Arc4, blowfish, ezkblowfish

According to betty <carra_bea@yahoo.fr>:

quelqu'un pourrait-il me renseigner sur l'efficacité des algos arc4,
blowfish et ezkblowfish ???

"ARC4" est un des noms donnés à un algorithme qui a été publié en divers
endroits, et qui supposément serait une copie conforme de l'algorithme
(secret) "RC4" de RSA Data Security, Inc. Dans la pratique, "RC4" et
"ARC4" sont effectivement le même algorithme. Utiliser les noms tels
que "ARC4" ou "Arcfour" rajoute un peu de confusion à la chose, et n'a
pas d'intérêt scientifique, aussi je recommande de parler de "RC4" tout
simplement.

RC4 est un générateur de flux pseudo-aléatoire. On fait rentrer une
clé d'un côté, et on obtient autant d'octets pseudo-aléatoires que
l'on veut de l'autre côté. On peut s'en servir pour chiffrer des
données en combinant bit à bit par un ou exclusif (un "xor") les octets
pseudo-aléatoires avec les données à chiffrer ; le déchiffrement est
similaire. Ce mode de chiffrement impose des conditions très spéciales
d'utilisation, notamment de ne pas réutiliser deux fois la même clé.
Beaucoup de protocoles conçus par des non-professionnels (et mêmes
certains conçus par des professionnels) et utilisant RC4, ont une
sécurité nulle parce que RC4 y est mal employé. Je précise cela parce
que les autres algorithmes cités (Blowfish, AES...) sont des algorithmes
de chiffrement par bloc (ils opèrent sur des blocs de taille fixe, genre
8 ou 16 octets) qui ne s'utilisent pas du tout de la même manière.


RC4 est très peu sûr au sens académique du terme ; par exemple, on a
un distingueur en 2^30 (si vous ne savez pas ce que ça veut dire, ce
n'est pas grave). Il n'existe aucune attaque réellement pratique contre
RC4 quand il est employé correctement au sein d'un protocole bien pensé
(SSL, par exemple) mais les attaques "théoriques" ne sont pas très loin
(ceci étant dit à la grosse louche, parce qu'il n'est pas facile de
mesurer l'"applicabilité" future d'attaques améliorées qui n'ont pas
encore été découvertes et dont on ne sait pas si elles existent).

RC4 est très employé parce qu'il est remarquablement efficace en
logiciel. Il s'implémente en quelques lignes de code, et chiffre à un
débit très élevé. En revanche, il utilise un tableau en RAM de 256
octets, ce qui le rend impropre aux cartes à puce les plus modestes,
et aux implémentations matérielles (ASIC = puces spécialisés).


Blowfish est un algorithme de chiffrement par blocs conçu par (l'esclave
de) Bruce Schneier. Il a les caractéristiques suivantes :
-- très rapide sur PC ;
-- assez lent sur les processeurs 8 ou 16 bits ;
-- quasiment inimplémentable en matériel ;
-- coût élevé du changement de clé.
Cet algorithme a été "regardé" par un certain nombre de chercheurs,
mais pas aussi attentivement que DES ou AES. Il semble solide. Il a
été utilisé dans SSH parce que les concepteurs initiaux de SSH avaient
du mal à conceptualiser l'existence de réseaux informatiques sans PC ;
par ailleurs, ils cherchaient quelque chose de libre de droits mais ne
voulaient pas d'un algorithme "standard du gouvernement (américain)" par
peur des méchantes backdoors introduites par la vilaine NSA. Je ne sais
pas pourquoi au juste, mais il y a pas mal de monde qui préfère se faire
pirater par une société américaine privée que par le gouvernement
américain. L'abus de cinéma bas-de-gamme, sans doute.


