Comprendre les algorithmes de cryptage

À l’origine, on trouve les techniques de cryptage manuelles, ou chiffrement, utilisées depuis des siècles. C’est pourquoi le terme chiffre ou chiffrement est souvent synonyme d’algorithme de cryptage. Un chiffre stream (en flux continu) crypte des flux de données non formatées, comme une diffusion audio ou vidéo, un bit ou un octet à la fois. Ces algorithmes de cryptage ne sont pas abordés dans cet article. Un chiffre block, (par blocs) traite le texte en clair et renvoie un texte chiffré en blocs de longueur fixe. Le cryptage se répète avec autant de blocs que nécessaire pour traiter la totalité du message en clair. Le chiffrement par blocs basique a été amélioré par le chaînage : chaque bloc suivant dépend des blocs précédents.

Comprendre les algorithmes de cryptage

Certains des premiers algorithmes ne pouvaient pas crypter de gros blocs de données. Un des premiers chiffrages par blocs élaborés dans les années 1970 est le Data Encryption Standard (DES). Sa première mouture utilisait une clé de cryptage de 56 bits pour crypter des blocs de 64 bits. On estimait alors que 56 bits suffisaient pour protéger des données sensibles. Au fil des ans, les hackers sont parvenus à percer cet algorithme par la force brutale, c’est-à-dire en essayant un maximum de clés. Le Gouvernement U.S. a aussitôt renforcé DES avec une clé de 168 bits, une variante appelée Triple DES (TDES). DES a été remplacé officiellement en tant que standard national en 2002 par l’Advanced Encryption Standard, ou AES, même si TDES est encore utilisé commercialement. Pour la protection des cartes de crédit, les deux algorithmes les plus répandus aujourd’hui sont AES et TDES.

•    AES : c’est l’algorithme en vogue.  Il est jugé très efficace parce qu’il permet une clé de cryptage atteignant 256 bits. Si vous mettez en oeuvre une nouvelle solution PCI, utilisez-le.
•    Triple DES (TDES ou 3DES) : basé sur le chiffrement par blocs DES, TDES recrypte les données cryptées deux fois de plus en utilisant l’algorithme DES, avec trois clés de cryptage uniques. On peut donc le considérer comme une clé à 168 bits. Il est approuvé jusqu’en 2030 pour des données gouvernementales sensibles.

La clé de cryptage est vraiment au coeur de tout algorithme de cryptage des données.

Toute liste de règles de conformité fera souvent référence à la gestion de la clé de cryptage, plus qu’à l’algorithme de cryptage lui-même. C’est véritablement la « clé du coffre, » dont l’accès doit être jalousement protégé et surveillé.

Les clés créées par l’utilisateur ne sont généralement pas jugées sûres. En effet, elles ont tendance à favoriser les caractères du milieu du clavier, et un clavier ne peut pas comporter la totalité d’un jeu de caractères, comme des caractères hexadécimaux non affichables. Les clés utilisateur ont aussi tendance à être courtes ou faciles à deviner, ou les deux, donc vulnérables. Par conséquent, il est beaucoup plus sûr de faire générer une clé aléatoire au système, à partir d’une phrase de passe fournie par utilisateur. Une phrase de passe est une sorte de très long mot de passe. Un système acceptera une phrase de passe et lui appliquera un processus pour générer une clé aléatoire. La même phrase de passe générera la même clé aléatoire. C’est important parce que les données ou les fichiers cryptés passeront sûrement d’un système à un autre. Dans ce cas, la phrase de passe sera réentrée pour générer les mêmes clés.

La puissance de la clé dépend beaucoup de sa longueur. Plus la clé est longue et plus il est difficile de la deviner par force brutale. D’une manière générale, plus la clé est longue et plus l’algorithme effectue d’itérations, rendant chaque fois les données très différentes de leur valeur originale.

Les clés de cryptage sont elles-mêmes souvent cryptées et stockées dans un magasin de clés, et les magasins peuvent eux aussi être imbriqués. Donc, il y a au moins deux types de clés dans une entreprise, selon le nombre de magasins de clés imbriqués. La hiérarchie est la suivante :

1.    Master encryption key (MEK) (clé de cryptage maîtresse) : utilisée pour crypter les clés dans le magasin de clés, qui servent pour crypter et décrypter les données proprement dites. On l’appelle aussi key encryption key (KEK) (clé de cryptage de clés).
2.    Data encryption key (DEK) (clé de cryptage de données) : utilisée pour crypter et décrypter les données dans un vaste environnement de production. Il peut y avoir plus d’une DEK en service en même temps.

Types de données demandant le cryptage

Sur les anciens systèmes d’information, il était habituel de ne crypter les données que quand elles circulaient dans des environnements jugés peu sûrs, comme Internet ou les circuits de données publics. Mais beaucoup de menaces—y compris les virus, les attaques en interne, et les défauts de logiciel—planent sur les données même quand elles se trouvent dans des bases de données d’entreprise présumées sûres. C’est pourquoi il est à présent crucial—et d’ailleurs exigé par PCI—que les données sensibles soient cryptées même quand elles sont stockées.

Bien entendu, les numéros de cartes de crédit et de sécurité sociale (aux États-Unis) doivent être cryptés. Mais, plus largement, toutes les données réputées sensibles doivent l’être aussi. Et au fur et à mesure que les stratégies de sécurité se renforcent, l’étendue des données sensibles s’élargit. Les exemples sont nombreux : identifications et mots de passe de connexion à des sites web, codes d’alarme, information sur les salaires, numéros de comptes bancaires, et numéros de cartes d’identité. Par ailleurs, certaines branches d’activité ont leur propre liste de types de données considérées sensibles, au-delà de PCI.