S/Key est un mécanisme de sécurité qui utilise une fonction de hachage cryptographique pour générer une séquence de mots de passe à usage unique de 64 bits pour la connexion à distance des utilisateurs. Ce système est conçu pour améliorer la sécurité des authentifications distantes, en réduisant le risque d’attaques par rejeu (replay attack) et d’interceptions.

Comment fonctionne S/Key ?

Le fonctionnement de S/Key repose sur une séquence de mots de passe à usage unique générés par l’application répétée de la fonction de hachage cryptographique MD4 sur la clé secrète de l’utilisateur. Voici, étape par étape, comment un mot de passe à usage unique est généré et utilisé avec S/Key :

1. Génération de la clé initiale : L’utilisateur commence avec une clé secrète. Cette clé secrète n’est connue que de l’utilisateur lui-même.
2. Application de la fonction de hachage : La clé secrète est soumise à une série d’applications de la fonction de hachage MD4. Chaque application produit une nouvelle valeur de hachage. Si, par exemple, l’utilisateur souhaite générer une séquence de 100 mots de passe à usage unique, la fonction de hachage sera appliquée 100 fois au total.
3. Création des mots de passe à usage unique : Chaque valeur de hachage produite par la fonction MD4 représente un mot de passe à usage unique. Le premier mot de passe de la séquence est le résultat de l’application de la fonction de hachage 100 fois, le deuxième mot de passe est le résultat de 99 applications, et ainsi de suite, jusqu’au dernier mot de passe qui est le résultat d’une seule application de la fonction de hachage sur la clé secrète.
4. Authentification successive : À chaque authentification successive, le nombre d’applications de la fonction de hachage est réduit d’une unité. Cela signifie que chaque nouveau mot de passe utilisé est dérivé d’une version précédemment calculée et ne peut pas être réutilisé.

Avantages de S/Key

1. Sécurité accrue : Comme chaque mot de passe n’est utilisé qu’une seule fois, il est presque impossible pour un attaquant de réutiliser un mot de passe intercepté. Même si un malveillant interceptait un mot de passe, celui-ci aurait déjà été utilisé et serait donc inutilisable.
2. Simplicité de mise en œuvre : Le système S/Key ne nécessite pas de matériel complexe ou de dispositifs de sécurité supplémentaires. Tout ce qui est nécessaire est la capacité de calculer la fonction de hachage MD4, ce qui en fait une option pratique et accessible pour de nombreuses applications.

Inconvénients de S/Key

1. Gestion de la clé secrète : La sécurité du système dépend du secret de la clé initiale. Si cette clé est compromise, l’ensemble de la séquence de mots de passe est en danger.
2. Mémorisation des mots de passe : Dans certaines implémentations, il peut être nécessaire de mémoriser une série de mots de passe générés précédemment, ce qui pourrait entraîner des défis logistiques et de sécurité.

Conclusion

S/Key est une solution efficace pour l’authentification sécurisée dans des contextes distants, exploitant la robustesse des fonctions de hachage cryptographiques pour créer des mots de passe à usage unique résistants aux attaques par interception et par rejeu. Cependant, comme tout mécanisme de sécurité, il nécessite une gestion attentive des clés secrètes et des mots de passe générés pour maintenir son niveau de protection.