Sécurité SHA-1 Private Internet Access

L’opérateur VPN Private Internet Access assure préserver la sécurité SHA-1 Private Internet Access qui n’est pas impacté par le fait que se trouve SHA-1 cassé. Le problème reste sous surveillance du fournisseur de VPN mais cela n’a pour le moment aucun impact sur la sécurité.

Sécurité SHA-1 Private Internet Access

Faiblesse hachage SHA-1

Google et le CWI ont annoncé dans un billet de blog avoir trouvé une technique pour casser la fonction de hachage SHA-1. Pour faire simple, il s’agit d’une manière d’attribuer une chaîne de caractères à un document pour l’authentifier formellement. En principe, cette chaîne de caractères est censée être suffisamment longue et aléatoire pour qu’elle ne puisse pas être dédoublée. En théorie deux documents ne devraient pas pouvoir entrer en collision, c’est-à-dire avoir le même hash. Cela repose sur le constat que la puissance de machines n’est pas suffisante pour établir une collision. Private Internet Access veut rassurer ses utilisateurs en précisant que l’attaque actuelle sur SHA-1 n’est pas une attaque sur HMAC-SHA1.

Sécurité SHA-1 Private Internet Access

Private Internet AccessEst-ce que cela remet en cause la sécurité SHA-1 Private Internet Access ? HMAC est un type spécifique de messagerie authentification qui utilise une fonction de hachage. Cependant, malgré son utilisation de la fonction de hachage, sa sécurité est nettement plus forte que la sécurité de la fonction de hachage sous-jacente utilisée. Le manque de protection contre les collisions sur SHA-1 n’implique pas une absence de garantie de HMAC-SHA1.

Chez Private Internet Access, l’authentification paquet arrive avec HMAC-SHA-1 et est donc épargné par les problèmes de sécurité trouvées par l’attaque de collision sur SHA-1. Donc, pour l’instant PIA ne compte pas déprécier l’utilisation de HMAC-SHA1. L’opérateur VPN compte néanmoins garder un oeil sur l’évolution d’une indication d’une pause sur HMAC-SHA1 et passeront au HMAC-SHA256 si cela paraît nécessaire.

Gardez à l’esprit que vous pouvez également modifier vos paramètres de chiffrement sur l’onglet « Chiffrement » dans le logiciel VPN si vous voulez passer votre connexion pour plutôt utiliser SHA256 HMAC, parmi d’autres choix de chiffrement des données. Toutes les utilisations de certificats SHA-256 ou plus et ne sont donc pas concernés par cette attaque de collision.

>> Visiter le site Internet de Private Internet Access