Discussion :

[chess132]

Tr�s urgent

je voulu crypter le mot de passe avant qu il va vers le serveur, c est pourquoi je doit utiliser un cryptage assymetrique (cl� priv�/public) je veux crypter le mot de passe avec javaScript on utilisant cl� public et le d�crypter dans le serveur (PHP) en utilisant un cl� priv�...qlq un il a des script deja pr� pour site usage

Merci en avance

[SpaceFrog]

par exemple ...

[SpaceFrog]

m'enfin tout chiffrage en javascript ressemble plutot � un jeu ...

[Mr N.]

un jeu ? Pourquoi donc ?

Un autre exemple --plus pertinent

[SpaceFrog]

parce que en g�n�ral tr�s facilement dechiffrable ...
sauf si le resultat est le nom du fichier de destination ...

[SpaceFrog]

oul� MD5 ou comment installer une usine � gaz ....

[SpaceFrog]

il faut en fait chiffrer en javascript avec une cl� sur la date ins�r�e dans le message chiffrer et dechiffrer cot� serveur.

[Mr N.]

oul� MD5 ou comment installer une usine � gaz ....

Usine � gaz, usine � gaz, ... L'algo de cryptage n'est pas forc�ment simple, et quand c'est une question de s�curit�.... Bon certes il vaut mieux passer par du https mais bon, je trouve que c'est une bonne alternative...
Quand � md5, je pr�viligierais sha1...

[SpaceFrog]

perso je privil�gie de chiffrages maison avec cl�f sur la date ...
la cl�f est ensuite noy�e dans le message chiffr� puis r�cup�r�e cot�e serveur afin de d�chiffre le message ...
avantage ... jamais le meme message ...
le probl�me du MD c'est qu'il y a de freeware de dechiffrage ...

[Mr N.]

perso je privil�gie de chiffrages maison avec cl�f sur la date ...
la cl�f est ensuite noy�e dans le message chiffr� puis r�cup�r�e cot�e serveur afin de d�chiffre le message ...
avantage ... jamais le meme message ...

Si je sniffe tes messages, j'obtient apparement toutes les infos n�cessaires pour d�crypter ton message (la date + l'algo) apr�s il manque des infos mais je te les demanderais pas, j'ai pas envie de te pourrir ton syst�me de s�curit�.
Mais il faut pas r�ver, si feu md5, sha1, et cie sont si "uzine � gaz" comme tu dis c'est pas pour rien et c'est apperemment par ce que se baser sur la date n'est pas suffisant...

le probl�me du MD c'est qu'il y a de freeware de dechiffrage ...

C'est pourquoi je prefere sha1, jusqu'� nouvel ordre

[Celelibi]

Bonjour chess132,

Pour commencer il est de tr�s mauvais go�t de commencer un message par "Tr�s urgent" (en plus avec une faute d'orthographe). Bref.
Premi�re question : pouquoi vouloir chiffrer le mot de passe chez le client ?
Si tu me dis que c'est par parano�a pour pas que quelqu'un qui intercepte le mdp puisse s'identifier, et bien sache que quelque soit le cryptage utilis� �a ne sert � rien.


SpaceFrog et Mr N. je crois que vous n'avez pas bien compris le principe de la cryptographie asym�trique.
Le principe est qu'on a une cl� publique avec laquelle on ne peut que chiffrer des message, et pas d�chiffrer ; et le destinataire a une cl� priv� avec laquelle il peut d�chiffrer les messages. La cl� publique est g�n�r� � partir de la cl� priv�, mais � partir de la cl� publique on peut peut pas retrouver la cl� priv� (ou du moins c'est tr�s difficile).
Un exemple de chiffrage asym�trique est le RSA.

m'enfin tout chiffrage en javascript ressemble plutot � un jeu ...

Ceci est partiellement faux, si l'algo est bon le fait qu'il soit en javascript ou autre ne change rien. Je crois que tu pensais plut�t � une protection javascript o� le mdp chiffr� est compar� au bon mdp chiffr� en javascript.

perso je privil�gie de chiffrages maison avec cl�f sur la date ...
la cl�f est ensuite noy�e dans le message chiffr� puis r�cup�r�e cot�e serveur afin de d�chiffre le message ...
avantage ... jamais le meme message ...
le probl�me du MD c'est qu'il y a de freeware de dechiffrage ...