DES est un vieil algorithme, très bien conçu dans l'ensemble mais avec
une clé trop petite pour assurer une sécurité absolue dans toutes les
circonstances (même si dans le cas d'un SSH où on veut se protéger
contre un banal hacker occasionnel, c'est très suffisant). Par ailleurs,
DES s'implémente très bien en matériel, mais est assez lent en logiciel.
3DES, c'est trois DES à la suite, avec trois clés différentes, faisant
un algorithme qui a été très étudié, et qui est remarquablement robuste,
mais aussi très lent en logiciel. Ce qui ne l'empêche pas d'être très
utilisé, parce que la "lenteur" est quelque chose de très relatif. Quand
on fait un SSH, on s'en balance complètement : on chiffre quelques
dizaines d'octets par seconde au plus. De même, dans un serveur SSL
typique, les échanges de clés (déchiffrement RSA, d'habitude) dominent
largement, et le fait que 3DES soit typiquement 20 fois plus lent que
RC4 n'a aucune incidence pratique.


AES est un algorithme relativement récent mais très étudié ; le
gouvernement américain a choisi un mode de conception et sélection de
l'algorithme très transparent qui a beaucoup favorisé cette étude. Dans
le civil, l'AES s'appelle Rijndael et est la création de deux chercheurs
belges. AES est efficace en logiciel comme en matériel. Sa structure
est élégante et sa conception soignée. J'aime bien l'AES. C'est un
algorithme qu'on peut recommander. À noter tout de même : le meilleur
algorithme du monde ne vaut rien s'il est utilisé au sein d'un protocole
pourri.

Ces algos résistent-ils aux crypatanlyses différentielles et
linéaires.

Dans les différents algorithmes que j'ai cités :

-- Les cryptanalyses linéaires et différentielles ne s'appliquent pas
vraiment à RC4. Disons qu'elle marchent trop bien, et c'est pour cela
qu'une même clé ne doit pas être utilisée plus d'une fois.

-- DES est sensible à ces deux cryptanalyses, avec des "work factors"
de respectivement 2^43 et 2^47. C'est-à-dire que la cryptanalyse
linéaire ne marche sur DES que si on peut intercepter 2^43 blocs de
huit octets clairs, et les 2^43 blocs chiffrés correspondant. Ça fait
64 téra-octets. C'est beaucoup trop gros pour avoir une quelconque
applicabilité pratique. Mais c'est moins que la recherche exhaustive
de la clé (effort en 2^56) donc c'est, académiquement parlant, une
faiblesse. Notons bien que dans la pratique, la recherche exhaustive de
la clé est quelque chose de beaucoup plus applicable dans le cas de DES.

-- 3DES, AES, Blowfish ne sont pas sensibles à ces cryptanalyses ; ou
plutôt, aucune cryptanalyse linéaire ou différentielle applicable à
ces algorithmes n'a été trouvée à ce jour. DES a été conçu pour être
"solide" (sans être académiquement incassable, mais solide quand même)
face à la cryptanalyse différentielle, et il s'avère qu'il ne s'en tire
pas trop mal en linéaire (2^43, c'est quand même un bon score). 3DES
multiplie ces résistances et est académiquement incassable par ces
méthodes. AES et Blowfish ont été conçus pour résister "académiquement"
aux cryptanalyses linéaires et différentielles.



Pour conclure, disons que Blowfish et RC4 sont moins "universels" que
3DES et AES, parce qu'ils sont difficiles à implémenter en matériel.
Maintenant, dans certains cas, on n'a pas trop le choix. Par exemple,
supposons qu'on fasse du SSL en pur Java 1.1 (la vieille version, celle
qui marche dans Netscape 4 ou Internet Explorer 5.5 "out of the box") :
un bon AES optimisé fera du 250 Ko/s sur un Athlon 1.2 GHz, là où un
banal RC4 fera du 1200 Ko/s. Cette différence est sensible (sur un
réseau local) et justifie l'utilisation de RC4. Ça reste un cas très
spécifique.


--Thomas Pornin

En réponse au message de Thomas Pornin.

D'abord merci pour la clarté de ta réponse. C'est toujours une vrai
joie de te lire !

Blowfish est un algorithme de chiffrement par blocs
conçu par (l'esclave de) Bruce Schneier.
Que veux-tu dire par "conçu par (l'esclave de)" ?

