Différencier un message chiffré d'un message aléatoire [AES]

Le
Kevin Denis
Bonjour,

Quelles méthodes existent permettant de différencier un message chiffré
d'un message aléatoire?

Demandé autrement, et plus précisément pour AES, est ce que la
distribution des octets en sortie est aléatoire, proche de l'aléatoire
ou dépendant de l'entrée?

Merci
--
Kevin
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Paul Gaborit
Le #6782641
À (at) 05 Jun 2008 11:21:15 GMT,
Kevin Denis
Quelles méthodes existent permettant de différencier un message chiffré
d'un message aléatoire?


Ça dépend de la méthode de chiffrage.

Demandé autrement, et plus précisément pour AES, est ce que la
distribution des octets en sortie est aléatoire, proche de l'aléatoire
ou dépendant de l'entrée?


La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée
(sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne
dispose pas de la clé, cette sortie est a priori indistinguable d'une
sortie aléatoire de taille équivalente.

--
Paul Gaborit -
xtof.pernod
Le #6785471
Quelles méthodes existent permettant de différencier un message chiffré
d'un message aléatoire?


Pour RC4, j'ai lu qu'il existe un algorithme qui le distingue d'un flux
aléatoire, en un nombre fini bien qu'assez grand de pas. C'était un
papier sur l'attaque du WEP (je peux essayer de le retrouver)

Comme quoi ce type d'algorithme peut exister, dans certains cas précis..

--
christophe.

Jean-Marc Desperrier
Le #6860421
xtof.pernod wrote:
Quelles méthodes existent permettant de différencier un message chiffré
d'un message aléatoire?


Pour RC4, j'ai lu qu'il existe un algorithme qui le distingue d'un flux
aléatoire, en un nombre fini bien qu'assez grand de pas. C'était un
papier sur l'attaque du WEP (je peux essayer de le retrouver)

Comme quoi ce type d'algorithme peut exister, dans certains cas précis..


Oui, dans les cas précis où l'algorithme de chiffrement utilisé est
cassé ... RC4 n'est pas cassé dans le cas général, mais il l'est en
pratique pour toutes les applications où les précautions d'emploi (assez
draconiennes) ne sont pas totalement respectées, dont le WEP.


Kevin Denis
Le #6877851
Le 05-06-2008, Paul Gaborit

Demandé autrement, et plus précisément pour AES, est ce que la
distribution des octets en sortie est aléatoire, proche de l'aléatoire
ou dépendant de l'entrée?


La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée
(sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne
dispose pas de la clé, cette sortie est a priori indistinguable d'une
sortie aléatoire de taille équivalente.

C'est bien ce 'a priori' qui me pose des questions.

J'ai lu que truecrypt remplit de données aléatoires un volume avant
utilisation.
Les données sont ensuite chiffrées par AES dans ce volume.
Le site de truecrypt précise qu'il n'est pas possible de différencier
un volume chiffré d'un volume aléatoire.
Or une suite aléatoire doit répondre à certaines propriétés, entre
autre que la distribution des données soit uniforme.

Dans le cas de données chiffrées par truecrypt, la distribution des
données ne serait donc pas uniformes, et donc une étude statistique
devrait permettre de différencier un volume contenant des données
aléatoires d'un volume contenant des données chiffrées par truecrypt.

C'est pour cette raison que je pose la question, et je me demandais
si quelqu'un avait réalisé une étude sur ce point.
--
Kevin


mpg
Le #6885351
Le (on) mardi 10 juin 2008 20:32, Kevin Denis a écrit (wrote) :

Le 05-06-2008, Paul Gaborit
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée
(sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne
dispose pas de la clé, cette sortie est a priori indistinguable d'une
sortie aléatoire de taille équivalente.

C'est bien ce 'a priori' qui me pose des questions.



Il me semble que le « a priori » signifie : si le procédé de chiffrement est
bon et pas (encore) cassé. Sauf erreur, c'est presque une définition d'un
algo de chiffrement sûr : sans la clé, le chiffré ne doit pas apporter plus
d'information à un potentiel attaquant que du bruit blanc.

Le site de truecrypt précise qu'il n'est pas possible de différencier
un volume chiffré d'un volume aléatoire.


Donc ils disent que la sortie d'AES ressemble à s'y méprendre à de
l'aléatoire.

Dans le cas de données chiffrées par truecrypt, la distribution des
données ne serait donc pas uniformes, et donc une étude statistique
devrait permettre de différencier un volume contenant des données
aléatoires d'un volume contenant des données chiffrées par truecrypt.

Qu'entends-tu par ne serait pas uniforme ? Il me semble au contraire que la

doc affirme qu'elle l'est, d'une part, et d'autre par qu'elle l'est
réellement.

Manuel.


C'est pour cette raison que je pose la question, et je me demandais
si quelqu'un avait réalisé une étude sur ce point.



Kevin Denis
Le #6913311
Le 10-06-2008, mpg
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée
(sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne
dispose pas de la clé, cette sortie est a priori indistinguable d'une
sortie aléatoire de taille équivalente.

C'est bien ce 'a priori' qui me pose des questions.



