Veille Technologique SÃ©curitÃ© - cert devoteam

More documents

Recommendations

Info

OCTOBRE 2009 ACTUALITES SECURITE NIST – UN RAPPORT SUR LES RESULTATS DU PREMIER TOUR DE LA COMPETITION SHA-3 La découverte en 2005 d’une vulnérabilité dans l’algorithme de condensation SHA-1 conduisait l’organisme de normalisation américain - le NIST - à recommander son abandon au profit d’un autre algorithme, dit SHA-2. Ce dernier était normalisé sous la forme de quatre modes opératoires travaillant sur différentes tailles de bloc de données: SHA-224, SHA-256, SHA-384 et SHA- 512. En 2007, la réévaluation de la norme FIPS 180-2 ‘Secure Hash Standard’ et des 4 modes opératoires du SHA-2, confirmait son applicabilité jusqu’en 2012, année de la prochaine réévaluation. Le NIST avait toutefois déjà décidé de préparer l’avenir en engageant, dès 2006, une campagne destinée à spécifier un remplaçant en tenant compte des avancées en matière de cryptographie mais aussi de cryptanalyse. La marge de temps dégagée par cette décision a pu être mise à profit pour mener une campagne de sélection et d’analyse des algorithmes existants, ou en cours de développement, et ceci à travers le monde. Le NIST a retenu le principe d’une mise en compétition de ces algorithmes, ce principe ayant donné d’excellents résultats en 2001 dans le cadre de la sélection d’AES, le successeur de l’algorithme normalisé de chiffrement DES. L’année 2007 aura été consacrée à la spécification des conditions régissant cette compétition dont les principes de sélection et les critères d’évaluation. La clôture de la période de soumission – 1 er novembre 2008 – marque le début du premier tour de la compétition. Sur les 64 algorithmes qui ont initialement proposés, 51 ont été étudiés, commentés, améliorés durant les premiers mois de l’année, pour aboutir à l’annonce, le 24 juillet dernier, de la sélection des 14 candidats qui s’affronteront dans un second tour. Le rapport que vient de publier le NIST détaille les conditions dans lesquelles s’est déroulé ce premier tour de la compétition en se focalisation sur les raisons ayant conduit à retenir tel ou tel algorithme pour le second tour. Aucune justification n’est hélas fournie sur le rejet des autres algorithmes hormis le fait que certains d’entres-eux aient été, entre temps, cassés ou ne répondaient pas aux exigences initiales d’acceptation dont celles d’être compatible avec les quatre tailles de blocs du SHA-2: 224, 256, 384 et 512 bits. Soumissions Concepteur Status BLAKE Jean-Philippe Aumasson Retenu BlueMidnight Wish Svein Johan Knapskog Retenu CubeHash D. J. Bernstein Retenu ECHO Henri Gilbert Retenu Fugue Charanjit S. Jutla Retenu Grøstl Lars Ramkilde Knudsen Retenu Hamsi Ozgul Kucuk Retenu JH Hongjun Wu Retenu Keccak Joan Daemen Retenu Luffa Dai Watanabe Retenu Shabal Jean-Francois Misarsky Retenu SHAvite-3 Orr Dunkelman Retenu SIMD Gaetan Leurent Retenu Skein Bruce Schneier Retenu ARIRANG Jongin Lim Eliminé AURORA Masahiro Fujita Eliminé Blender Dr. Colin Bradbury Eliminé Cheetah Dmitry Khovratovich Eliminé CHI Phillip Hawkes Eliminé CRUNCH Jacques Patarin Eliminé Dynamic SHA Xu Zijie Eliminé Dynamic SHA2 Xu Zijie Eliminé ECOH Daniel R. L. Brown Eliminé EDON-R Danilo Gligoroski Eliminé EnRUPT Sean O’Neil Eliminé ESSENCE Jason Worth Martin Eliminé FSB Matthieu Finiasz Eliminé LANE Sebastiann Indesteege Eliminé Lesamnta Hirotaka Yoshida Eliminé LUX Ivica Nikolic Eliminé MCSSHA-3 Mikhail Maslennikov Eliminé MD6 Ronald L. Rivest Eliminé NaSHA Smile Markovski Eliminé SANDstorm Rich Schroeppel Eliminé Sarmal Kerem VARICI Eliminé Sgàil Peter Maxwell Eliminé Spectral Hash Cetin Kaya Koc Eliminé SWIFFTX Daniele Micciancio Eliminé TIB3 Daniel Penazzi Eliminé Twister Michael Gorski Eliminé Vortex Michael Kounavis Eliminé Abacus Neil Sholer Cassé