Qu'est-ce que SHA-1 ?
SHA-1 (Algorithme de Hachage Sécurisé 1) produit un résumé de 160 bits (40 caractères hexadécimaux). Conçu par la NSA et publié par le NIST en 1995 (FIPS 180-1), il est devenu populaire pour les signatures numériques, les sommes de contrôle de fichiers et les systèmes de contrôle de version.
Remarque de sécurité : SHA-1 est cassé ; utilisez SHA-256, SHA-3 ou BLAKE3 pour les nouveaux systèmes.
Comment fonctionne SHA-1 ?
- Remplissez le message → longueur ≡ 448 (mod 512) bits
- Ajoutez la longueur de 64 bits du message original
- Initialisez cinq mots de 32 bits (A–E)
- Traitez des blocs de 512 bits à travers 80 opérations (quatre tours)
- Sortie du résumé final de 160 bits
État de sécurité
- 2005 — premières attaques théoriques de collision
- 2017 — Google et CWI Amsterdam ont démontré des collisions réelles (‘SHAttered’ PDFs)
- Les navigateurs ne font plus confiance aux certificats TLS SHA-1
- NIST a déprécié SHA-1 pour les signatures numériques en 2011
Exemples de hachages
| Entrée | Hachage SHA-1 |
|---|---|
Bonjour, le monde ! | 0a0a9f2a6772942557ab5355d76af442f8f65e01 |
mot de passe | 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 |
123456789 | f7c3bc1d808e04732adf679965ccc34ca7ae3441 |
| (vide) | da39a3ee5e6b4b0d3255bfef95601890afd80709 |
SHA-1 vs. autres fonctions de hachage
| Algorithme | Sortie | Sécurité | Vitesse |
|---|---|---|---|
| MD5 | 128 bits | ❌ Cassé | ⚡ Très rapide |
| SHA-1 | 160 bits | ❌ Compromis | ⚡ Rapide |
| SHA-256 | 256 bits | ✅ Sûr | 🚀 Modéré |
| SHA-3 | Variable | ✅ Très sûr | 🚀 Modéré |
| BLAKE3 | 256 bits | ✅ Sûr | ⚡ Rapide |
Questions fréquentes
SHA-1 est-il sûr pour les mots de passe ?
Non. Utilisez bcrypt, Argon2 ou PBKDF2 à la place.
Qu'est-ce qu'une collision SHA-1 ?
Une collision se produit lorsque deux entrées différentes génèrent le même hachage. Les collisions pratiques ont été démontrées en 2017 par Google et CWI.
Pourquoi Git utilise-t-il encore SHA-1 ?
Le design de Git limite l'exploitabilité, mais le projet migre vers SHA-256.