Différencier un message chiffré d'un message aléatoire [AES]
11 réponses
Kevin Denis
Bonjour,
Quelles méthodes existent permettant de différencier un message chiffré
d'un message aléatoire?
Demandé autrement, et plus précisément pour AES, est ce que la
distribution des octets en sortie est aléatoire, proche de l'aléatoire
ou dépendant de l'entrée?
À (at) 05 Jun 2008 11:21:15 GMT, Kevin Denis écrivait (wrote):
Quelles méthodes existent permettant de différencier un message chiffré d'un message aléatoire?
Ça dépend de la méthode de chiffrage.
Demandé autrement, et plus précisément pour AES, est ce que la distribution des octets en sortie est aléatoire, proche de l'aléatoire ou dépendant de l'entrée?
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée (sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne dispose pas de la clé, cette sortie est a priori indistinguable d'une sortie aléatoire de taille équivalente.
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 05 Jun 2008 11:21:15 GMT,
Kevin Denis <kevin@nowhere.invalid> écrivait (wrote):
Quelles méthodes existent permettant de différencier un message chiffré
d'un message aléatoire?
Ça dépend de la méthode de chiffrage.
Demandé autrement, et plus précisément pour AES, est ce que la
distribution des octets en sortie est aléatoire, proche de l'aléatoire
ou dépendant de l'entrée?
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée
(sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne
dispose pas de la clé, cette sortie est a priori indistinguable d'une
sortie aléatoire de taille équivalente.
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 05 Jun 2008 11:21:15 GMT, Kevin Denis écrivait (wrote):
Quelles méthodes existent permettant de différencier un message chiffré d'un message aléatoire?
Ça dépend de la méthode de chiffrage.
Demandé autrement, et plus précisément pour AES, est ce que la distribution des octets en sortie est aléatoire, proche de l'aléatoire ou dépendant de l'entrée?
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée (sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne dispose pas de la clé, cette sortie est a priori indistinguable d'une sortie aléatoire de taille équivalente.
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
xtof.pernod
Quelles méthodes existent permettant de différencier un message chiffré d'un message aléatoire?
Pour RC4, j'ai lu qu'il existe un algorithme qui le distingue d'un flux aléatoire, en un nombre fini bien qu'assez grand de pas. C'était un papier sur l'attaque du WEP (je peux essayer de le retrouver)
Comme quoi ce type d'algorithme peut exister, dans certains cas précis..
-- christophe.
Quelles méthodes existent permettant de différencier un message chiffré
d'un message aléatoire?
Pour RC4, j'ai lu qu'il existe un algorithme qui le distingue d'un flux
aléatoire, en un nombre fini bien qu'assez grand de pas. C'était un
papier sur l'attaque du WEP (je peux essayer de le retrouver)
Comme quoi ce type d'algorithme peut exister, dans certains cas précis..
Quelles méthodes existent permettant de différencier un message chiffré d'un message aléatoire?
Pour RC4, j'ai lu qu'il existe un algorithme qui le distingue d'un flux aléatoire, en un nombre fini bien qu'assez grand de pas. C'était un papier sur l'attaque du WEP (je peux essayer de le retrouver)
Comme quoi ce type d'algorithme peut exister, dans certains cas précis..
-- christophe.
Jean-Marc Desperrier
xtof.pernod wrote:
Quelles méthodes existent permettant de différencier un message chiffré d'un message aléatoire?
Pour RC4, j'ai lu qu'il existe un algorithme qui le distingue d'un flux aléatoire, en un nombre fini bien qu'assez grand de pas. C'était un papier sur l'attaque du WEP (je peux essayer de le retrouver)
Comme quoi ce type d'algorithme peut exister, dans certains cas précis..
Oui, dans les cas précis où l'algorithme de chiffrement utilisé est cassé ... RC4 n'est pas cassé dans le cas général, mais il l'est en pratique pour toutes les applications où les précautions d'emploi (assez draconiennes) ne sont pas totalement respectées, dont le WEP.
xtof.pernod wrote:
Quelles méthodes existent permettant de différencier un message chiffré
d'un message aléatoire?
