[Tuto] Hashage Et Cryptage

    Publicités

Users Who Are Viewing This Thread (Total: 0, Members: 0, Guests: 0)

Héraclès

Membre
Feb 11, 2017
19
0
1
Bonjour à tous

Dans ce tutoriel nous allons voir les différents systèmes de Hashage et Cryptage.

Introduction

Pour comprendre la différence entre les algorithmes de hashage (md5,sha1..) et les algorithmes de
chiffrement (appelé aussi "cryptage"), il faut comprendre cette notion :
Les algorithmes de hashage tels que le MD5 ou SHA-1 sont irréversibles il est donc théoriquement
impossible d'effectuer une opération de reversing (consiste à utiliser l'algorithme dans le sens
opposé, permettant de passer d'un texte chiffré à un texte brut). Quant aux algorithmes de
chiffrement ils sont déchiffrable avec clé(s) / ou sans clé (tout dépend de l'algorithme utilisé).


Les Algorithmes De Hashage

MD5 : possède 32 caractères basée sur la séquence (ou pattern) hexadécimal tel que [a-zA-Z0-9].

SHA1 : même séquence que le MD5 mais sur 40 caractères.
Les Algorithmes De Chiffrement

Base 64 : il n'est pas pas soumis à une limite concrète de longueur, en effet tout comme le système
décimal (base 10), binaire (base 2), octal (base 8) ou encore hexadécimal (base 16), il peut atteindre
une longueur très longue (tout dépend de la chaine initialement demandée). Il est basé sur un pattern
de 63 caractères tels que [A-Za-z0-9+/] et d'un caractère de complément (bourrage ou padding), à
savoir le "=".

DES : possède 13 caractères et utilise de nombreux caractères (lettres,slash,points).
Malgré le nombre important de caractères utilisables dans cette algorithme, certaines chaînes
peuvent être composés uniquement de lettres et chiffres.
Morse : composé uniquement de "." et de "-"
Chaque caractère est transformer en une suite de "." et "-".

ROT13 : c'est une variante du chiffrier de César, c'est un algorithme très simple de chiffrement de
texte. Comme son nom l'indique, il s'agit d'un décalage de 13 caractères de chaque lettre du texte à
chiffrer. L'avantage de ROT13, c'est le fait que le décalage soit de 13 : Comme l'alphabet comporte
26 lettres le même«algorithme» sert à la fois pour chiffrer et pour déchiffrer. Il est encore utilisé
dans les logiciels de messagerie ou, dans un forum, on souhaite cacher une réponse à une question
posé.

ROT47 : c'est une variante de ROT13 qui permet de chiffrer les lettres, les chiffres, et les autres
caractères spéciaux. ROT47 se base sur le code ASCII, qui assigne à chaque symbole un nombre. Il
utilise les nombres dans l’intervalle 33 à 126, similaire au point d’exclamation (« ! ») et au symbole
tilde (« ~ »). Ensuite, selon le même principe que le ROT13, il effectue une rotation de 47 lettres.
Le fait d’utiliser plus de symboles que le ROT13 va permettre un brouillage plus efficace.
Pour les autre algorithmes tel que l'atom-128, le megan35 le fonctionnement est similaire à celui de
la base64, à l'exception de quelques particularités qui ne sont pas toujours présentes (par exemple le
"+" dans le atom-128 qui a été rajouté mais qui utilise un codage similaire au base64)Déchiffrer, Casser, Deviner ?
Base64, morse et autres chiffrements sans clés sont réversibles très facilement en utilisant des outils
adaptés, par exemple via ce site.

DES : c'est un chiffrement avec clé symétrique, les méthodes d'attaque possible sont la cryptanalyse
différentielle, l'attaque-T (Tickling attack), la cryptanalyse linéaire, le compromis temps-mémoire.
MD5, SHA-1 : ce sont des algorithmes de hashage, en d'autres termes, ils consiste à obtenir une
empreinte d'un chaîne de caractère (un fichier est considéré comme une chaîne de caractère ^^),
ainsi il est normalement impossible d'obtenir une empreinte identique pour deux chaînes différentes
(possible vu la longueur maximale de caractères). Sachant cela, pour trouver la chaîne à l'origine
d'une empreinte, il existe plusieurs techniques dont voici les 3 plus utilisées :

1. Les "Rainbow Tables"

Une structure de données pour retrouver un mot de passe à partir de son empreinte.
Avantage : Gain de temps en cas d'utilisation d'un mot de passe connu et donc présent dans cette
table
Inconvénients : L'efficacité des tables diminue de façon significative lorsque les fonctions de
hachage sont combinées à un sel, le sel ("salt") est une chaîne concaténée au mot de passe avant son
chiffrement. Cette opération de salage rend la chaîne quasiment impossible à trouver via une
Rainbow Table.

2. L'attaque par force brute (brute-force)

Permet à partir d'un outil de pseudo-génération, de tester toute les possibilités en réutilisant
l'algorithme utilisé jusqu'à trouver la même empreinte.
Avantages : Garantie d'un résultat, possibilité d'utiliser le bruteforce distribué en synchronisant
plusieurs machines pour effectuer la tâche de manière déléguée.
Inconvénients : Compromis temps-mémoire-énergie, EDF vous remerciera, en effet cette technique
peut tourner pendant des jours voire même des années avant de trouver la bonne chaîne.

3. Les "Cloud Crackers"

Ces sites proposent un service de cracking de vos empreintes algorithmiques, en utilisant soit les
Rainbow Tables soit le brute-force, ils se chargent pour vous de retrouver la chaîne à l'origine de
votre empreinte.
Avantages : Économie d’énergie, de temps et donc d'argent, plus de compromis mémoire.
Inconvénients : Résultat sans garantie, quotas possibles.
Certains sont payants car ils vous garantissent un résultat, d'autres sont ouverts au public sans
inscription ni paiement en voici une liste non exhaustive :

crackmyhash.com
crackhash.com
cracker.offensive-security.com
hashkiller.co.uk


Si dans une situation, vous n'arrivez pas à distinguer un algorithme de chiffrement, vous pouvez
tenter d'utiliser un outil dédié à cela, il se nommeCodeDetective, il est disponible en open source sur la plateforme Github, je vous conseille donc de
jeter un coup d’œil aux sources Son utilisation est très simple : Ce lien n'est pas visible, veuillez vous connecter pour l'afficher. Je m'inscris!
python codetective.py '<la clé issue d'un algo>'

Maintenant je vous donne un liens qui va vous permettre d'identifier des hash sur un site basé sur HashTag.py ( le liens pour ceux qui ne connaisse pas Hashtag.py en python : Ce lien n'est pas visible, veuillez vous connecter pour l'afficher. Je m'inscris!)

le site : Hash identification

Ce lien n'est pas visible, veuillez vous connecter pour l'afficher. Je m'inscris!

Vous pourrez faire plein d'autre chose sur le site :

Password/Hashes Crack
Hash generator
Hash identification
crack wpa dump
Follow my tasks
Microsoft Office Crack : Word, Excel or Powerpoint password recovery
Follow my tasks


Voilà, le thread touche à sa fin.

En espérant avoir aidé quelques personnes un peux pommé dans ce domaine.

Bonne journée sur CG3,
A bientôt pour de nouveaux tuto !
Héraclès.

Je tien à remercie mon pote Fredi, pour l'aide qu'il ma apporté sur ce tutoriel