de string, hache: string) : string
Début
var i = 0;
Tant que i < dictionnaire.taille
Faire
Si h(dictionnaire.get(i)) == hache
Retourner dictionnaire.get(i);
i = i + 1;
Fin Tant que
Retourner "";
Fin

=== L'attaque avec une table arc-en-ciel ===

=== L'attaque par collisions ===
L'attaque par collisions utilise, comme les attaques présentées précédemment, le fait que la fonction de hachage n'est pas tout à fait injective.

Le principe est de trouver plusieurs clairs qui donneraient un même haché. A partir de ces résultats, le hacker en déduit des règles sur la fonction de hachage.

Cette attaque se découpe en 2 variantes :

* L'attaque classique
On essaye au hasard 2 clairs distincts dans notre ensemble de clairs qui donnent le même haché.
<math>(x,y) \in L, x \ne y, h(x) = h(y)</math>

* L'attaque avec préfixes choisis
Dans cette variante, on ne fait plus une comparaison avec des mots complets. On prend deux préfixes A et B disincts, et on cherche deux suffixes C et D pour lesquels <math>h(A.B) = h(C.D) </math> où "." est la concaténation. Ainsi, les couples <math>(A,B,C,D)</math> nous donnent plus d'indices sur la fonction de hachage comparé à une comparaison de deux clairs simples.

== Complexifier le déchiffrement avec le salage ==
Le problème des fonctions de hachage usuelles est qu'elles sont injectives (ou presque). Le principe du salage est d'ajouter une information supplémentaire au chiffrement. On va concaténer le clair avec une chaine de caractères avant de chiffrer. Cette chaine est soit statique (pas très efficace), ou bien aléatoire.

Le salage aléatoire réduit l'efficacité de l'attaque par dictionnaire (surtout si le dictionnaire ne contient qu'un ensemble restreint de mots, comme les mots de la langue française par exemple). Elle ralentit l'attaque avec une table arc-en-ciel.

La condition de l'efficacité du salage est que le sel ne doit pas être connu de l'attaquant.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==
Bcrypt est une fonction de hachage, créé par Niels Provos et David Mazières, et basée sur l'algorithme de chiffrement symétrique [https://fr.wikipedia.org/wiki/Blowfish Blowfish] : <code>b</code> pour Blowfish et <code>crypt</code> pour le nom de la fonction de hachage utilisé par le système de mot de passe UNIX.

Elle est utilisé dans certaines distribution Linux. Cette fonction est implémentée dans différents langage pour les développeurs comme PHP, C, C++, C#, Java ...

== Les étapes du chiffrement ==
===1. Génération des sous-clés avec la fonction <code>eksblowfish</code> (pour ''Expensive Key Schedule Blowfish'')===
Cette fonction prend 3 paramètres :
* '''cost''' Le coût souhaité de l'algorithme (''Nombre entre 4 et 31'')
* '''salt''' Le sel qui correspond à une chaîne de caractère (''Tableau de 16 octets'')
* '''key''' le mot de passe que l'on souhaite hacher (''Chaîne de caractère sur 1 à 72 octets'')

EksBlowfishSetup(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> InitState()
''state'' <math>\gets</math> ExpandKey(''state'', ''salt'', ''key'')
'''repeat''' (2''cost'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''key'')
''state'' <math>\gets</math> ExpandKey(''state'', 0, ''salt'')
'''return''' ''state''

===2. Chiffrement avec une partie des sous-clés===
bcrypt(''cost'', ''salt'', ''key'')
''state'' <math>\gets</math> EksBlowfishSetup(''cost'', ''salt'', ''key'')
//Encrypt le texte "OrpheanBeholderScryDoubt" 64 fois
''ctext'' <math>\gets</math> ''"OrpheanBeholderScryDoubt"'' //24 octets ==> trois bloc de 64 bit
'''repeat''' (64)
''ctext'' <math>\gets</math> EncryptECB(''state'', ''ctext'') //encrypt qui utilise l'agolrithme Blowfish en mode ECB

//''ctext'' sur 24 octets comme résulat du hash
'''return''' Concatenate(''cost'', ''salt'', ''ctext'')

Après avoir généré le state des sous-clés, on prend la chaîne de caractère magique '''OrpheanBeholderScryDoubt''' sur 192 bits qu'on va encrypter 64 fois en utilisant <code>eksblowfish</code> en EBC Mode avec le state de la phase précédente.

Le résultat est ensuite préfixé par <code>$2a$</code>, <code>$2y$</code>, ou <code>$2b$</code> suivant la version de <code>bcrypt</code> utilisé.

== Les particularités de Bcrypt ==
Pourquoi utiliser Bcrypt par rapport à d'autres fonctions de hachage ?
L'intérêt par rapport à d'autre fonction de hachage comme md5 ou sha1 est quel l’algorithme utilisé est lent ce qui rend les attaques par brute force ou avec une table arc-en-ciel inutilisable pour un attaquant.