Pour RC4, j'ai lu qu'il existe un algorithme qui le distingue d'un flux
aléatoire, en un nombre fini bien qu'assez grand de pas. C'était un
papier sur l'attaque du WEP (je peux essayer de le retrouver)
Comme quoi ce type d'algorithme peut exister, dans certains cas précis..
Oui, dans les cas précis où l'algorithme de chiffrement utilisé est
cassé ... RC4 n'est pas cassé dans le cas général, mais il l'est en
pratique pour toutes les applications où les précautions d'emploi (assez
draconiennes) ne sont pas totalement respectées, dont le WEP.
Quelles méthodes existent permettant de différencier un message chiffré d'un message aléatoire?
Pour RC4, j'ai lu qu'il existe un algorithme qui le distingue d'un flux aléatoire, en un nombre fini bien qu'assez grand de pas. C'était un papier sur l'attaque du WEP (je peux essayer de le retrouver)
Comme quoi ce type d'algorithme peut exister, dans certains cas précis..
Oui, dans les cas précis où l'algorithme de chiffrement utilisé est cassé ... RC4 n'est pas cassé dans le cas général, mais il l'est en pratique pour toutes les applications où les précautions d'emploi (assez draconiennes) ne sont pas totalement respectées, dont le WEP.
Kevin Denis
Le 05-06-2008, Paul Gaborit a écrit :
Demandé autrement, et plus précisément pour AES, est ce que la distribution des octets en sortie est aléatoire, proche de l'aléatoire ou dépendant de l'entrée?
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée (sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne dispose pas de la clé, cette sortie est a priori indistinguable d'une sortie aléatoire de taille équivalente.
C'est bien ce 'a priori' qui me pose des questions.
J'ai lu que truecrypt remplit de données aléatoires un volume avant utilisation. Les données sont ensuite chiffrées par AES dans ce volume. Le site de truecrypt précise qu'il n'est pas possible de différencier un volume chiffré d'un volume aléatoire. Or une suite aléatoire doit répondre à certaines propriétés, entre autre que la distribution des données soit uniforme.
Dans le cas de données chiffrées par truecrypt, la distribution des données ne serait donc pas uniformes, et donc une étude statistique devrait permettre de différencier un volume contenant des données aléatoires d'un volume contenant des données chiffrées par truecrypt.
C'est pour cette raison que je pose la question, et je me demandais si quelqu'un avait réalisé une étude sur ce point. -- Kevin
Le 05-06-2008, Paul Gaborit <Paul.Gaborit@invalid.invalid> a écrit :
Demandé autrement, et plus précisément pour AES, est ce que la
distribution des octets en sortie est aléatoire, proche de l'aléatoire
ou dépendant de l'entrée?
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée
(sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne
dispose pas de la clé, cette sortie est a priori indistinguable d'une
sortie aléatoire de taille équivalente.
C'est bien ce 'a priori' qui me pose des questions.
J'ai lu que truecrypt remplit de données aléatoires un volume avant
utilisation.
Les données sont ensuite chiffrées par AES dans ce volume.
Le site de truecrypt précise qu'il n'est pas possible de différencier
un volume chiffré d'un volume aléatoire.
Or une suite aléatoire doit répondre à certaines propriétés, entre
autre que la distribution des données soit uniforme.
Dans le cas de données chiffrées par truecrypt, la distribution des
données ne serait donc pas uniformes, et donc une étude statistique
devrait permettre de différencier un volume contenant des données
aléatoires d'un volume contenant des données chiffrées par truecrypt.
C'est pour cette raison que je pose la question, et je me demandais
si quelqu'un avait réalisé une étude sur ce point.
--
Kevin
Demandé autrement, et plus précisément pour AES, est ce que la distribution des octets en sortie est aléatoire, proche de l'aléatoire ou dépendant de l'entrée?
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée (sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne dispose pas de la clé, cette sortie est a priori indistinguable d'une sortie aléatoire de taille équivalente.
C'est bien ce 'a priori' qui me pose des questions.
