PORTAILS DE L'ADMINISTRATION Gouvernement Service public Légifrance
Portail officiel de la sécurité informatique - ANSSI - République française

Portail officiel de la sécurité informatique - ANSSI - République française

Fiches techniques

Générer ses clés

11 décembre 2009  11:01
Qui est concerné ? Particuliers
Combien de temps faut-il ? 10 minutes
Quel gain ? Savoir générer une clé de borne d’accès Wi-Fi

Générer sa clé de protection

Par abus de langage, on parle souvent de "mot de passe" pour protéger l’accès Wi-Fi. En fait, il s’agit d’une clé de chiffrement qui doit être la plus longue possible pour éviter des attaques par recherche exhaustive parmi toutes les clés. Toutefois, la génération d’une telle clé, qui doit bien sûr être aléatoire, n’est pas aisée pour le particulier. Nous vous proposons donc l’interface ci-dessous pour vous aider dans cette étape.


de caractères.
Reporter la valeur ci-dessous dans l'interface de configuration de votre borne d'accès Wi-Fi. Vous pouvez double-cliquer pour la sélectionner dans son entier.

Note : Cette méthode est applicable à tout dispositif qui utilise des clés pré-partagées (Pre-shared Keys ou PSK). Ceci est notamment le cas des dispositifs de connexion réseau par CPL (courant porteur en ligne), mais aussi de certaines configurations IPsec.

Comment cela fonctionne ?

Le texte que vous tapez se veut aléatoire. Toutefois, quelle que soit l’attention que vous pourrez porter à saisir des caractères aléatoires, dans la plupart des cas, les caractères saisis présenteront des propriétés statistiques non souhaitables. Pour pallier ce défaut, il est possible d’utiliser une fonction de hachage cryptographique qui présente en outre l’avantage d’avoir une valeur de sortie de taille fixe. Ce type de fonction présente de bonnes propriétés mathématiques pour fabriquer une clé.

En l’occurence, la fonction utilisée s’appelle SHA256 [1] et elle a été élaborée par le NIST (National Institute of Standards and Technology) [2]. L’implantation de cette fonction est réalisée en JavaScript (voir le script) : elle est donc exécutée sur votre navigateur, dès lors que vous aurez activé le JavaScript. Cette implantation est disponible sur l’internet et est due à Angel Marin [3]. La définition de la fonction par le NIST est complétée par deux exemples [4] qui permettent de vérifier son implantation :

Texte saisi Résultat
abc BA7816BF 8F01CFEA 414140DE 5DAE2223 B00361A3 96177A9C B410FF61 F20015AD
abcdbcdecdefdefgefghfghighijhijkijkljklmklmnlmnomnopnopq 248D6A61 D20638B8 E5C02693 0C3E6039 A33CE459 64FF2167 F6ECEDD4 19DB06C1

Attention toutefois à deux particularités :
- Le texte saisi est utilisé intégralement par la fonction. Il ne faut donc saisir aucun espace ni retour chariot pour espérer obtenir le résultat attendu.
- Sur cette interface, le dernier caractère n’apparaît pas car la taille maximale d’une clé WPA sur certaines implantations est de 63 caractères, là où la fonction de hachage en délivre 64).

La clé ainsi générée possède une entropie théorique de 252 bits, car elle comprend 63 caractères hexadécimaux (0 à 15) codés sur 4 bits. Cette entropie est largement suffisante car elle est supérieure à l’entropie réelle des clés utilisées dans le protocole WPA2 (128 bits).

Réf. Contenu
1 SHA256
2 NIST
3 jsSHA2 par Angel Marin
4 Exemples du NIST pour SHA256

RÉPUBLIQUE FRANÇAISE | SGDSN | ANSSI © 2011 | Informations éditeur