Quelle est la seule affirmation exacte à propos des empreintes cryptographiques issues de fonctions de hachage et des sommes de contrôle (checksums) ?
[A] Une somme de contrôle assure l’intégrité, une empreinte cryptographique assure l’authenticité
[B] Les deux peuvent servir à vérifier l’intégrité mais le hachage cryptographique est plus efficace pour éviter les collisions
[C] Les sommes de contrôle protègent uniquement contre les violations d’intégrité accidentelles alors que les empreintes cryptographiques protègent contre toutes les violations d’intégrité qu’elles soient accidentelles ou intentionnelles
[D] Les fonctions de hachage relèvent de la cryptographie alors que les sommes de contrôle relèvent de la stéganographie
Proposition [A] : Une somme de contrôle ne permet pas de garantir l’intégrité en raison de la forte probabilité de collisions. Une empreinte cryptographique ne garantit pas non plus l’authenticité, sauf si elle est couplée à la cryptographie asymétrique pour former une signature numérique.
Proposition [C] : Une fonction de hachage ne permet pas à elle seule de lutter contre une violation d’intégrité intentionnelle. Pour cela il faut soit rajouter une clé secrète (exemple HMAC), soit mettre en œuvre une signature numérique qui consiste à chiffrer l’empreinte avec une clé privée.
Proposition [D] : Les fonctions de hachage relèvent effectivement de la cryptographie mais les sommes de contrôle ne relèvent pas de la stéganographie, qui est l’art de dissimuler des informations.
Proposition [B] : En effet, les deux peuvent servir à vérifier l’intégrité mais le hachage cryptographique est bien plus efficace en raison de ses caractéristiques de dispersion et une meilleure entropie qui lui confère une forte résistance aux attaques par collisions si la taille de l’empreinte est suffisante (typiquement 256 bits ou supérieur).
La bonne réponse est la proposition [B]
Pour en savoir plus sur les fonctions de hachage nous vous recommandons de suivre le module n°7 de notre formation CISSP en distanciel.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE