Fonction de Hachage

Les fonctions de hachage utilisent les données informatiques (en format binaire) et leur applique des fonctions non linéaires et non réversibles ayant un fort effet avalanche (le résultat est très différent même si les données d'entrée sont très similaire). L'empreinte numérique est généralement renvoyée sous forme de caractères hexadécimaux.

Exemple : dCode a pour hash MD5 e9837d47b610ee29399831f917791a44

Exemple : dCode a pour empreinte SHA1 15fc6eed5ed024bfb86c4130f998dde437f528ee

Exemple : dCode a pour empreinte SHA256 254cd63ece8595b5c503783d596803f1552e0733d02fe4080b217eadb17711dd

Voir les pages de dCode pour chaque fonction de hachage pour connaitre son fonctionnement en détail : MD5, SHA1, SHA256, etc.

Le principe du hash est de ne pas être réversible, il n'existe pas d'algorithme de déchiffrement, c'est d'ailleurs pour celà qu'ils sont utilisés pour le stockage des mots de passe : un enregistrement chiffré et non déchiffrable.

Exemple : 123+456=579, à partir de 579 comment retrouver 123 et 456 ? Ce n'est pas possible sauf en essayant toutes les combinaisons possibles.

Les fonctions de hashage appliquent des millions de fois des opérations non réversibles afin que les données en entrée ne soient pas retrouvables.

Les fonctions de hachage sont créées pour ne pas être déchiffrables, leurs algorithmes sont publics. Le seul moyen de déchiffrer un hash est de disposer de la donnée en entrée.

Théoriquement, en testant toutes les chaines binaires en entrée (tous les mots de passe par exemple), il est possible de stocker tous les résultats dans un dictionnaire. dCode utilise ses bases de données de mots et mots de passe avec des hashs pré-calculés. Ces dictionnaires s'appellent des tables arc-en-ciel (rainbow tables).

Il est donc possible tester tous les mots d'un dictionnaire pour vérifier si leur empreinte correspond à celle recherchée.

Si le mot n'est pas dans le dictionnaire, alors il n'y aura pas de résultat.

Un hash peut prendre de multiples formes, mais les plus classiques sont des chaines hexadécimales : 32 caractères 0123456789abcdef pour le MD5, 40 pour le SHA-1, 64 pour le SHA-256, etc.

Le système de codage basé sur bcrypt utilise le symbole $ suivi d'un chiffre indiquant l'algorithme utilisé et ses éventuels paramètres.

Les tables arc-en-ciel (gigantesques bases de données de correspondances entre hash et mot de passe) s'agrandissant de jour en jour et accumulant les mots de passe dérobés sur divers sites, et profitant des performances de calculs des ordinateurs, permettent aujourd'hui de déchiffrer les mots de passes courts/passwords en quelques minutes/heures.

Afin de contrer cette technique, il est recommandé d'ajouter du sel (des caractères en préfixe ou en suffixe) au mot de passe. De cette manière, les tables précalculées doivent à nouveau être calculées afin de tenir compte du sel (salt en anglais) qui modifie toutes les empreintes, c'est l'étape de salage.

Exemple : MD5(dCode) = e9837d47b610ee29399831f917791a44 et MD5(dCodeSUFFIX) = 523e9a807fc1d2766c3e3d8f132d4991

Le cout est la mesure des ressources nécessaires pour calculer un hash. Afin de compliquer la tache de création des tables arc-en-ciel, il est possible de complexifier certains hash afin que les calculs prennent plusieurs millisecondes voire secondes, ce qui rend la durée nécessaire aux attaques trop grande pour être applicables.

bcrypt est une bibliothèque de fonctions cryptographiques qui applique des règles de récurrence sur les fonctions de hashage. Nativement, les notions de sel et de cout sont applicables.