Le National Institute of Standards and Technology (NIST) des États-Unis, une agence du ministère du Commerce, annoncé jeudi qu’il retire officiellement l’algorithme cryptographique SHA-1.
SHA-1abréviation de Secure Hash Algorithm 1, a 27 ans fonction de hachage utilisé en cryptographie et a depuis été jugé cassé en raison du risque de attaques par collision.
Alors que les hachages sont conçus pour être irréversibles – ce qui signifie qu’il devrait être impossible de reconstruire le message d’origine à partir du texte chiffré de longueur fixe – le manque de résistance aux collisions dans SHA-1 a permis de générer la même valeur de hachage pour deux entrées différentes.
En février 2017, un groupe de chercheurs du CWI Amsterdam et de Google divulgué la première technique pratique pour créer des collisions sur SHA-1, sapant efficacement la sécurité de l’algorithme.
« Par exemple, en créant les deux fichiers PDF en collision sous la forme de deux contrats de location avec des loyers différents, il est possible de tromper quelqu’un pour qu’il crée une signature valide pour un contrat à loyer élevé en lui faisant signer un contrat à loyer modique », a déclaré le des chercheurs a dit à l’époque.
Les attaques cryptanalytiques sur SHA-1 invité Le NIST en 2015 a demandé aux agences fédérales américaines de cesser d’utiliser l’algorithme pour générer des signatures numériques, des horodatages et d’autres applications nécessitant une résistance aux collisions.
Selon le programme de validation des algorithmes cryptographiques du NIST (CAVP), qui organise une liste d’algorithmes cryptographiques approuvés, il existe 2 272 bibliothèques accrédités depuis janvier 2018 et qui prennent toujours en charge SHA-1.
En plus d’exhorter les utilisateurs à s’appuyer sur l’algorithme pour migrer vers SHA-2 ou SHA-3 pour sécuriser les informations électroniques, le NIST recommande également que SHA-1 soit entièrement supprimé d’ici le 31 décembre 2030.
« Les modules qui utilisent encore SHA-1 après 2030 ne seront pas autorisé à l’achat par le gouvernement fédéral « , a déclaré Chris Celi, informaticien du NIST. « Les entreprises ont huit ans pour soumettre des modules mis à jour qui n’utilisent plus SHA-1. »