SHA512 contre Blowfish et Bcrypt

Il suffit de dire si bcrypt ou SHA-512 (dans le contexte d'un algorithme approprié comme PBKDF2) est assez bon. Et la réponse est oui, l'un ou l'autre des algorithmes est suffisamment sécurisé pour qu'une violation se produise via une faille de mise en œuvre, et non une analyse cryptographique.

Si vous tenez à savoir qui est "meilleur", SHA-512 a fait l'objet d'études approfondies par le NIST et d'autres. C'est bien, mais des failles ont été reconnues qui, bien que non exploitables à présent, ont conduit à la compétition SHA-3 pour de nouveaux algorithmes de hachage. De plus, gardez à l'esprit que l'étude des algorithmes de hachage est "plus récente" que celle des chiffrements, et que les cryptographes en apprennent toujours davantage.

Même si bcrypt dans son ensemble n’a pas fait l’objet d’un examen aussi minutieux que Blowfish lui-même, j’estime qu’être basé sur un chiffrement avec une structure bien comprise lui confère une sécurité inhérente qui manque à l’authentification par hachage. En outre, il est plus facile d'utiliser des GPU courants comme outils pour attaquer les hachages basés sur SHA-2; En raison de ses besoins en mémoire, l'optimisation de bcrypt nécessite un matériel plus spécialisé, tel que le FPGA, doté d'une mémoire vive intégrée.

Remarque: bcrypt est un algorithme qui utilise Blowfish en interne. Ce n'est pas un algorithme de chiffrement en soi. Il est utilisé pour masquer les mots de passe de manière irréversible, tout comme les fonctions de hachage sont utilisées pour effectuer un "hachage à sens unique".

Les algorithmes de hachage cryptographique sont conçus pour être impossibles à inverser. En d'autres termes, étant donné que la sortie d'une fonction de hachage, il devrait falloir "pour toujours" pour trouver un message qui produira la même sortie de hachage. En fait, il devrait être impossible, sur le plan des calculs, de trouver deux messages produisant la même valeur de hachage. Contrairement à un chiffrement, les fonctions de hachage ne sont pas paramétrées avec une clé; la même entrée produira toujours la même sortie.

Si quelqu'un fournit un mot de passe qui hache la valeur stockée dans la table des mots de passe, il est authentifié. En particulier, en raison de l’irréversibilité de la fonction de hachage, il est supposé que l’utilisateur n’est pas un attaquant qui a mis la main sur le hachage et l’a inversé pour trouver un mot de passe valide.

Considérons maintenant bcrypt. Il utilise Blowfish pour chiffrer une chaîne magique, en utilisant une clé "dérivée" du mot de passe. Plus tard, lorsqu'un utilisateur entre un mot de passe, la clé est à nouveau dérivée et si le texte chiffré produit en chiffrant avec cette clé correspond au texte chiffré stocké, l'utilisateur est authentifié. Le texte chiffré est stocké dans la table "mot de passe", mais la clé dérivée n'est jamais stockée.

Afin de casser la cryptographie ici, un attaquant devrait récupérer la clé du texte chiffré. C'est ce qu'on appelle une attaque de type "texte en clair connu", car l'attaque connaît la chaîne magique qui a été cryptée, mais pas la clé utilisée. Blowfish a fait l'objet de nombreuses études et aucune attaque permettant à un attaquant de trouver la clé avec un seul texte en clair n'est connue.

Ainsi, tout comme les résumés cryptographiques basés sur des algorithmes irréversibles, bcrypt produit une sortie irréversible, à partir d'un mot de passe, d'un sel et d'un facteur de coût. Sa force réside dans la résistance de Blowfish aux attaques en texte clair connues, ce qui est analogue à une "première attaque de pré-image" sur un algorithme d'empreinte numérique. Puisqu'il peut être utilisé à la place d'un algorithme de hachage pour protéger les mots de passe, bcrypt est appelé, de façon confuse, un algorithme de "hachage" lui-même.

En supposant que les tables Rainbow aient été contrecarrées par l'utilisation correcte du sel, toute fonction véritablement irréversible ramène l'attaquant à des essais et à des erreurs. Et la vitesse à laquelle l’attaquant peut effectuer des essais est déterminée par la vitesse de cet algorithme irréversible de "hachage". Si une seule itération d’une fonction de hachage est utilisée, un attaquant peut effectuer des millions d’essais par seconde avec un équipement coûtant environ 1000 $, en testant tous les mots de passe de 8 caractères au maximum en quelques mois.

Cependant, si la sortie du résumé est "renvoyée" des milliers de fois, il faudra des centaines d'années pour tester le même ensemble de mots de passe sur ce matériel. Bcrypt réalise le même effet de "renforcement de clé" en effectuant une itération dans sa routine de dérivation de clé. Une méthode appropriée, basée sur le hachage, telle que PBKDF2, fait de même. à cet égard, les deux méthodes sont similaires.

Ainsi, ma recommandation de bcrypt découle des hypothèses 1) selon lesquelles un Blowfish est soumis à un niveau de contrôle similaire à celui de la famille de fonctions de hachage SHA-2 et 2) que les méthodes cryptanalytiques des chiffrements sont plus développées que celles des fonctions de hachage.