Nouvelle version annuelle pour le langage de développement web, avec d'importantes évolutions, surtout sur le chiffrement.
L'extension Mcrypt est ainsi supprimée tandis que libsodium fait son entrée, comme prévu. Elle s'appuie des primitives décrites comme modernes, et qui ont l'avantage de ne pas être passées entre les mains du NIST (National Institute of Standards and Technology), lié à la NSA.
Parmi les autres nouveautés, on trouve une amélioration des constantes TLS, l'objet typehint, le comptage des objets « non-comptables », ou encore la disponibilité de HasContext sous forme d'objet.
Commentaires (2)
#1
qui ont l’avantage de ne pas être passées entre les mains du NIST (National Institute of Standards and Technology), lié à la NSA
" />
On a envie de dire un peu “LOL” en lisant ce propos, car l’AES est issu d’un concours organisé par le NIST aussi, et est utilisé partout. Tout la communauté scientifique des cryptographe a participé et a évalué les différentes propositions ; si l’algorithme était jugé peu sûr, ça serait paru dans des publications, à l’image de ce qui s’est passé avec le DES.
#2
Pas mieux.
La cryptographie est le domaine de l’informatique dans lequel il est le plus facile d’être à côté de la plaque. Ne pas suivre les standards et faire son frichti dans son coin est moyen le plus sûr d’être à côté de la plaque.
Les standards NIST tels qu’AES et SHA n’ont pas - selon des gars comme Bruce Schneier (qui n’est pas spécialement connu comme l’ami de la NSA et que j’ai personnellement la faiblesse de considéré comme fiable) - de faille connue exploitable. Si on exclut évidemment des attaques par collision sur des versions affaiblies à 12 tours au lieu de 16, qui nécessiteraient 2^78 essais au lieu de 2^80, en disposant d’une mémoire de la taille de la Terre pour quelques millions d’années - et tout ça pour trouver que le password est 42.