J'ai lu que truecrypt remplit de données aléatoires un volume avant utilisation. Les données sont ensuite chiffrées par AES dans ce volume. Le site de truecrypt précise qu'il n'est pas possible de différencier un volume chiffré d'un volume aléatoire. Or une suite aléatoire doit répondre à certaines propriétés, entre autre que la distribution des données soit uniforme.
Dans le cas de données chiffrées par truecrypt, la distribution des données ne serait donc pas uniformes, et donc une étude statistique devrait permettre de différencier un volume contenant des données aléatoires d'un volume contenant des données chiffrées par truecrypt.
C'est pour cette raison que je pose la question, et je me demandais si quelqu'un avait réalisé une étude sur ce point. -- Kevin
mpg
Le (on) mardi 10 juin 2008 20:32, Kevin Denis a écrit (wrote) :
Le 05-06-2008, Paul Gaborit a écrit :
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée (sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne dispose pas de la clé, cette sortie est a priori indistinguable d'une sortie aléatoire de taille équivalente.
C'est bien ce 'a priori' qui me pose des questions.
Il me semble que le « a priori » signifie : si le procédé de chiffrement est bon et pas (encore) cassé. Sauf erreur, c'est presque une définition d'un algo de chiffrement sûr : sans la clé, le chiffré ne doit pas apporter plus d'information à un potentiel attaquant que du bruit blanc.
Le site de truecrypt précise qu'il n'est pas possible de différencier un volume chiffré d'un volume aléatoire.
Donc ils disent que la sortie d'AES ressemble à s'y méprendre à de l'aléatoire.
Dans le cas de données chiffrées par truecrypt, la distribution des données ne serait donc pas uniformes, et donc une étude statistique devrait permettre de différencier un volume contenant des données aléatoires d'un volume contenant des données chiffrées par truecrypt.
Qu'entends-tu par ne serait pas uniforme ? Il me semble au contraire que la
doc affirme qu'elle l'est, d'une part, et d'autre par qu'elle l'est réellement.
Manuel.
C'est pour cette raison que je pose la question, et je me demandais si quelqu'un avait réalisé une étude sur ce point.
Le (on) mardi 10 juin 2008 20:32, Kevin Denis a écrit (wrote) :
Le 05-06-2008, Paul Gaborit <Paul.Gaborit@invalid.invalid> a écrit :
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée
(sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne
dispose pas de la clé, cette sortie est a priori indistinguable d'une
sortie aléatoire de taille équivalente.
C'est bien ce 'a priori' qui me pose des questions.
Il me semble que le « a priori » signifie : si le procédé de chiffrement est
bon et pas (encore) cassé. Sauf erreur, c'est presque une définition d'un
algo de chiffrement sûr : sans la clé, le chiffré ne doit pas apporter plus
d'information à un potentiel attaquant que du bruit blanc.
Le site de truecrypt précise qu'il n'est pas possible de différencier
un volume chiffré d'un volume aléatoire.
Donc ils disent que la sortie d'AES ressemble à s'y méprendre à de
l'aléatoire.
Dans le cas de données chiffrées par truecrypt, la distribution des
données ne serait donc pas uniformes, et donc une étude statistique
devrait permettre de différencier un volume contenant des données
aléatoires d'un volume contenant des données chiffrées par truecrypt.
Qu'entends-tu par ne serait pas uniforme ? Il me semble au contraire que la
doc affirme qu'elle l'est, d'une part, et d'autre par qu'elle l'est
réellement.
Manuel.
C'est pour cette raison que je pose la question, et je me demandais
si quelqu'un avait réalisé une étude sur ce point.
Le (on) mardi 10 juin 2008 20:32, Kevin Denis a écrit (wrote) :
Le 05-06-2008, Paul Gaborit a écrit :
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée (sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne dispose pas de la clé, cette sortie est a priori indistinguable d'une sortie aléatoire de taille équivalente.
C'est bien ce 'a priori' qui me pose des questions.
Il me semble que le « a priori » signifie : si le procédé de chiffrement est bon et pas (encore) cassé. Sauf erreur, c'est presque une définition d'un algo de chiffrement sûr : sans la clé, le chiffré ne doit pas apporter plus d'information à un potentiel attaquant que du bruit blanc.
Le site de truecrypt précise qu'il n'est pas possible de différencier un volume chiffré d'un volume aléatoire.