Cr�er son algo de chiffrage perso est certainement une des plus mauvaise chose � faire en cryprographie, car � moins que tu ai fait des �tudes de math�matiques pouss�s et que tu sois totalement au courrant des attaques possibles sur un cryptogramme, tout cryptosyst�me que tu peux cr�� sera d'une faiblesse que tu n'imagine m�me pas.
Le md5 ne se d�chiffre pas, et il est d'alleur ind�chiffrable et ce pour la simple et bonne raison que dans le hash md5 on a non pas le texte chiffr�, mais des donn�es qui ont �t�s chiffr�s avec comme "cl� partielle" le texte d'entr�. J'ai pass� quelques semaines sur le md5 pour finir par me rendre compte qu'il n'�tait pas d�chiffrable.
Le fait qu'il existe des soft de brut-for�age de md5 gratuit n'entame en rien la s�curit� qu'offre cet algo. En effet, si c'est la seul chose qui te pousse � cr�er ton propre algo, je me ferais un malin plaisir de cr�er un soft de d�chiffrage.
La secr�cit� d'un algorithme ne fait que donner une illusion de s�curit�.

Question : Pourquoi le RSA est-il tellement utilis� � travers le monde alors qu'on connait ses baiblesses et comment l'attaquer ?
Et bien justement parcequ'on sait comment l'attaquer et on sait aussi que pour factoriser une cl� publique (pour retrouver la cl� priv�e) il faut parfois plusieurs ann�es m�me avec un cluster de 500 supercalculateurs.

C'est pourquoi je prefere sha1, jusqu'� nouvel ordre

Nan mais faut arr�ter de r�ver, il existe des soft pour brut-forcer � peu pr�s tout et n'importe quoi.
� partir du moment o� un nouvel algo avec la mention "super-s�curis�" voir le jour il ne faut pas plus de quelques jours pour voir apparaitre les premiers prog de brut-force.

note : le brut-force est une technique qui consiste � tester toutes les combinaisons de caract�res possibles, de les chiffrer et de les comparer au hash que l'on veut d�chiffrer.
Ceci car on suppose les fonctions de hashage injective.
C'est � dire que par exemple on suppose que si md5($texta) == md5($textb) alors $texta == $textb.
M�me si ce n'est pas vrai dans l'absolu, on consid�re que les risques de collision sont tr�s minces.



Bref, tout �a pour dire que cr�er son propre algo �a ne sert � rien, et chiffrer des mdp en javascript ne sert � rien non plus. Si on veut un minimum de s�curit� il faut s'orienter vers https.


Voici un petit exemple d'une fonction de hashage pour ceux qui ne croieraient pas en l'irr�versibilit� :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
function shuf(a, msg, idx) {
	ret = a^msg;
	for (i=0; i < (msg+idx*7) % 0x20; i++) {
		ret = ret << 1 | ret >>> 0x1f;
	}
	return ret;
}
 
function hash(texte) {
	var msg = new Array(0x0f);
	for (i=0; i<0x0f; i++) {
		msg[i] = (17*i) % 0xff;
	}
	for (i=0; i<texte.length; i++) {
		msg[i % 0x0f] += (texte.charCodeAt(i)*7) % 0xff;
	}
 
	var a = 0x98abcdef;
	for (i=0; i<0x0f; i++) {
		a = shuf(a, msg[i], i);
	}
 
	return a.toString(16);
}

C'est un peu cod� � l'arrache, pas test� et grandement inspir� de md5, mais je ne penses pas � premi�re vue qu'il soit facile de retrouver le texte de d�part lorsqu'on dispose du hash d'arriv�.
Cet exemple de fonction de hashage � simplement pour but de montrer qu'en connaissant l'algorithme de chiffrage il n'est pas forc�ment facile (ni m�me possible) de remonter au texte de d�part et qu'il n'est pas toujours possible de remonter "� l'envers" la fonction qui a g�n�r� le hash en question.

[chess132]

j ai trouv� dans ce site http://shop-js.sourceforge.net/crypto2.htm un cryptge RSA mais ils font cryptage et le d�cryptage avec javascript...pour le moment je vais utiliser le dechiffrement de mot de passe en utilisant SHA1 http://pajhome.org.uk/crypt/md5/ en attendant qu j utilise SSL...merci de votre aide