Bcrypt est une fonction adaptative dans le sens où on peut préciser le nombre d'itérations. Plus le nombre d'itérations est important, plus le hachage est long.

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

https://fr.wikipedia.org/wiki/Attaque_de_collisions

https://en.wikipedia.org/wiki/Blowfish_(cipher)

https://fr.wikipedia.org/wiki/Salage_(cryptographie)

https://auth0.com/blog/hashing-in-action-understanding-bcrypt/

Bcrypt

2018-11-04T00:19:55Z

Petetin : /* Les étapes du chiffrement */

Bcrypt

2018-11-04T00:10:50Z

Petetin :

Bcrypt

2018-11-03T23:51:48Z

Petetin :

Bcrypt

2018-11-03T23:37:24Z

Petetin : /* Complexifier le déchiffrement avec le salage */

Bcrypt

2018-11-03T23:37:04Z

Petetin :

Bcrypt

2018-11-03T22:56:17Z

Petetin : /* Bcrypt */

Bcrypt

2018-11-03T15:44:23Z

Petetin : /* L'algorithme Blowfish */

Bcrypt

2018-11-03T13:08:42Z

Petetin : /* Sources */

Bcrypt

2018-11-03T13:08:24Z

Petetin : /* Bcrypt */

Bcrypt

2018-11-03T00:36:16Z

Petetin : /* Qu'est-ce que Bcrypt ? */

Bcrypt

2018-11-03T00:25:00Z

Petetin : /* Attaques possibles */

Bcrypt

2018-11-03T00:20:28Z

Petetin : /* L'attaque par collisions */

Bcrypt

2018-11-03T00:19:09Z

Petetin : /* L'attaque par collisions */

Bcrypt

2018-11-02T23:27:30Z

Petetin : /* Sources */

Bcrypt

2018-11-02T23:25:07Z

Petetin : /* L'attaque par collisions */

Bcrypt

2018-11-02T23:24:14Z

Petetin : /* L'attaque par collisions */

Bcrypt

2018-11-02T23:04:39Z

Petetin : /* L'attaque brute force */

Bcrypt

2018-11-02T23:01:33Z

Petetin : /* L'attaque brute force */

Bcrypt

2018-11-02T18:48:57Z

Petetin : /* Attaques possibles */

Bcrypt

2018-11-02T18:31:28Z

Petetin : /* Quelques définitions */

Bcrypt

2018-11-02T18:16:26Z

Petetin : /* Attaques possibles */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage ...

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le cryptage respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =
Il existe des attaques pour retrouver le mot de passe en clair à partir du haché. On utiliser le fait que la fonction de hachage soit injective.

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

Bcrypt

2018-11-02T18:12:41Z

Petetin : /* Processus d'authentification sur un site web */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage ...

== Processus d'authentification sur un site web ==
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le cryptage respecte le secret parfait).

Le procédé est le suivant :

# L'utilisateur saisit son identifiant et son mot de passe (le clair).
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié.

= Attaques possibles =

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

Bcrypt

2018-10-27T15:48:43Z

Petetin : /* Sources */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage ...

== Processus d'authentification sur un site web ==

= Attaques possibles =

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

https://en.wikipedia.org/wiki/Hash_function

Bcrypt

2018-10-27T15:48:11Z

Petetin : /* Introduction */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.

== Quelques définitions ==

; Fonction de hachage
: Une fonction de hachage ...

== Processus d'authentification sur un site web ==

= Attaques possibles =

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

INFO002 : Cryptologie

2018-10-27T15:28:36Z

Petetin : /* Sujets d'exposés pour l'année 2018/2019 */

== Quelques ressources pour l'étudiant ==

# Cours
#* Support de cours (presentation [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Cours/cours.pdf PDF], article [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Cours/article.pdf PDF])
# Fiches de TD
#* TDs 1 : cryptographie élémentaire [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/TDs/td-1.ps PDF]
# TPs et autres travaux pratiques [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Tests/doc/html/index.html Pages des TPs]
# Autres ressources
#* Handbook of Applied Cryptology [http://www.cacr.math.uwaterloo.ca/hac/]
#* Cryptologie en ligne [http://www.apprendre-en-ligne.net/crypto/menu/index.html]
# [[Projets étudiants cryptographie et sécurité]]

== Sujets d'exposés pour l'année 2018/2019 ==

Créez les liens vers vos wikis ci-dessous (comme les autres).