Donc ils disent que la sortie d'AES ressemble à s'y méprendre à de l'aléatoire.
Dans le cas de données chiffrées par truecrypt, la distribution des données ne serait donc pas uniformes, et donc une étude statistique devrait permettre de différencier un volume contenant des données aléatoires d'un volume contenant des données chiffrées par truecrypt.
Qu'entends-tu par ne serait pas uniforme ? Il me semble au contraire que la
doc affirme qu'elle l'est, d'une part, et d'autre par qu'elle l'est réellement.
Manuel.
C'est pour cette raison que je pose la question, et je me demandais si quelqu'un avait réalisé une étude sur ce point.
Kevin Denis
Le 10-06-2008, mpg a écrit :
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée (sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne dispose pas de la clé, cette sortie est a priori indistinguable d'une sortie aléatoire de taille équivalente.
C'est bien ce 'a priori' qui me pose des questions.
Il me semble que le « a priori » signifie : si le procédé de chiffrement est bon et pas (encore) cassé. Sauf erreur, c'est presque une définition d'un algo de chiffrement sûr : sans la clé, le chiffré ne doit pas apporter plus d'information à un potentiel attaquant que du bruit blanc.
Il y a une doc qui spécifie ce genre de concepts?
Le site de truecrypt précise qu'il n'est pas possible de différencier un volume chiffré d'un volume aléatoire.
Donc ils disent que la sortie d'AES ressemble à s'y méprendre à de l'aléatoire.
Oui, mais entre ressembler et l'être réellement, cela fait une différence.
Dans le cas de données chiffrées par truecrypt, la distribution des données ne serait donc pas uniformes, et donc une étude statistique devrait permettre de différencier un volume contenant des données aléatoires d'un volume contenant des données chiffrées par truecrypt.
Qu'entends-tu par ne serait pas uniforme ?
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me semble être un point relativement sur. Maintenant, si elle n'est pas aléatoire, de quel type est cette suite d'octets?
Il me semble au contraire que la doc affirme qu'elle l'est, d'une part, et d'autre par qu'elle l'est réellement.
Quelle doc? Celle de truecrypt?
-- Kevin
Le 10-06-2008, mpg <mpg@elzevir.fr> a écrit :
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée
(sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne
dispose pas de la clé, cette sortie est a priori indistinguable d'une
sortie aléatoire de taille équivalente.
C'est bien ce 'a priori' qui me pose des questions.
Il me semble que le « a priori » signifie : si le procédé de chiffrement est
bon et pas (encore) cassé. Sauf erreur, c'est presque une définition d'un
algo de chiffrement sûr : sans la clé, le chiffré ne doit pas apporter plus
d'information à un potentiel attaquant que du bruit blanc.
Il y a une doc qui spécifie ce genre de concepts?
Le site de truecrypt précise qu'il n'est pas possible de différencier
un volume chiffré d'un volume aléatoire.
Donc ils disent que la sortie d'AES ressemble à s'y méprendre à de
l'aléatoire.
Oui, mais entre ressembler et l'être réellement, cela fait une différence.
Dans le cas de données chiffrées par truecrypt, la distribution des
données ne serait donc pas uniformes, et donc une étude statistique
devrait permettre de différencier un volume contenant des données
aléatoires d'un volume contenant des données chiffrées par truecrypt.
Qu'entends-tu par ne serait pas uniforme ?
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me
semble être un point relativement sur. Maintenant, si elle n'est pas
aléatoire, de quel type est cette suite d'octets?
Il me semble au contraire que la
doc affirme qu'elle l'est, d'une part, et d'autre par qu'elle l'est
réellement.
La sortie d'AES n'est évidemment pas aléatoire et dépend de l'entrée (sinon comment pourrait-on déchiffrer ?). Mais, pour celui qui ne dispose pas de la clé, cette sortie est a priori indistinguable d'une sortie aléatoire de taille équivalente.
C'est bien ce 'a priori' qui me pose des questions.