Il me semble que le « a priori » signifie : si le procédé de chiffrement est
bon et pas (encore) cassé. Sauf erreur, c'est presque une définition d'un
algo de chiffrement sûr : sans la clé, le chiffré ne doit pas apporter plus
d'information à un potentiel attaquant que du bruit blanc.

Il y a une doc qui spécifie ce genre de concepts?


Le site de truecrypt précise qu'il n'est pas possible de différencier
un volume chiffré d'un volume aléatoire.


Donc ils disent que la sortie d'AES ressemble à s'y méprendre à de
l'aléatoire.

Oui, mais entre ressembler et l'être réellement, cela fait une différence.


Dans le cas de données chiffrées par truecrypt, la distribution des
données ne serait donc pas uniformes, et donc une étude statistique
devrait permettre de différencier un volume contenant des données
aléatoires d'un volume contenant des données chiffrées par truecrypt.

Qu'entends-tu par ne serait pas uniforme ?



Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me
semble être un point relativement sur. Maintenant, si elle n'est pas
aléatoire, de quel type est cette suite d'octets?

Il me semble au contraire que la
doc affirme qu'elle l'est, d'une part, et d'autre par qu'elle l'est
réellement.

Quelle doc? Celle de truecrypt?

--
Kevin



Mathieu SEGAUD
Le #6916531
Kevin Denis
Qu'entends-tu par ne serait pas uniforme ?


Une suite d'octets chiffrés par AES ne peut pas être aléatoire.


si elle l'est. Prends un texte long, genre une nouvelle, ou même un
livre. Chiffre-le avec AES et fais un traitement statistique de la
sortie. Tu auras un bruit blanc. A partir de ce moment-là, je ne vois
pas comment tu peux le discerner d'un bruit blanc "réel" si tu ne
connais pas le clair.

sinon, évidemment que ce n'est pas aléatoire en "vrai", sinon ça
n'aurait aucun sens, AES ne serait pas LE chiffre choisi comme le
standard de chiffre sûr et on ne serait pas en train de discuter de
ça. J'ai du mal à voir où tu veux en venir.

--
Mathieu


A. Caspis
Le #6916521
Kevin Denis wrote:
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me
semble être un point relativement sur. Maintenant, si elle n'est pas
aléatoire, de quel type est cette suite d'octets?


Il y a une notion de "cryptographically-strong pseudo-randomness".
En gros, ça veut dire que ça passe tous les tests statistiques
d'aléa connus et réalisables en pratique.

Evidemment on peut toujours définir le test irréaliste suivant:
Etant donné 1 Mo qui est a priori soit de l'aléatoire parfait,
soit du chiffré AES128, je déchiffre avec les 2^128 clés possibles;
pour chaque résultat, je mesure la distribution des octets, des
paires d'octets successifs, etc; si je m'aperçois qu'une des 2^128
distributions diverge de l'aléa, j'en conclus que les 1 Mo sont du
texte chiffré, avec une probabilité très proche de 1.


Comme l'indiquait Paul Gaborit, il faut faire attention à la méthode
de chiffrage. Par exemple si on chiffre deux blocs identiques en ECB,
on obtient deux blocs chiffrés identiques, ce qui ne ressemble pas
à de l'aléa. Même en CBC, si l'IV est trop prédictible, on peut avoir
des surprises.

AC

Kevin Denis
Le #6933421
Le 11-06-2008, A. Caspis
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me
semble être un point relativement sur. Maintenant, si elle n'est pas
aléatoire, de quel type est cette suite d'octets?


Il y a une notion de "cryptographically-strong pseudo-randomness".
En gros, ça veut dire que ça passe tous les tests statistiques
d'aléa connus et réalisables en pratique.

D'accord. Je vais creuser cette notion de cryptographically-strong

pseudo-randomness.

Evidemment on peut toujours définir le test irréaliste suivant:
Etant donné 1 Mo qui est a priori soit de l'aléatoire parfait,
soit du chiffré AES128, je déchiffre avec les 2^128 clés possibles;
pour chaque résultat, je mesure la distribution des octets, des
paires d'octets successifs, etc; si je m'aperçois qu'une des 2^128
distributions diverge de l'aléa, j'en conclus que les 1 Mo sont du
texte chiffré, avec une probabilité très proche de 1.


Comme l'indiquait Paul Gaborit, il faut faire attention à la méthode
de chiffrage. Par exemple si on chiffre deux blocs identiques en ECB,
on obtient deux blocs chiffrés identiques, ce qui ne ressemble pas
à de l'aléa. Même en CBC, si l'IV est trop prédictible, on peut avoir
des surprises.

Ok

--
Kevin


Emile
Le #7042851
On 5 juin, 13:21, Kevin Denis

Quelles méthodes existent permettant de différencier un message chiff ré
d'un message aléatoire?




Peut-on dire que si on ne sait pas mettre en défaut le caractère
aléatoire des blocs chiffrés d'un algorithme de chiffrement, il ne
sera jamais possible d'effectuer une cryptanalyse linéaire ou
differentielle pour casser la clef ? Autrement dit, une cryptanalyse
ne sera possible que si on peut déjà détecter un défaut du caract ère
aléatoire des blocs chiffrés.

Merci,

Emile
Publicité
Poster une réponse
Anonyme