Greboca  

Blog de Stéphane Bortzmeyer  -  RFC 9155: Deprecating MD5 and SHA-1 signature hashes in (D)TLS 1.2

 -  Décembre 2021 - 

Vous le savez certainement déjà, car toutes les lectrices et tous les lecteurs de ce blog sont très attentif·ves et informé·es, mais les algorithmes de condensation MD5 et SHA-1 ont des failles connues et ne doivent pas être utilisés dans le cadre de signatures. Vous le savez, mais tout le monde ne le sait pas, ou bien certain·es ont besoin d'un document « officiel » pour agir donc, le voici : notre RFC dit qu'on ne doit plus utiliser MD5 et SHA-1 dans TLS.

Si vous voulez savoir pourquoi ces algorithmes sont mauvais, le RFC 6151 vous renseignera (et la section 1 de notre RFC 9155 vous donnera une bibliographie récente).

La section 2 à 5 sont le cœur du RFC et elle est sont très simples : pas de MD5, ni de SHA-1 pour les signatures. Dans le registre IANA, ces algorithmes sont désormais marqués comme déconseillés.

Les fanas de cryptographie noteront qu'on peut toujours utiliser SHA-1 pour HMAC (où ses faiblesses connues n'ont pas de conséquences).

par Stéphane Bortzmeyer

Blog de Stéphane Bortzmeyer

RFC 9184: BGP Extended Community Registries Update

 -  21 janvier - 

Les « communautés étendues » de BGP, des attributs d'une annonce de route avec BGP, sont enregistrées dans des registres IANA, décrits par le RFC (...)


Amusant problème DNS Orange/Oléane/Google

 -  19 janvier - 

Les résolveurs DNS utilisés entre autres par Orange Business Services renvoient l'adresse locale localhost (127.0.0.1) pour des noms chez Google. (...)


RFC 9124: A Manifest Information Model for Firmware Updates in Internet of Things (IoT) Devices

 -  15 janvier - 

On le sait, la sécurité des gadgets nommés « objets connectés » est abyssalement basse. Une de raisons (mais pas la seule, loin de là !) est l'absence (...)


The orphan tsunami of 1700

 -  12 janvier - 

Le 26 janvier 1700, un tsunami a frappé le Japon et a été dûment enregistré dans les textes de l'époque. Mais ceux-ci se sont également étonnés de (...)


Tester les performances d'un service REST

 -  5 janvier - 

J'ai eu récemment à tester un service REST, pour ses performances mais aussi pour sa robustesse, et ça a été l'occasion de faire un rapide tour des (...)