Il me semble que le « a priori » signifie : si le procédé de chiffrement est bon et pas (encore) cassé. Sauf erreur, c'est presque une définition d'un algo de chiffrement sûr : sans la clé, le chiffré ne doit pas apporter plus d'information à un potentiel attaquant que du bruit blanc.
Il y a une doc qui spécifie ce genre de concepts?
Le site de truecrypt précise qu'il n'est pas possible de différencier un volume chiffré d'un volume aléatoire.
Donc ils disent que la sortie d'AES ressemble à s'y méprendre à de l'aléatoire.
Oui, mais entre ressembler et l'être réellement, cela fait une différence.
Dans le cas de données chiffrées par truecrypt, la distribution des données ne serait donc pas uniformes, et donc une étude statistique devrait permettre de différencier un volume contenant des données aléatoires d'un volume contenant des données chiffrées par truecrypt.
Qu'entends-tu par ne serait pas uniforme ?
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me semble être un point relativement sur. Maintenant, si elle n'est pas aléatoire, de quel type est cette suite d'octets?
Il me semble au contraire que la doc affirme qu'elle l'est, d'une part, et d'autre par qu'elle l'est réellement.
Quelle doc? Celle de truecrypt?
-- Kevin
Mathieu SEGAUD
Kevin Denis disait le 06/11/08 que :
Qu'entends-tu par ne serait pas uniforme ?
Une suite d'octets chiffrés par AES ne peut pas être aléatoire.
si elle l'est. Prends un texte long, genre une nouvelle, ou même un livre. Chiffre-le avec AES et fais un traitement statistique de la sortie. Tu auras un bruit blanc. A partir de ce moment-là, je ne vois pas comment tu peux le discerner d'un bruit blanc "réel" si tu ne connais pas le clair.
sinon, évidemment que ce n'est pas aléatoire en "vrai", sinon ça n'aurait aucun sens, AES ne serait pas LE chiffre choisi comme le standard de chiffre sûr et on ne serait pas en train de discuter de ça. J'ai du mal à voir où tu veux en venir.
-- Mathieu
Kevin Denis <kevin@nowhere.invalid> disait le 06/11/08 que :
Qu'entends-tu par ne serait pas uniforme ?
Une suite d'octets chiffrés par AES ne peut pas être aléatoire.
si elle l'est. Prends un texte long, genre une nouvelle, ou même un
livre. Chiffre-le avec AES et fais un traitement statistique de la
sortie. Tu auras un bruit blanc. A partir de ce moment-là, je ne vois
pas comment tu peux le discerner d'un bruit blanc "réel" si tu ne
connais pas le clair.
sinon, évidemment que ce n'est pas aléatoire en "vrai", sinon ça
n'aurait aucun sens, AES ne serait pas LE chiffre choisi comme le
standard de chiffre sûr et on ne serait pas en train de discuter de
ça. J'ai du mal à voir où tu veux en venir.
Une suite d'octets chiffrés par AES ne peut pas être aléatoire.
si elle l'est. Prends un texte long, genre une nouvelle, ou même un livre. Chiffre-le avec AES et fais un traitement statistique de la sortie. Tu auras un bruit blanc. A partir de ce moment-là, je ne vois pas comment tu peux le discerner d'un bruit blanc "réel" si tu ne connais pas le clair.
sinon, évidemment que ce n'est pas aléatoire en "vrai", sinon ça n'aurait aucun sens, AES ne serait pas LE chiffre choisi comme le standard de chiffre sûr et on ne serait pas en train de discuter de ça. J'ai du mal à voir où tu veux en venir.
-- Mathieu
A. Caspis
Kevin Denis wrote:
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me semble être un point relativement sur. Maintenant, si elle n'est pas aléatoire, de quel type est cette suite d'octets?
Il y a une notion de "cryptographically-strong pseudo-randomness". En gros, ça veut dire que ça passe tous les tests statistiques d'aléa connus et réalisables en pratique.
Evidemment on peut toujours définir le test irréaliste suivant: Etant donné 1 Mo qui est a priori soit de l'aléatoire parfait, soit du chiffré AES128, je déchiffre avec les 2^128 clés possibles; pour chaque résultat, je mesure la distribution des octets, des paires d'octets successifs, etc; si je m'aperçois qu'une des 2^128 distributions diverge de l'aléa, j'en conclus que les 1 Mo sont du texte chiffré, avec une probabilité très proche de 1.
Comme l'indiquait Paul Gaborit, il faut faire attention à la méthode de chiffrage. Par exemple si on chiffre deux blocs identiques en ECB, on obtient deux blocs chiffrés identiques, ce qui ne ressemble pas à de l'aléa. Même en CBC, si l'IV est trop prédictible, on peut avoir des surprises.
AC
Kevin Denis wrote:
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me
semble être un point relativement sur. Maintenant, si elle n'est pas
aléatoire, de quel type est cette suite d'octets?
Il y a une notion de "cryptographically-strong pseudo-randomness".
En gros, ça veut dire que ça passe tous les tests statistiques
d'aléa connus et réalisables en pratique.
Evidemment on peut toujours définir le test irréaliste suivant:
Etant donné 1 Mo qui est a priori soit de l'aléatoire parfait,
soit du chiffré AES128, je déchiffre avec les 2^128 clés possibles;
pour chaque résultat, je mesure la distribution des octets, des
paires d'octets successifs, etc; si je m'aperçois qu'une des 2^128
distributions diverge de l'aléa, j'en conclus que les 1 Mo sont du
texte chiffré, avec une probabilité très proche de 1.
Comme l'indiquait Paul Gaborit, il faut faire attention à la méthode
de chiffrage. Par exemple si on chiffre deux blocs identiques en ECB,
on obtient deux blocs chiffrés identiques, ce qui ne ressemble pas
à de l'aléa. Même en CBC, si l'IV est trop prédictible, on peut avoir
des surprises.
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me semble être un point relativement sur. Maintenant, si elle n'est pas aléatoire, de quel type est cette suite d'octets?
Il y a une notion de "cryptographically-strong pseudo-randomness". En gros, ça veut dire que ça passe tous les tests statistiques d'aléa connus et réalisables en pratique.
Evidemment on peut toujours définir le test irréaliste suivant: Etant donné 1 Mo qui est a priori soit de l'aléatoire parfait, soit du chiffré AES128, je déchiffre avec les 2^128 clés possibles; pour chaque résultat, je mesure la distribution des octets, des paires d'octets successifs, etc; si je m'aperçois qu'une des 2^128 distributions diverge de l'aléa, j'en conclus que les 1 Mo sont du texte chiffré, avec une probabilité très proche de 1.
Comme l'indiquait Paul Gaborit, il faut faire attention à la méthode de chiffrage. Par exemple si on chiffre deux blocs identiques en ECB, on obtient deux blocs chiffrés identiques, ce qui ne ressemble pas à de l'aléa. Même en CBC, si l'IV est trop prédictible, on peut avoir des surprises.
AC
Kevin Denis
Le 11-06-2008, A. Caspis a écrit :
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me semble être un point relativement sur. Maintenant, si elle n'est pas aléatoire, de quel type est cette suite d'octets?
Il y a une notion de "cryptographically-strong pseudo-randomness". En gros, ça veut dire que ça passe tous les tests statistiques d'aléa connus et réalisables en pratique.
D'accord. Je vais creuser cette notion de cryptographically-strong
pseudo-randomness.
Evidemment on peut toujours définir le test irréaliste suivant: Etant donné 1 Mo qui est a priori soit de l'aléatoire parfait, soit du chiffré AES128, je déchiffre avec les 2^128 clés possibles; pour chaque résultat, je mesure la distribution des octets, des paires d'octets successifs, etc; si je m'aperçois qu'une des 2^128 distributions diverge de l'aléa, j'en conclus que les 1 Mo sont du texte chiffré, avec une probabilité très proche de 1.
Comme l'indiquait Paul Gaborit, il faut faire attention à la méthode de chiffrage. Par exemple si on chiffre deux blocs identiques en ECB, on obtient deux blocs chiffrés identiques, ce qui ne ressemble pas à de l'aléa. Même en CBC, si l'IV est trop prédictible, on peut avoir des surprises.
Ok
-- Kevin
Le 11-06-2008, A. Caspis <a_caspis@yahoo.com> a écrit :
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me
semble être un point relativement sur. Maintenant, si elle n'est pas
aléatoire, de quel type est cette suite d'octets?