Bruce Schneier endosserait-t-il la parternité de certains des
algorithmes conçus par les employés de son entreprise du fait de sa
notoriété ?
Si c'est le cas, est ce un fait connu de tous, une évidence, un scoop
ou bien une supposition de ta part ?

D'avance merci.

Pacage.

pacage.pacage@caramail.com (Pacage) wrote in
news:8ca278c9.0309161120.3c3a93c@posting.google.com:

Si c'est le cas, est ce un fait connu de tous, une évidence, un scoop
ou bien une supposition de ta part ?

Je dirais 1 et 2. Toute personne un peu specialisee dans un domaine
particulier s'en rend assez vite compte.

Dans notre domaine particulier, BS semble ne s'etre apercu de la
possibilite de casser par RE des algorithmes theoriquement solides mais mal
implementes que tres tard mais, quand il s'en est apercu il a immediatement
pondu une des petites fables dont il a le secret.

A noter qu'il ne faut pas lui en vouloir, c'est un mode de fonctionnement
typiquement d'outre atlantique que d'attribuer a la personne la plus
mediatique d'une societe la somme des travaux des autres et c'est
generalement bien accepte. McClure/Foundstone - Maiffret/eEye par exemple.
L'avantage, c'est qu'ils se batissent ainsi des personnages un peu
legendaires. Tres bon pour le commerce.

Par contre, il va litteralement ou le vent le mene...

--
Pierre Vandevenne - DataRescue - www.datarescue.com
Home of the IDA Pro Disassembler - leader in hostile code analysis
Home of PhotoRescue - risk free data recovery for digital media.

Pierre Vandevenne wrote:

[...] c'est un mode de fonctionnement
typiquement d'outre atlantique que d'attribuer a la personne la plus
mediatique d'une societe la somme des travaux des autres et c'est
generalement bien accepte.

Le problème est que si les brevets sont déposé à son nom au lieu de la
personne ayant vraiment trouvé et que cela peut être prouvé, cela ne
devient plus du tout innocent vis-à-vis du droit des brevets américain.

Ca ne se pratique pas qu'aux US d'ailleurs, on pourrait aussi regarder
en France, dans les labo, combien de papiers publiés au nom du chef ont
été en réalité quasi-totalement écrit par un membre de son équipe ?
Et ça peut concerner même un résultat emblématique du succès de la
recherche française face à celle américaine.

Jean-Marc Desperrier <jmdesp@alussinan.org> wrote in news:bk9gs0$9i1$1
@reader1.imaginet.fr:

Ca ne se pratique pas qu'aux US d'ailleurs, on pourrait aussi regarder
en France, dans les labo, combien de papiers publiés au nom du chef ont
été en réalité quasi-totalement écrit par un membre de son équipe ?

Oui, tout a fait, partout dans le monde dans le cas de la recherche
universitaire. Mais c'est moins commun au niveau commercial: c'est pour
cela qu'il y a peu de gens comme Bruce Schneier, Stuart McClure etc... en
Europe.

L'acces aux medias US jouent aussi puisque tres souvent nos medias ne font
que repercuter, traduire etc...

Et ça peut concerner même un résultat emblématique du succès de la
recherche française face à celle américaine.

Oui, en recherche, cela a meme concerne le prix Nobel, misogynie en plus.

Hewish, Burnell, pulsars


--
Pierre Vandevenne - DataRescue - www.datarescue.com
Home of the IDA Pro Disassembler - leader in hostile code analysis
Home of PhotoRescue - risk free data recovery for digital media.

Vous ne me semblez pas particulièrement apprécier BS.

Il n'en reste pas moins à mes yeux comme la meilleur référence sur ce
qu'est la sécurité, avec une approche plus fondamentale & plus
intéressante que connaître le nombre de bits de tel ou tel clef.
---
http://fba.homeip.net

According to Pierre Vandevenne <pierre@datarescue.be>:

Oui, tout a fait, partout dans le monde dans le cas de la recherche
universitaire.

