Les truands, la « Brute Force » et le HashCash

le 06/04/2005, par Marc Olanié, , 263 mots

En simplifiant à l'extrême -les experts ne nous le pardonneront jamais- Hashcash est une méthode consistant à insérer dans un échange un calcul de clef de cryptage tellement long et complexe qu'il rend impossible toute opération répétitive intensive. L'on peut ainsi imaginer l'adjonction d'un timbre pour email utilisant hashcash : Qu'un polluposteur tente d'expédier 10 000 pourriels, et il devra consommer 10 000 fois « n » secondes pour générer les 10 000 timbres nécessaires à l'envoi de ses courriers faisandés. Cette méthode était mentionnée en août dernier dans un article de Hal Finney qui présentait son programme Rpow. Tout comme les « one time pad », le hashcash est une solution miracle qui présente quelques inconvénients, ce qui alimente d'inépuisables discussions opposant mathématiciens et cryptoanalystes de haut vol. Mais le sujet passionne toujours. Et notamment Gunter Ollman, Directeur des Services Professionnels chez NGSS. Ollman vient à ce sujet de rédiger un white paper d'une douzaine de pages, expliquant simplement ce qu'implique une telle « méthode de contrainte de temps de calcul », et ceci dans le cadre des mécanismes d'authentification Web. Lors de sessions de payement électronique, par exemple. Le mémorandum s'intitule Anti Brute Force Ressource Metering. Le sous-titre de l'article est un peu plus explicite : Comment diminuer les risques d'attaque en Brute Force contre les serveurs d'applications Web en recourant aux mesures de ressources. Strictement aucune connaissance mathématique n'est nécessaire pour comprendre les propos de l'auteur. C'est là de la bonne, de la très bonne vulgarisation. De celles qui font croire que l'on a tout compris, ou presque, tout en laissant entendre que la maîtrise intime des mécanismes n'est pas si simple que çà.

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »