Suite à cet article http://en.epochtimes.com/news/7-1-11/50336.html, qui
annonce qu'une équipe chinoise a maintenant cassé SHA1
je me demande dans quelle mesure ces hash sont "cassés"
- facilité de construire des collisions quelconques?
- ou possibilité de construire une collision sur un hash donné?
Suite à cet article http://en.epochtimes.com/news/7-1-11/50336.html, qui
annonce qu'une équipe chinoise a maintenant cassé SHA1
je me demande dans quelle mesure ces hash sont "cassés"
- facilité de construire des collisions quelconques?
- ou possibilité de construire une collision sur un hash donné?
Suite à cet article http://en.epochtimes.com/news/7-1-11/50336.html, qui
annonce qu'une équipe chinoise a maintenant cassé SHA1
je me demande dans quelle mesure ces hash sont "cassés"
- facilité de construire des collisions quelconques?
- ou possibilité de construire une collision sur un hash donné?
Quand on fait des requêtes en HTTPS, il y a du SSL (ou TLS)
qui se met en route, et les données échangées ont un contrôle
d'intégrité (pour détecter les altérations) fondé sur,
classiquement, MD5 ou SHA-1. Ces usages ne nécessitent que la
résistance aux secondes pré-images, et aucune des attaques en
collision publiées ne permet d'entamer la sécurité de SSL.
Quand on fait des requêtes en HTTPS, il y a du SSL (ou TLS)
qui se met en route, et les données échangées ont un contrôle
d'intégrité (pour détecter les altérations) fondé sur,
classiquement, MD5 ou SHA-1. Ces usages ne nécessitent que la
résistance aux secondes pré-images, et aucune des attaques en
collision publiées ne permet d'entamer la sécurité de SSL.
Quand on fait des requêtes en HTTPS, il y a du SSL (ou TLS)
qui se met en route, et les données échangées ont un contrôle
d'intégrité (pour détecter les altérations) fondé sur,
classiquement, MD5 ou SHA-1. Ces usages ne nécessitent que la
résistance aux secondes pré-images, et aucune des attaques en
collision publiées ne permet d'entamer la sécurité de SSL.
Pas entièrement d'accord, et je vais donner un contre-exemple.
L'attaque demande environ 2^65 rounds MD5
- il semble que les autorités commerciales qui émettent encore des
certificats avec hash MD5 (prisés car extrêmement compatibles)
prennent maintenant la précaution de "randomiser" le numéro de
série, qui est en tête, ce qui bloque l'attaque; les mauvaises
anciennes pratiques (facilement vérifiables sur les certificats
déjà en circulation) ne sont donc plus un danger, et ces anciens
certificats utilisables sans grande crainte.
Quoi qu'il en soit, cela montre que dans le cas des certificats SSL,
il faut une fonction de hashage résistant aux collisions
Pas entièrement d'accord, et je vais donner un contre-exemple.
L'attaque demande environ 2^65 rounds MD5
- il semble que les autorités commerciales qui émettent encore des
certificats avec hash MD5 (prisés car extrêmement compatibles)
prennent maintenant la précaution de "randomiser" le numéro de
série, qui est en tête, ce qui bloque l'attaque; les mauvaises
anciennes pratiques (facilement vérifiables sur les certificats
déjà en circulation) ne sont donc plus un danger, et ces anciens
certificats utilisables sans grande crainte.
Quoi qu'il en soit, cela montre que dans le cas des certificats SSL,
il faut une fonction de hashage résistant aux collisions
Pas entièrement d'accord, et je vais donner un contre-exemple.
L'attaque demande environ 2^65 rounds MD5
- il semble que les autorités commerciales qui émettent encore des
certificats avec hash MD5 (prisés car extrêmement compatibles)
prennent maintenant la précaution de "randomiser" le numéro de
série, qui est en tête, ce qui bloque l'attaque; les mauvaises
anciennes pratiques (facilement vérifiables sur les certificats
déjà en circulation) ne sont donc plus un danger, et ces anciens
certificats utilisables sans grande crainte.
Quoi qu'il en soit, cela montre que dans le cas des certificats SSL,
il faut une fonction de hashage résistant aux collisions
Ceci étant :L'attaque demande environ 2^65 rounds MD5
Beaucoup moins que ça, en fait. Ce 2^65 est le coût qu'on aurait si
MD5 était résistante aux collisions ; c'est le coût théorique pour une
fonction de hachage "parfaite" offrant 128 bits en sortie. Mais MD5
n'est pas une telle fonction, et les attaques de Wang sont détournables
pour faire deux certificats distincts ayant la même signature en RSA +
MD5.
