Fonction de Hachage

Le hachage d'une donnée lui fait correspondre une empreinte qui permet d'identifier avec une grande probabilité la donnée initiale (très utile en informatique et en cryptographie).

Les fonctions de hachage utilisent les données informatiques (en format binaire) et leur appliquent des fonctions non linéaires et non réversibles ayant un fort effet avalanche (le résultat est très différent même si les données d'entrée sont très similaires). L'empreinte numérique est généralement renvoyée sous forme de caractères hexadécimaux.

Le principe du hash est de ne pas être réversible, il n'existe pas d'algorithme de déchiffrement, c'est d'ailleurs pour celà qu'ils sont utilisés pour le stockage des mots de passe : un enregistrement chiffré et non déchiffrable.

Les fonctions de hashage appliquent des millions de fois des opérations non réversibles afin que les données en entrée ne soient pas retrouvables.

Théoriquement, un mode brute-force est possible en testant toutes les chaines binaires, mais un court message de 6 octets représente déjà 281000 milliards de combinaisons. Même avec des processeurs rapides capables de réaliser des millions de calculs de hachage par seconde, plusieurs jours, mois ou années de calculs sont donc nécessaires pour tenter toutes les possibilités afin de retrouver un seul hash.

Cependant, les utilisateurs utilisent généralement toujours les mêmes mots de passe et certains caractères plus que d'autres, il est donc envisageable de stocker les chaines binaires les plus probables et leurs hachages respectifs dans un très grand dictionnaire. Ces dictionnaires s'appellent des tables arc-en-ciel (rainbow tables). Ces tables permettent de tester tous les mots d'un dictionnaire donné pour vérifier si leur empreinte correspond à celle recherchée.

Un hash peut prendre de multiples formes, mais les plus classiques sont des chaines hexadécimales : 32 caractères 0123456789abcdef pour le MD5, 40 pour le SHA-1, 64 pour le SHA-256, etc.

Le système de codage basé sur bcrypt utilise le symbole $ suivi d'un chiffre indiquant l'algorithme utilisé et ses éventuels paramètres.

Les tables arc-en-ciel (gigantesques bases de données de correspondances entre hash et mot de passe) s'agrandissent de jour en jour et accumulent les mots de passe dérobés sur divers sites, et profitant des performances de calculs des ordinateurs, permettent aujourd'hui de déchiffrer les mots de passes courts/passwords en quelques minutes/heures.

Afin de contrer cette technique, il est recommandé d'ajouter du sel (des caractères en préfixe ou en suffixe) au mot de passe. De cette manière, les tables précalculées doivent à nouveau être calculées afin de tenir compte du sel (salt en anglais) qui modifie toutes les empreintes, c'est l'étape de salage, les mots de passe sont dits salés.

Le cout est la mesure des ressources nécessaires pour calculer un hash. Afin de compliquer la tâche de création des tables arc-en-ciel, il est possible de complexifier certains hash afin que les calculs prennent plusieurs millisecondes voire secondes, ce qui rend la durée nécessaire aux attaques trop grande pour être applicables.

bcrypt est une bibliothèque de fonctions cryptographiques qui applique des règles de récurrence sur les fonctions de hashage. Nativement, les notions de sel et de cout sont applicables.