Il y a une notion de "cryptographically-strong pseudo-randomness".
En gros, ça veut dire que ça passe tous les tests statistiques
d'aléa connus et réalisables en pratique.
D'accord. Je vais creuser cette notion de cryptographically-strong
pseudo-randomness.
Evidemment on peut toujours définir le test irréaliste suivant:
Etant donné 1 Mo qui est a priori soit de l'aléatoire parfait,
soit du chiffré AES128, je déchiffre avec les 2^128 clés possibles;
pour chaque résultat, je mesure la distribution des octets, des
paires d'octets successifs, etc; si je m'aperçois qu'une des 2^128
distributions diverge de l'aléa, j'en conclus que les 1 Mo sont du
texte chiffré, avec une probabilité très proche de 1.
Comme l'indiquait Paul Gaborit, il faut faire attention à la méthode
de chiffrage. Par exemple si on chiffre deux blocs identiques en ECB,
on obtient deux blocs chiffrés identiques, ce qui ne ressemble pas
à de l'aléa. Même en CBC, si l'IV est trop prédictible, on peut avoir
des surprises.
Une suite d'octets chiffrés par AES ne peut pas être aléatoire. Cela me semble être un point relativement sur. Maintenant, si elle n'est pas aléatoire, de quel type est cette suite d'octets?
Il y a une notion de "cryptographically-strong pseudo-randomness". En gros, ça veut dire que ça passe tous les tests statistiques d'aléa connus et réalisables en pratique.
D'accord. Je vais creuser cette notion de cryptographically-strong
pseudo-randomness.
Evidemment on peut toujours définir le test irréaliste suivant: Etant donné 1 Mo qui est a priori soit de l'aléatoire parfait, soit du chiffré AES128, je déchiffre avec les 2^128 clés possibles; pour chaque résultat, je mesure la distribution des octets, des paires d'octets successifs, etc; si je m'aperçois qu'une des 2^128 distributions diverge de l'aléa, j'en conclus que les 1 Mo sont du texte chiffré, avec une probabilité très proche de 1.
Comme l'indiquait Paul Gaborit, il faut faire attention à la méthode de chiffrage. Par exemple si on chiffre deux blocs identiques en ECB, on obtient deux blocs chiffrés identiques, ce qui ne ressemble pas à de l'aléa. Même en CBC, si l'IV est trop prédictible, on peut avoir des surprises.
Ok
-- Kevin
Emile
On 5 juin, 13:21, Kevin Denis wrote:
Quelles méthodes existent permettant de différencier un message chiff ré d'un message aléatoire?
Peut-on dire que si on ne sait pas mettre en défaut le caractère aléatoire des blocs chiffrés d'un algorithme de chiffrement, il ne sera jamais possible d'effectuer une cryptanalyse linéaire ou differentielle pour casser la clef ? Autrement dit, une cryptanalyse ne sera possible que si on peut déjà détecter un défaut du caract ère aléatoire des blocs chiffrés.
Merci,
Emile
On 5 juin, 13:21, Kevin Denis <ke...@nowhere.invalid> wrote:
Quelles méthodes existent permettant de différencier un message chiff ré
d'un message aléatoire?
Peut-on dire que si on ne sait pas mettre en défaut le caractère
aléatoire des blocs chiffrés d'un algorithme de chiffrement, il ne
sera jamais possible d'effectuer une cryptanalyse linéaire ou
differentielle pour casser la clef ? Autrement dit, une cryptanalyse
ne sera possible que si on peut déjà détecter un défaut du caract ère
aléatoire des blocs chiffrés.
Quelles méthodes existent permettant de différencier un message chiff ré d'un message aléatoire?
Peut-on dire que si on ne sait pas mettre en défaut le caractère aléatoire des blocs chiffrés d'un algorithme de chiffrement, il ne sera jamais possible d'effectuer une cryptanalyse linéaire ou differentielle pour casser la clef ? Autrement dit, une cryptanalyse ne sera possible que si on peut déjà détecter un défaut du caract ère aléatoire des blocs chiffrés.