# Bcrypt { A. PETETIN, F. SEBIRE } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php?title=Bcrypt Bcrypt]

== Sujets d'exposés pour l'année 2017/2018 ==

# Stéganographie { S. BARNIAUDY, S. DUPRAZ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Steganographie stéganographie]
# Pretty Good Privacy { M. PELLET, B. LE SAUX } [https://lama.univ-savoie.fr/mediawiki/index.php?title=Pretty_Good_Privacy Pretty Good Privacy]
# Cryptographie Visuelle { T. COUPECHOUX, N. TASCA} -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=CryptographieVisuelle Cryptographie Visuelle]
# Prise de contrôle à distance de la machine Windows 7 par une faille sur acrobat reader 9, preuve par l'exemple de l'intérêt des mises à jours { A. CHIVOT, P. PASQUIER, T. NOWICKI} -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=HackWind7FailleAcrobR7 Attaque Windows 7 par une faille sur acrobat reader 9 via Metasploit]
# Authentification via fingerprint { Z. CIMINERA, A. HURSTEL, F. VOUILLAMOZ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Autentification_via_fingerprint Autentification via fingerprint]
# Ransomwares { L. FERREIRA-GOMEZ, S. BERCHERY } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Ransomware Ransomwares]
# Cryptomonnaie { A. PORCHERON-ROCHE, L. JOMMETTI } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Cryptomonnaie Crypto-monnaie]
# Sécurité des réseaux sans fils WEP, WPA { M. LEBLANC, M.-O. DIALLO } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Securite_des_reseaux_WEP_WPA Sécurité des Réseaux WEP & WPA]
# le chiffre ADFGVX { M. OUALI-ALAMI, O. SOUISSI } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Le_chiffre_ADFGVX le chiffre ADFGVX]
# La sécurité de la couche physique du RFID { J. MANGANONI, F. PRISCOGLIO } --[https://lama.univ-savoie.fr/mediawiki/index.php/Attaque_des_supports_sans_contact_type_RFID_et_NFC Sécurité du RFID]
# Blockchains { A. BADAJ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Blochchain Blockchains]

== Sujets d'exposés pour l'année 2016/2017 ==

# Carré de Polybe { C. Farnier, B. Lauret } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php?title=Carre_de_Polybe Carré de Polybe]
# Cryptographie sur courbe elliptique (ECC) et l'échange de clés Diffie-Hellman sur une courbe elliptique (ECDH) { P. Clavier }
# Sécurité des réseaux mobiles { G. Charvier, G. Yoccoz } -- [https://lama.univ-savoie.fr/mediawiki/index.php/GSM_Security La sécurité du réseau GSM]
# Sécurité des fichiers de format commun { A. De-Laere, T. Martin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/S%C3%A9curit%C3%A9_des_fichiers_de_format_commun Sécurité des fichiers de format commun]
# Sécurité des appareils mobiles { B. Vaudey, B. Toneghin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Sécurité_appareil_mobile Sécurité des appareils mobiles]
# Vulnérabilité des réseaux lorawan { H. A. RAKOTOARIVONY, N. Y. P. RANDRIANJATOVO } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Vulnerabilite_du_reseaux_lorawan Vulnerabilite des reseaux lorawan]
# Injections SQL (SQLi) et méthodes de protection { R. Rebillard, L. Robergeon } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Injections_SQL_et_m%C3%A9thodes_de_protection WikiSQLi]
# Social engineering { A. Senger, J. Manceaux } [https://lama.univ-savoie.fr/mediawiki/index.php/Social_engineering Social engineering]
# Courbes elliptiques pour la sécurité informatique {J. Suzan, G. Zablocki }
# Application "textsecure" { F. Ribard, A. Abdelmoumni } -- [https://lama.univ-savoie.fr/mediawiki/index.php/TextSecure WikiTextSecure]
# Cryptographie Visuelle { N. Baudon, G. Gomila, A. Vincent } -- [http://www.lama.univ-savoie.fr/mediawiki/index.php/Cryptographie_Visuelle Cryptographie visuelle]

== Sujets d'exposés pour l'année 2014/2015 ==

# Cryptologie VS NSA { H. Ramamonjy, N.E. Ould Kadi }
# le Bitcoin { H. Helbawi, A. Tang, J. }
# le virus "stuxnet" { N. Challut et T. Chisci }
# Google Recaptcha { A. SAYAH, A. EL-HARRAS }
# La cryptographie dans l'antiquité { Y. Lombardi, G. Badin }
# La sécurité des cartes bancaires { M. Salvat, Y. Salti }
# Cryptolocker { W. Lecable, M. Genovese }
# La machine de Turing et ses variantes { C. Laignel, P.E. Roux }
# La machine ENIGMA { B. Da Silva, G. Ply }
# La stéganographie { K. Deléglise, Y. Rakotonanahary }
# Sécurité des cartes bancaires { A. Bigane, F. Way }
# Le craquage de la cryptographie quantique ? { D. Cauwet, A. Hauguel }
# Le paiement par NFC { J. Maurice, S. Zehnder }