Et ça a été fait. Cf :
http://www.win.tue.nl/~bdeweger/CollidingCertificates/
Ceci étant :
L'attaque demande environ 2^65 rounds MD5
Beaucoup moins que ça, en fait. Ce 2^65 est le coût qu'on aurait si
MD5 était résistante aux collisions ; c'est le coût théorique pour une
fonction de hachage "parfaite" offrant 128 bits en sortie. Mais MD5
n'est pas une telle fonction, et les attaques de Wang sont détournables
pour faire deux certificats distincts ayant la même signature en RSA +
MD5.
Et ça a été fait. Cf :
http://www.win.tue.nl/~bdeweger/CollidingCertificates/
Ceci étant :L'attaque demande environ 2^65 rounds MD5
Beaucoup moins que ça, en fait. Ce 2^65 est le coût qu'on aurait si
MD5 était résistante aux collisions ; c'est le coût théorique pour une
fonction de hachage "parfaite" offrant 128 bits en sortie. Mais MD5
n'est pas une telle fonction, et les attaques de Wang sont détournables
pour faire deux certificats distincts ayant la même signature en RSA +
MD5.
Et ça a été fait. Cf :
http://www.win.tue.nl/~bdeweger/CollidingCertificates/
Ce papier (que j'avais lu) présente deux certificats en collision,
mais ces deux certificats font référence au même titulaire.
Ce papier (que j'avais lu) présente deux certificats en collision,
mais ces deux certificats font référence au même titulaire.
Ce papier (que j'avais lu) présente deux certificats en collision,
mais ces deux certificats font référence au même titulaire.
According to Francois Grieu :Ce papier (que j'avais lu) présente deux certificats en collision,
mais ces deux certificats font référence au même titulaire.
Ah oui, en effet. J'étais persuadé d'avoir vu deux certificats en
collision avec des noms de sujet distincts (car nous sommes d'accord,
c'est bien ça qui est utile). Ça n'a rien d'invraisemblable, puisque
le nom du sujet est, dans un certificat classique, immédiatement suivi
de la clé publique (il y a juste l'OID rsaEncryption entre les deux).
L'attaque de Wang laisse de la liberté dans le choix des bits variants,
et c'est un sujet de recherche active, donc je ne trouve pas évident
a priori que le principe ne puisse pas marcher.
According to Francois Grieu <fgrieu@gmail.com>:
Ce papier (que j'avais lu) présente deux certificats en collision,
mais ces deux certificats font référence au même titulaire.
Ah oui, en effet. J'étais persuadé d'avoir vu deux certificats en
collision avec des noms de sujet distincts (car nous sommes d'accord,
c'est bien ça qui est utile). Ça n'a rien d'invraisemblable, puisque
le nom du sujet est, dans un certificat classique, immédiatement suivi
de la clé publique (il y a juste l'OID rsaEncryption entre les deux).
L'attaque de Wang laisse de la liberté dans le choix des bits variants,
et c'est un sujet de recherche active, donc je ne trouve pas évident
a priori que le principe ne puisse pas marcher.
According to Francois Grieu :Ce papier (que j'avais lu) présente deux certificats en collision,
mais ces deux certificats font référence au même titulaire.
Ah oui, en effet. J'étais persuadé d'avoir vu deux certificats en
collision avec des noms de sujet distincts (car nous sommes d'accord,
c'est bien ça qui est utile). Ça n'a rien d'invraisemblable, puisque
le nom du sujet est, dans un certificat classique, immédiatement suivi
de la clé publique (il y a juste l'OID rsaEncryption entre les deux).
L'attaque de Wang laisse de la liberté dans le choix des bits variants,
et c'est un sujet de recherche active, donc je ne trouve pas évident
a priori que le principe ne puisse pas marcher.
-- Le numéro de série est imprédictible dans les CA comerciales pour
des raisons qui ne sont pas liées à la sécurité. Dans le cas présent,
c'est juste un "heureux hasard".
-- Le numéro de série est imprédictible dans les CA comerciales pour
des raisons qui ne sont pas liées à la sécurité. Dans le cas présent,
c'est juste un "heureux hasard".
-- Le numéro de série est imprédictible dans les CA comerciales pour
des raisons qui ne sont pas liées à la sécurité. Dans le cas présent,
c'est juste un "heureux hasard".