Soyons quand même prudents : ce n'est pas au même niveau dans tous
les domaines. Par exemple, en informatique, le cas courant est que
tous les auteurs cités ont authentiquement bossé ; en médecine, en
revanche, il y a toujours une douzaine de noms dont seulement deux ou
trois qui ont vraiment fait quelque chose pour l'article. De même,
l'usage en informatique est de donner les noms des auteurs dans l'ordre
alphabétique (il y a des quelques exceptions, comme RSA, qui ne
s'appelle pas ARS) ; toujours en médecine, l'ordre est très important et
même codifié, parce que les classements à divers concours d'obtention de
postes notent différemment les gens suivant la place de leur nom dans
leurs articles (en gros, il y a en premier le nom de celui qui a bossé,
et en dernier le nom de celui qui a aidé ; en deuxième il y a le chef de
labo ; tout le reste, c'est les parasites rajoutés pour diverses raisons
politiques).

C'est pour ces raisons qu'on crie haro sur Schneier. Selon les standards
dans d'autres branches de la recherche, c'est un ange débordant
d'abnégation, qui n'obtient pas le quart de la notorioté qu'il mérite.
Mais dans le monde de la crypto, il est devenu (il ne l'a pas toujours
été) une sorte de parasite (et encore, c'était transitoire ; maintenant,
il publie très peu). Ce qui ne l'empêche pas de continuer _par ailleurs_
une oeuvre de vulgarisation scientifique que je salue et qui est très
utile.


--Thomas Pornin

pornin@nerim.net (Thomas Pornin) :

De même,
l'usage en informatique est de donner les noms des auteurs dans l'ordre
alphabétique

Tiens, c'est curieux comme méthode.

toujours en médecine, l'ordre est très important et
même codifié, [..] (en gros, il y a en premier le nom de celui qui a bossé,
et en dernier le nom de celui qui a aidé ; en deuxième il y a le chef de
labo ; tout le reste, c'est les parasites rajoutés pour diverses raisons
politiques).

En biologie (vaste domaine qui intersecte pourtant largement avec la
médecine), c'est très codifié aussi, mais un peu différent. Dans la
liste des auteurs, il faut être aux extrémités pour être remarqué, et
ça dépend de la hiérarchie et de la quantité de travail: le premier
est presque toujours le post-doc ou thésard qui a fait la majorité du
boulot. Le dernier est le chef du labo qui a relu et corrigé le
papier, et qui a supervisé toute la recherche. Plus on se rapproche du
centre, plus l'importance diminue: le second est un autre post-doc /
thésard qui a fait quelques manips, l'avant-dernier est un autre chef
un peu moins concerné.

Ce qui a de la gueule par chez nous, ce sont les papiers avec deux
noms. Au moins, c'est clair, on sait qui a fait quoi, et qui est le
boss :)

Ce qui ne l'empêche pas de continuer _par ailleurs_
une oeuvre de vulgarisation scientifique que je salue et qui est très
utile.

Je ne connais pas son impact scientifique dans le monde de la crypto
qui n'est pas le mien, mais je crois que Schneier est avant tout connu
et apprécié pour ce côté vulgarisateur. Comme Jean-Marie Pelt pour la
biologie végétale, Hubert Reeves pour l'astrophysique, Carl Sagan pour
l'exploration de l'espace... Les médias le questionnent dès qu'ils ont
besoin d'un "expert en cryptographie" un peu critique et
compréhensible.

Bavard, moi, ce matin. Hop. Au lit.

--
Guillermito
http://www.guillermito2.net

Fabrice..Bacchella <nobody@worldonline.france> wrote in
news:2rqhmvg0ifkk287u0acdbcl5clej685nr6@4ax.com:

Vous ne me semblez pas particulièrement apprécier BS.

Nous l'apprecions enormement en tant que porte parole de son equipe.

--
Pierre Vandevenne - DataRescue - www.datarescue.com
Home of the IDA Pro Disassembler - leader in hostile code analysis
Home of PhotoRescue - risk free data recovery for digital media.