== Sujets d'exposés pour l'année 2013/2014 ==

#* Le cryptosystème Bitcoin { Johanny Clerc-Renaud & Clément Montigny }
#* La stéganographie { Bosviel Thomas & Tolron Sebastien}
#* AES { Avet Anthony & Duraz Aurélien }
#* Payement NFC { Montouchet Raphaël & Marois Jeremy }
#* La sécurité dans les box de FAI { Charron Thomas & Mesurolle Anthony }
#* La technologie RFID et la sécurité { CHANTREL Thierry & SEZILLE Aurélien }
#* Le Cloud et la Cryptologie { Capellaro Alexandre & Chabert Cédric }
#* La sécurité et les chaines TV cryptées { CINDOLO Giuseppe & NARETTO Benjamin }
#* Tunneling TCP/IP via SSH {RAHARISON Laurent & JEAN FRANÇOIS Michael}
#* Principes et techniques de génération de nombres aléatoires {BERTHON Yohann & KELFANI Hugo & REY Anthony}
#* Sécurité atypique et empreintes des navigateurs {FONTANA Antonin}
#* La sécurité des monnaies électroniques {BUISSON Valentin & GENY-DUMONT Rémi}

== Sujets d'exposés pour l'année 2012/2013 ==

#* Nouvelle philosophie de partage de fichiers avec MEGA { WAYNTAL David et DOMINATI Nicolas } (ok)
#* La cyberguerre { COLIN François et APPREDERISSE Benjamin } (ok)
#* Octobre Rouge { REGAZZONI Rudy et LOMBARD Adrien } (ok)
#* HTTPS et SSL { ASSIER Aymeric et ROLLINGER Claire } (ok)
#* DMZ { COLLOMB Camille et LAURENT Corantin } (ok)
#* Failles de sécurité des systèmes informatiques de grandes entreprises (LinkedIn, Apple, Sony, ...) { ARNOULD Mickaël et LEMAIRE Noémie } (ok)
#* Biométrie { BACART Aurélien et BAH Abdoulaye } (ok)
#* Sécurité et mobile : nouvelle cible des pirates { GEVET Gwénaël et YANG Yang } (ok)
#* Sécurité et [http://www.infosafe.fr/Armoirefortedin/Armoirefortedin.htm armoire forte ignifuge] pour les sauvegardes de données
#* Injections SQL & faille XSS { GUILLOT Pierre & KRATTINGER Thibaut }
#* La cryptographie militaire { GIUNCHI Ryan & CIMINERA Lary }

== Sujets d'exposés pour l'année 2011/2012 ==

A vous de proposer des sujets d'exposés... Prévoir 15min d'exposé, suivi de 5min de questions.

#* La sécurité des cartes bancaires (ok) { DORIEN Christophe et LAPIERRE Rémy }
#* La cyberguerre (ok) {MAIRE Cyril et MONTCHAL Justine}
#* La sécurité sur les sites Web (ok) {RABARIJAONA Domoina et BERTHET Vincent}
#* Virus et antivirus (ok) {EL AZHAR Said}
#* Présentation et explication de l'attaque par le virus Stuxnet (ok) {PIRAT Victor et MENDES Etienne}
#* Vulnérabilités des smartphones (ok) {Titouan VAN BELLE et Jean-Baptiste PAUMIER}
#* L'histoire de la cryptographie (ok) {Costa Jean-Philippe et Morel Julien}
#* L'Informatique Ambiante et La Sécurité:Quel Protocole? (ok) {Marclin LEON et Farid BOUKHEDDAD}
#* Systèmes physiques de génération de nombres aléatoires : principes et avantages. (ok) {Florent Carral et Julie Tacheau}
#* Présentation des Honeypots (ok) {Adiche Rafik et Jean-François Michel-Patrique}

== Sujets d'exposés pour l'année 2010/2011 ==

# Les exposés auront lieu le mercredi 23/3/2011 après-midi, et jeudi 24/3/2011 à partir de 13h30 selon le nb d'exposés. Prévoir 15min d'exposé, suivi de 5min de questions. L'ordre proposé est celui ci-dessous. N'hésitez pas à échanger entre vous.

#* Sécurité des réseaux sans fils (ok) { ZHONG Jie et GONZALEZ Miguel }
#* La cyberguerre (ok) { SOUBEYRAND Martin et ROBART Laetitia }
#* Le principe de VPN et les attaques de VPN (ok) { DU Peng }
#* La signature numérique (ok) { DJEDDI Abdelkader }
#* Présentation de quelques attaques informatiques et quelques solutions proposées pour y remédier dans les réseaux P2P (ok) { Lila Zane et Ouhemmi }
#* Sécurité dans les cartes à puce (ok) { LAGHA Youssef et Nodari }
#* Evolution de la cryptologie à travers les âges (ok, mais vaste !) { DEBAENE Aurélien et VINCENT Christophe }
#* Biométrie (ok) { ZANE Bania et MENTDAHI Houda }
#* Comparaison de différents logiciels de crackage (ok) { AMBLARD Mathieu }
#* Construire des bons mots de passe { Liu Siqi }
#* La Machine Enigma (ok) { JULLIAN-DESAYES Jeremy et GARDET Nicolas }
#* Calculateurs quantiques et applications en cryptographie { BORCARD Justine et CATHELIN Gaël }
#* Présentation des Honeypots {Adiche Rafik et Jean-François Michel-Patrique}

== Déroulement (2009/2010) ==

Les exposés se feront dans l'ordre suivant. Vous pouvez vous mettre d'accord entre vous pour échanger.

