Qwanturank

Les développeurs de deux bibliothèques de code open source pour Secure Shell, qui est le protocole utilisé par des millions d’ordinateurs pour créer des connexions chiffrées, ont décidé de ne plus prendre en charge l’algorithme de hachage sécurisé 1 (SHA-1) en raison de problèmes de sécurité croissants.

Comme indiqué par Ars Technica, les développeurs utilisant les bibliothèques OpenSSH et Libssh ne pourront plus utiliser SHA-1 pour signer numériquement les clés de chiffrement à l’avenir. Dans ses notes de version, OpenSSH a expliqué pourquoi il ne prendrait plus en charge SHA-1, en disant:

«Il est désormais possible d’effectuer des attaques avec préfixe choisi contre l’algorithme SHA-1 pour moins de 50 000 USD. Pour cette raison, nous désactiverons par défaut l’algorithme de signature de clé publique « ssh-rsa » dans une version proche. Cet algorithme est malheureusement encore largement utilisé malgré l’existence de meilleures alternatives, étant le seul algorithme de signature de clé publique restant spécifié par les RFC SSH d’origine.

SHA-1 est une fonction de hachage cryptographique qui a été développée pour la première fois en 1995. Elle est utilisée pour produire des «résumés» de hachage de 40 caractères hexadécimaux chacun et ces résumés sont censés être distincts pour chaque message, fichier et fonction qui les utilise.

Collisions de hachage

Une collision est un terme cryptographique utilisé pour décrire le moment où deux entrées ou plus génèrent le même condensé de sortie et les chercheurs ont commencé à avertir que SHA-1 devenait de plus en plus vulnérable aux collisions il y a près d’une décennie.

En 2017, SHA-1 a été victime d’une attaque par collision dont la production a coûté 110000 $, ce qui a conduit un certain nombre de navigateurs, d’autorités de certification de confiance et de systèmes de mise à jour logicielle à abandonner l’algorithme, bien que certains services et logiciels l’aient utilisé malgré le risque.

Cependant, en janvier de cette année, les chercheurs ont montré qu’une attaque par collision encore plus puissante pouvait être lancée pour seulement 45 000 $. Cette attaque avec préfixe choisi a montré qu’il est possible de modifier une entrée existante et de se retrouver avec le même hachage SHA-1 et un attaquant pourrait utiliser cette méthode pour modifier des documents ou des logiciels afin de contourner les vérifications d’intégrité basées sur SHA-1.

Alors qu’OpenSSH et Libssh ne prendront plus en charge SHA-1, l’algorithme de chiffrement est toujours pris en charge dans les versions récentes d’OpenSSL.

Nous avons également mis en évidence les meilleurs services VPN

Via Ars Technica

by Agence Qwanturank