Qu'est-ce qu'une clé de session?
Une clé de session est une méthode temporaire de cryptage des informations. Lorsqu'un utilisateur ouvre une session de communication, une clé pour cette session particulière est générée. Cette clé est utilisée pour toutes les communications au cours de cette période, puis supprimée à la fin de la session. Les clés de session sont généralement symétriques et relativement simples en ce qui concerne la cryptographie. Cette simplicité constituerait généralement un inconvénient majeur de l’utilisation de la clé, mais étant donné que de nombreuses clés sont utilisées simultanément et que les clés ne sont pas utilisées très longtemps, le problème ne se pose pas autant.
La cryptographie fonctionne à l'aide de clés. Une clé est utilisée pour brouiller ou chiffrer des données et une autre pour la déchiffrer ou la déchiffrer. Lorsque ces touches sont identiques ou du moins très similaires, elles sont symétriques. Lorsque les touches sont très différentes, il s’agit d’un système asymétrique. Dans la plupart des cas, une clé symétrique est moins sécurisée qu'une clé asymétrique car casser une clé ouvre complètement le code.
Les clés de session diffèrent des clés classiques d'une manière majeure; ils sont créés pour exister pendant très peu de temps. Contrairement à une clé normale, qui peut être utilisée sans modification pendant des années, une clé de session ne doit être utilisée que pendant quelques secondes à quelques heures. Par exemple, une clé est générée lorsqu'un utilisateur se connecte pour consulter son courrier électronique, puis est ignorée lorsqu'il se déconnecte. Cela confère à ces clés de nombreux avantages et inconvénients propres à ce style de cryptage.
Leur principal avantage est leur volume. Comme chaque session de communication utilise une clé unique, même une entreprise de taille moyenne peut générer des centaines de clés chaque jour. Le nombre de clés qu'un attaquant potentiel devrait passer au crible pour accéder à des informations importantes est immense. Bien qu’il soit relativement facile de casser une clé de session, la probabilité que cette clé aléatoire contienne des informations importantes est très faible.
L'une des principales influences sur la facilité de rupture de clé est la quantité de matériel crypté pouvant être utilisé à titre de référence. Plus il y a de matériel disponible, plus il est facile de casser. Dans la mesure où une clé de session contient très peu de matériel de référence, la simplicité de la clé est moins importante.
D'autre part, les clés de session sont bien connues pour leurs algorithmes mal conçus et leurs codes facilement cassés. Cela devient particulièrement évident lorsque les attaquants commencent réellement à trouver des modèles dans la génération de clé ou à effectuer un reverse engineering dans leur algorithme. Dans l'un ou l'autre de ces cas, le système de clé de session s'ouvre en grand, ne fournissant aucune sécurité.