# Lundi 14/12 après-midi
#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
# Mardi 15/12 après-midi
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONNET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
# Mercredi 16/12 après-midi
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Securité des réseaux sans fils (ok) {Tounkara Mounina et Philippe Monteiro}

== Sujets d'exposés pour l'année 2009/2010 ==

#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Fuites de donnée en entreprise (ok) {Tounkara Mounina et Philippe Monteiro}
#* PGP et la sécurité de l'information {Cyrille Mortier}

== Sujets d'exposés pour l'année 2008/2009 ==

Les exposés auront lieu le vendredi 30/1 de 8h à 12h (4CANTONS - 64) et de 13h30 à 17h30 (4CANTONS - 65). Les exposés sont à faire par binôme (ou monôme) et doivent durer 20 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

#* Les Protocoles de sécurité dans les réseaux WiFi (WEP et WPA) <<<< { Mickaël Wang & Arnaud Villevieille } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/Securite-wifi.pdf PDF]
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison { Anis HADJALI & Vlad VESA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/analyse-securite.pdf PDF]
#* Google Hacking { Julien ARNOUX & Jeremy DEPOIL } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ghack.pptx PPTX]
#* Virus et antivirus { Mehdi M. et Christophe M. }
#* 3DSecure { Natalia Lecoeur & Cindy Chiaberto } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/3D_Secure.pdf PDF]
#* Sécurité sous Linux en entreprise { Joël Leroy Ebouele & Barbier Keller }
#* Techniques et outils de chiffrements de partitions [Valat Sebastien & Bouleis Romain]
#* IP Spoofing et DNS Spoofing { Alberic Martel & Fabien Dezempte ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ip-dns-spoofing.ppt PPT]
#* PRA le Plan de Reprise d'Activité {Achraf AMEUR}
#* Les attaques médiatisées sur les systèmes informatiques {Renneville Guybert et Fabrice Noraz}
#* La gestion des DRM {Petithory Thomas & Paccard Charléric}
#* L'introduction SSL,SSH { Julien Roche & Yi Wang }

== Sujets d'exposés pour l'année 2007/2008 ==

Exposés le mardi 26/2 de 8h15 à 11h30 et le mercredi 27/2 de 8h15 à 11h30. Les exposés sont à faire par binôme et doivent durer 25 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

# Sujets d'exposés (propositions, à étoffer)
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Presentation_cryptologie_PAVLOU_DALLA_COSTA_512.mov MOV]
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Cryptologie_et_securite_informatique_-_Fernandes.pdf PDF]
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Les_attaques_mediatisees_-_PIPARO_HUMBERT.pdf PDF]
#* La mise en place de la sécurité informatique au niveau national et international : CERTs, sites AntiSPAM
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Expose_securite_sur_le_XSS_-_Roche_et_Serra.pdf PDF]
#* Virus et antivirus
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, CIMINERA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Watermarking_Ciminera_Maeseele.pdf PDF]
#* La gestion des DRM
#* Les certificats (PGP, X509) et les infrastructures de gestion de clés
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* IPsec
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/presentation_VIALA_FOLLIET.pdf PDF]
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/OpenBSD_-_Revelin-Errochdi.pdf PDF]
#* Sécurité GPRS <<<<<< (PEHME et REY) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Securite_GPRS_-PEHME_REY.pdf PDF]
# Planning des exposés Mardi 12/2/2008
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES}
# Mardi 27/2/2008, 8h15 -> 11h30
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI)
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA}
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA }
# Planning des exposés Mercredi 28/2/2008, 8h15 -> 11h30
#* Sécurité GPRS <<<<<< (PEHME et REY)
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT }
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE )
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, ??? }

Bcrypt

2018-10-27T15:15:08Z

Petetin : /* Introduction */

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =
== Quelques définitions ==
== Processus d'authentification sur un site web ==

= Attaques possibles =

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

Bcrypt

2018-10-27T15:12:28Z

Petetin :

Auteurs : Antoine Petetin et Florian Sebire

= Introduction =

= Attaques possibles =

=Bcrypt=

== Qu'est-ce que Bcrypt ? ==

=Sources=

https://en.wikipedia.org/wiki/Bcrypt

https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861

INFO002 : Cryptologie

2018-10-27T14:00:27Z

Petetin :

== Quelques ressources pour l'étudiant ==

# Cours
#* Support de cours (presentation [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Cours/cours.pdf PDF], article [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Cours/article.pdf PDF])
# Fiches de TD
#* TDs 1 : cryptographie élémentaire [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/TDs/td-1.ps PDF]
# TPs et autres travaux pratiques [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Tests/doc/html/index.html Pages des TPs]
# Autres ressources
#* Handbook of Applied Cryptology [http://www.cacr.math.uwaterloo.ca/hac/]
#* Cryptologie en ligne [http://www.apprendre-en-ligne.net/crypto/menu/index.html]
# [[Projets étudiants cryptographie et sécurité]]

== Sujets d'exposés pour l'année 2018/2019 ==

Créez les liens vers vos wikis ci-dessous (comme les autres).