BOOLE Greg Rose Cassé DCH David A. Wilson Cassé Khichidi-1 M Vidyasagar Cassé MeshHash Björn Fay Cassé SHAMATA Orhun Kara Cassé StreamHash Michal Trojnara Cassé Tangle Rafael Alvarez Cassé WaMM John Washburn Cassé Waterfall Bob Hattersley Cassé Veille Technologique Sécurité N°135 Page 2/35 © DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009 Le sommaire de ce rapport de 21 pages est le suivant: 1 Introduction 2 Evaluation Criteria and the Selection Process 2.1 Acceptance of First Round Candidates 2.2 Evaluation Criteria 2.2.1 Security 2.2.2 Cost and Performance 2.2.3 Algorithm and Implementation Characteristics 2.3 Selection of Second Round Candidates 3 Summary of Second Round Candidates 3.1 BLAKE 3.2 BLUE MIDNIGHT WISH (BMW) 3.3 CubeHash 3.4 ECHO 3.5 Fugue 3.6 Grøstl 3.7 Hamsi 3.8 JH 3.9 Keccak 3.10 Luffa 3.11 Shabal 3.12 SHAvite 3.13 SIMD 3.14 Skein 4 Conclusion and Next Steps 5 References POUR PLUS D’INFORMATION http://csrc.nist.gov/groups/ST/hash/sha-3/index.html http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/documents/sha3_NISTIR7620.pdf CLUSIF – LA SECURITE DES APPLICATIONS WEB Le CLUSIF vent de publier un nouveau dossier technique de 20 pages sur la sécurité des applications WEB, sujet qu’il convient en effet de porter à l’attention du plus grand nombre, et en particulier auprès des prescripteurs, et des responsables métiers lesquels ne sont pas toujours des spécialistes des systèmes d’information. Le sommaire de ce dossier est le suivant: 1 Introduction 2 Les technologies WEB, incontournables mais porteuses de nouveaux risques Des technologies omniprésentes Des environnements exposés Des réglementations et des responsabilités Le rôle du management 3 Sécurité des applications WEB, mythes et réalités Mythe 1 ‘Sans demande particulière, le développeur me fournira une solution sécurisée’ Mythe 2 ‘Seuls des génies de l’informatique savent exploiter les failles des applications WEB’ Mythe 3 ‘Mon site WEB est sécurisé puisqu’il est protégé par SSL’ Mythe 4 ‘Je suis protégé contre les attaques, j’ai un Firewall’ Mythe 5 ‘Une faille sur une application interne n’est pas importante’ 4 Les principales failles des applications WEB La gestion incorrecte de l’authentification, des habilitations et du contrôle d’accès Les failles de type ‘injection’ Les fuites d’information 5 Quelles bonnes pratiques pour mettre en œuvre une application WEB sécurisée Formation et sensibilisation Identification des besoins et appréciation des risques Conception et implémentation ‘Recette’ de la sécurité 6 Vérification de la sécurité d’une application WEB Pourquoi vérifier ? Comment vérifier ? Automatisation Quand vérifier la sécurité d’une application Web 7 Prise en compte des développements externalisés 8 Références POUR PLUS D’INFORMATION http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf Veille Technologique Sécurité N°135 Page 3/35 © DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
Page 1: Veille Technologique Sécurité Rap
Page 5: OCTOBRE 2009 Le mot du rédacteur L
Page 9 and 10: OCTOBRE 2009 supports amovibles, DL
Page 11 and 12: OCTOBRE 2009 Avec ce numéro s’ac
Page 13 and 14: T OCTOBRE 2009 futurs - EFR - par l
Page 15 and 16: OCTOBRE 2009 METHODOLOGIES ET STAND
Page 17 and 18: OCTOBRE 2009 insistant toutefois su
Page 19 and 20: OCTOBRE 2009 A ce niveau d’avance
Page 21 and 22: OCTOBRE 2009 Smart Quantum SQDefend
Page 23 and 24: OCTOBRE 2009 - classe D réservée
Page 25 and 26: OCTOBRE 2009 - DPA Contest 2008 - 2
Page 27 and 28: OCTOBRE 2009 codes obscurcis. Les a
Page 29 and 30: OCTOBRE 2009 SP800-68r1 Guidance fo
Page 31 and 32: OCTOBRE 2009 RAY 4 1.1.1 17/04/09 1
Page 33 and 34: OCTOBRE 2009 IETF - LES NOUVEAUX DR

Veille Technologique SÃ©curitÃ© - cert devoteam

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?