# Bcrypt { A. PETETIN, F. SEBIRE } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php?title=Bcrypt]

== Sujets d'exposés pour l'année 2017/2018 ==

# Stéganographie { S. BARNIAUDY, S. DUPRAZ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Steganographie stéganographie]
# Pretty Good Privacy { M. PELLET, B. LE SAUX } [https://lama.univ-savoie.fr/mediawiki/index.php?title=Pretty_Good_Privacy Pretty Good Privacy]
# Cryptographie Visuelle { T. COUPECHOUX, N. TASCA} -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=CryptographieVisuelle Cryptographie Visuelle]
# Prise de contrôle à distance de la machine Windows 7 par une faille sur acrobat reader 9, preuve par l'exemple de l'intérêt des mises à jours { A. CHIVOT, P. PASQUIER, T. NOWICKI} -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=HackWind7FailleAcrobR7 Attaque Windows 7 par une faille sur acrobat reader 9 via Metasploit]
# Authentification via fingerprint { Z. CIMINERA, A. HURSTEL, F. VOUILLAMOZ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Autentification_via_fingerprint Autentification via fingerprint]
# Ransomwares { L. FERREIRA-GOMEZ, S. BERCHERY } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Ransomware Ransomwares]
# Cryptomonnaie { A. PORCHERON-ROCHE, L. JOMMETTI } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Cryptomonnaie Crypto-monnaie]
# Sécurité des réseaux sans fils WEP, WPA { M. LEBLANC, M.-O. DIALLO } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Securite_des_reseaux_WEP_WPA Sécurité des Réseaux WEP & WPA]
# le chiffre ADFGVX { M. OUALI-ALAMI, O. SOUISSI } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Le_chiffre_ADFGVX le chiffre ADFGVX]
# La sécurité de la couche physique du RFID { J. MANGANONI, F. PRISCOGLIO } --[https://lama.univ-savoie.fr/mediawiki/index.php/Attaque_des_supports_sans_contact_type_RFID_et_NFC Sécurité du RFID]
# Blockchains { A. BADAJ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Blochchain Blockchains]

== Sujets d'exposés pour l'année 2016/2017 ==

# Carré de Polybe { C. Farnier, B. Lauret } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php?title=Carre_de_Polybe Carré de Polybe]
# Cryptographie sur courbe elliptique (ECC) et l'échange de clés Diffie-Hellman sur une courbe elliptique (ECDH) { P. Clavier }
# Sécurité des réseaux mobiles { G. Charvier, G. Yoccoz } -- [https://lama.univ-savoie.fr/mediawiki/index.php/GSM_Security La sécurité du réseau GSM]
# Sécurité des fichiers de format commun { A. De-Laere, T. Martin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/S%C3%A9curit%C3%A9_des_fichiers_de_format_commun Sécurité des fichiers de format commun]
# Sécurité des appareils mobiles { B. Vaudey, B. Toneghin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Sécurité_appareil_mobile Sécurité des appareils mobiles]
# Vulnérabilité des réseaux lorawan { H. A. RAKOTOARIVONY, N. Y. P. RANDRIANJATOVO } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Vulnerabilite_du_reseaux_lorawan Vulnerabilite des reseaux lorawan]
# Injections SQL (SQLi) et méthodes de protection { R. Rebillard, L. Robergeon } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Injections_SQL_et_m%C3%A9thodes_de_protection WikiSQLi]
# Social engineering { A. Senger, J. Manceaux } [https://lama.univ-savoie.fr/mediawiki/index.php/Social_engineering Social engineering]
# Courbes elliptiques pour la sécurité informatique {J. Suzan, G. Zablocki }
# Application "textsecure" { F. Ribard, A. Abdelmoumni } -- [https://lama.univ-savoie.fr/mediawiki/index.php/TextSecure WikiTextSecure]
# Cryptographie Visuelle { N. Baudon, G. Gomila, A. Vincent } -- [http://www.lama.univ-savoie.fr/mediawiki/index.php/Cryptographie_Visuelle Cryptographie visuelle]

== Sujets d'exposés pour l'année 2014/2015 ==

# Cryptologie VS NSA { H. Ramamonjy, N.E. Ould Kadi }
# le Bitcoin { H. Helbawi, A. Tang, J. }
# le virus "stuxnet" { N. Challut et T. Chisci }
# Google Recaptcha { A. SAYAH, A. EL-HARRAS }
# La cryptographie dans l'antiquité { Y. Lombardi, G. Badin }
# La sécurité des cartes bancaires { M. Salvat, Y. Salti }
# Cryptolocker { W. Lecable, M. Genovese }
# La machine de Turing et ses variantes { C. Laignel, P.E. Roux }
# La machine ENIGMA { B. Da Silva, G. Ply }
# La stéganographie { K. Deléglise, Y. Rakotonanahary }
# Sécurité des cartes bancaires { A. Bigane, F. Way }
# Le craquage de la cryptographie quantique ? { D. Cauwet, A. Hauguel }
# Le paiement par NFC { J. Maurice, S. Zehnder }

== Sujets d'exposés pour l'année 2013/2014 ==

#* Le cryptosystème Bitcoin { Johanny Clerc-Renaud & Clément Montigny }
#* La stéganographie { Bosviel Thomas & Tolron Sebastien}
#* AES { Avet Anthony & Duraz Aurélien }
#* Payement NFC { Montouchet Raphaël & Marois Jeremy }
#* La sécurité dans les box de FAI { Charron Thomas & Mesurolle Anthony }
#* La technologie RFID et la sécurité { CHANTREL Thierry & SEZILLE Aurélien }
#* Le Cloud et la Cryptologie { Capellaro Alexandre & Chabert Cédric }
#* La sécurité et les chaines TV cryptées { CINDOLO Giuseppe & NARETTO Benjamin }
#* Tunneling TCP/IP via SSH {RAHARISON Laurent & JEAN FRANÇOIS Michael}
#* Principes et techniques de génération de nombres aléatoires {BERTHON Yohann & KELFANI Hugo & REY Anthony}
#* Sécurité atypique et empreintes des navigateurs {FONTANA Antonin}
#* La sécurité des monnaies électroniques {BUISSON Valentin & GENY-DUMONT Rémi}

== Sujets d'exposés pour l'année 2012/2013 ==

#* Nouvelle philosophie de partage de fichiers avec MEGA { WAYNTAL David et DOMINATI Nicolas } (ok)
#* La cyberguerre { COLIN François et APPREDERISSE Benjamin } (ok)
#* Octobre Rouge { REGAZZONI Rudy et LOMBARD Adrien } (ok)
#* HTTPS et SSL { ASSIER Aymeric et ROLLINGER Claire } (ok)
#* DMZ { COLLOMB Camille et LAURENT Corantin } (ok)
#* Failles de sécurité des systèmes informatiques de grandes entreprises (LinkedIn, Apple, Sony, ...) { ARNOULD Mickaël et LEMAIRE Noémie } (ok)
#* Biométrie { BACART Aurélien et BAH Abdoulaye } (ok)
#* Sécurité et mobile : nouvelle cible des pirates { GEVET Gwénaël et YANG Yang } (ok)
#* Sécurité et [http://www.infosafe.fr/Armoirefortedin/Armoirefortedin.htm armoire forte ignifuge] pour les sauvegardes de données
#* Injections SQL & faille XSS { GUILLOT Pierre & KRATTINGER Thibaut }
#* La cryptographie militaire { GIUNCHI Ryan & CIMINERA Lary }

== Sujets d'exposés pour l'année 2011/2012 ==

A vous de proposer des sujets d'exposés... Prévoir 15min d'exposé, suivi de 5min de questions.

#* La sécurité des cartes bancaires (ok) { DORIEN Christophe et LAPIERRE Rémy }
#* La cyberguerre (ok) {MAIRE Cyril et MONTCHAL Justine}
#* La sécurité sur les sites Web (ok) {RABARIJAONA Domoina et BERTHET Vincent}
#* Virus et antivirus (ok) {EL AZHAR Said}
#* Présentation et explication de l'attaque par le virus Stuxnet (ok) {PIRAT Victor et MENDES Etienne}
#* Vulnérabilités des smartphones (ok) {Titouan VAN BELLE et Jean-Baptiste PAUMIER}
#* L'histoire de la cryptographie (ok) {Costa Jean-Philippe et Morel Julien}
#* L'Informatique Ambiante et La Sécurité:Quel Protocole? (ok) {Marclin LEON et Farid BOUKHEDDAD}
#* Systèmes physiques de génération de nombres aléatoires : principes et avantages. (ok) {Florent Carral et Julie Tacheau}
#* Présentation des Honeypots (ok) {Adiche Rafik et Jean-François Michel-Patrique}

== Sujets d'exposés pour l'année 2010/2011 ==

# Les exposés auront lieu le mercredi 23/3/2011 après-midi, et jeudi 24/3/2011 à partir de 13h30 selon le nb d'exposés. Prévoir 15min d'exposé, suivi de 5min de questions. L'ordre proposé est celui ci-dessous. N'hésitez pas à échanger entre vous.

#* Sécurité des réseaux sans fils (ok) { ZHONG Jie et GONZALEZ Miguel }
#* La cyberguerre (ok) { SOUBEYRAND Martin et ROBART Laetitia }
#* Le principe de VPN et les attaques de VPN (ok) { DU Peng }
#* La signature numérique (ok) { DJEDDI Abdelkader }
#* Présentation de quelques attaques informatiques et quelques solutions proposées pour y remédier dans les réseaux P2P (ok) { Lila Zane et Ouhemmi }
#* Sécurité dans les cartes à puce (ok) { LAGHA Youssef et Nodari }
#* Evolution de la cryptologie à travers les âges (ok, mais vaste !) { DEBAENE Aurélien et VINCENT Christophe }
#* Biométrie (ok) { ZANE Bania et MENTDAHI Houda }
#* Comparaison de différents logiciels de crackage (ok) { AMBLARD Mathieu }
#* Construire des bons mots de passe { Liu Siqi }
#* La Machine Enigma (ok) { JULLIAN-DESAYES Jeremy et GARDET Nicolas }
#* Calculateurs quantiques et applications en cryptographie { BORCARD Justine et CATHELIN Gaël }
#* Présentation des Honeypots {Adiche Rafik et Jean-François Michel-Patrique}

== Déroulement (2009/2010) ==

Les exposés se feront dans l'ordre suivant. Vous pouvez vous mettre d'accord entre vous pour échanger.

# Lundi 14/12 après-midi
#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
# Mardi 15/12 après-midi
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONNET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
# Mercredi 16/12 après-midi
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Securité des réseaux sans fils (ok) {Tounkara Mounina et Philippe Monteiro}

== Sujets d'exposés pour l'année 2009/2010 ==

#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Fuites de donnée en entreprise (ok) {Tounkara Mounina et Philippe Monteiro}
#* PGP et la sécurité de l'information {Cyrille Mortier}

== Sujets d'exposés pour l'année 2008/2009 ==

Les exposés auront lieu le vendredi 30/1 de 8h à 12h (4CANTONS - 64) et de 13h30 à 17h30 (4CANTONS - 65). Les exposés sont à faire par binôme (ou monôme) et doivent durer 20 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

#* Les Protocoles de sécurité dans les réseaux WiFi (WEP et WPA) <<<< { Mickaël Wang & Arnaud Villevieille } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/Securite-wifi.pdf PDF]
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison { Anis HADJALI & Vlad VESA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/analyse-securite.pdf PDF]
#* Google Hacking { Julien ARNOUX & Jeremy DEPOIL } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ghack.pptx PPTX]
#* Virus et antivirus { Mehdi M. et Christophe M. }
#* 3DSecure { Natalia Lecoeur & Cindy Chiaberto } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/3D_Secure.pdf PDF]
#* Sécurité sous Linux en entreprise { Joël Leroy Ebouele & Barbier Keller }
#* Techniques et outils de chiffrements de partitions [Valat Sebastien & Bouleis Romain]
#* IP Spoofing et DNS Spoofing { Alberic Martel & Fabien Dezempte ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ip-dns-spoofing.ppt PPT]
#* PRA le Plan de Reprise d'Activité {Achraf AMEUR}
#* Les attaques médiatisées sur les systèmes informatiques {Renneville Guybert et Fabrice Noraz}
#* La gestion des DRM {Petithory Thomas & Paccard Charléric}
#* L'introduction SSL,SSH { Julien Roche & Yi Wang }

== Sujets d'exposés pour l'année 2007/2008 ==

Exposés le mardi 26/2 de 8h15 à 11h30 et le mercredi 27/2 de 8h15 à 11h30. Les exposés sont à faire par binôme et doivent durer 25 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

# Sujets d'exposés (propositions, à étoffer)
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Presentation_cryptologie_PAVLOU_DALLA_COSTA_512.mov MOV]
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Cryptologie_et_securite_informatique_-_Fernandes.pdf PDF]
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Les_attaques_mediatisees_-_PIPARO_HUMBERT.pdf PDF]
#* La mise en place de la sécurité informatique au niveau national et international : CERTs, sites AntiSPAM
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Expose_securite_sur_le_XSS_-_Roche_et_Serra.pdf PDF]
#* Virus et antivirus
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, CIMINERA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Watermarking_Ciminera_Maeseele.pdf PDF]
#* La gestion des DRM
#* Les certificats (PGP, X509) et les infrastructures de gestion de clés
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* IPsec
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/presentation_VIALA_FOLLIET.pdf PDF]
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/OpenBSD_-_Revelin-Errochdi.pdf PDF]
#* Sécurité GPRS <<<<<< (PEHME et REY) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Securite_GPRS_-PEHME_REY.pdf PDF]
# Planning des exposés Mardi 12/2/2008
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES}
# Mardi 27/2/2008, 8h15 -> 11h30
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI)
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA}
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA }
# Planning des exposés Mercredi 28/2/2008, 8h15 -> 11h30
#* Sécurité GPRS <<<<<< (PEHME et REY)
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT }
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE )
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, ??? }