Attaque sur AES. disque préalablement rempli de zéros.
23 réponses
Kevin Denis
Bonjour,
linux permet de chiffrer un disque à l'aide de cryptsetup. Le chiffrement
par défaut utilisé est AES.
Imaginons un disque préalablement rempli de zéros. Le chiffrement utilisé
est AES à l'aide d'une clé non triviale. Imaginons un attaquant root sur
la machine qui ne dispose pas de la clé.
Il a donc a dispositions de très grandes quantités de données (plusieurs
giga au vu des disques actuels) dont le chiffré est une suite de zéros.
Le (on) jeudi 10 janvier 2008 00:29, Al a écrit (wrote) :
On est d'accords : le clair n'est pas connu. Mais la question était : « des Go de 0 ne donnent rien, mais des Go des 0 décodés par AES ? ». J'ai répondu que dans ce cas, si on connaît le clair et la chiffré, ça s'appelle une attaque à clair connu. Mais comme je le précisais plus haut, je ne vois pas pourquoi le clair serait connu de l'attaquant (ou alors il ne se prend plus la tête sur le bruit et va regarder les données)...
ben vu que le type est connecté en root il peut lire la partition déchiffrée ... ce qui donne le déchiffrement des zéro.
Et qui donne aussi le déchiffrement des données intéressantes, que l'on
cherchait à protéger. Ou alors j'ai manqué une étape vraiment importante.
Bref, je serais root sur un système où quelqu'un a des données assez confidentielles pour utiliser un volume crypté, et je serais malveillant, je ne pense pas que c'est le déchiffré d'une suite de zéros qui m'intéresserait le plus mais bien les données déchiffrées qui sont à côté, et auxquelles on suppose visiblement que j'ai accès.
En tout cas ceci me semble totalement indépendant du fait qu'il y a un suite de zéros ou une suite pseudo-aléatoire de bits de bonne qualité : ça reste dans les deux cas une attaque à clair connu.
ya un problème de clarté et de stabilité du problème exprimé....
on a l'air aussi de voulor chercher les clés. or d'après certains, il suffit à root de les demander... mais ca je crois c'est évitable en changeant le soft.
J'avoue que si j'utilisais des volumes cryptées, je préférerais que root ne
puisse pas demander les clés. J'espère donc qu'il existe en effet de tels softs (il me semble que la clé n'a pas à être stockée de façon permanente sur le disque : on peut demander un mot de passe à l'utilisateur).
reste que je persiste que l'attaque la plus logique dans ce cas est une attaque à clair choisi. on écrit sur une des partition chiffré ou pas, et on voir le résulat sur l'autre.
Visiblement, si on suppose que l'attaquant peut effectuer une attaque à
clair connu, parce qu'il est root, il faut aussi alors supposer qu'il peut mener aussi une attaque à clair choisi est c'est alors sa meilleure chance.
Manuel.
Le (on) jeudi 10 janvier 2008 00:29, Al a écrit (wrote) :
On est d'accords : le clair n'est pas connu. Mais la question était : «
des Go de 0 ne donnent rien, mais des Go des 0 décodés par AES ? ». J'ai
répondu que dans ce cas, si on connaît le clair et la chiffré, ça
s'appelle une attaque à clair connu. Mais comme je le précisais plus
haut, je ne vois pas pourquoi le clair serait connu de l'attaquant (ou
alors il ne se prend plus la tête sur le bruit et va regarder les
données)...
ben vu que le type est connecté en root il peut lire la partition
déchiffrée ...
ce qui donne le déchiffrement des zéro.
Et qui donne aussi le déchiffrement des données intéressantes, que l'on
cherchait à protéger. Ou alors j'ai manqué une étape vraiment importante.
Bref, je serais root sur un système où quelqu'un a des données assez
confidentielles pour utiliser un volume crypté, et je serais malveillant,
je ne pense pas que c'est le déchiffré d'une suite de zéros qui
m'intéresserait le plus mais bien les données déchiffrées qui sont à côté,
et auxquelles on suppose visiblement que j'ai accès.
En tout cas ceci me semble totalement indépendant du fait qu'il y a un suite
de zéros ou une suite pseudo-aléatoire de bits de bonne qualité : ça reste
dans les deux cas une attaque à clair connu.
ya un problème de clarté et de stabilité du problème exprimé....
on a l'air aussi de voulor chercher les clés. or d'après certains, il
suffit à root de les demander... mais ca je crois c'est évitable en
changeant le soft.
J'avoue que si j'utilisais des volumes cryptées, je préférerais que root ne
puisse pas demander les clés. J'espère donc qu'il existe en effet de tels
softs (il me semble que la clé n'a pas à être stockée de façon permanente
sur le disque : on peut demander un mot de passe à l'utilisateur).
reste que je persiste que l'attaque la plus logique dans ce cas est une
attaque à clair choisi. on écrit sur une des partition chiffré ou pas,
et on voir le résulat sur l'autre.
Visiblement, si on suppose que l'attaquant peut effectuer une attaque à
clair connu, parce qu'il est root, il faut aussi alors supposer qu'il peut
mener aussi une attaque à clair choisi est c'est alors sa meilleure chance.
Le (on) jeudi 10 janvier 2008 00:29, Al a écrit (wrote) :
On est d'accords : le clair n'est pas connu. Mais la question était : « des Go de 0 ne donnent rien, mais des Go des 0 décodés par AES ? ». J'ai répondu que dans ce cas, si on connaît le clair et la chiffré, ça s'appelle une attaque à clair connu. Mais comme je le précisais plus haut, je ne vois pas pourquoi le clair serait connu de l'attaquant (ou alors il ne se prend plus la tête sur le bruit et va regarder les données)...
ben vu que le type est connecté en root il peut lire la partition déchiffrée ... ce qui donne le déchiffrement des zéro.
Et qui donne aussi le déchiffrement des données intéressantes, que l'on
cherchait à protéger. Ou alors j'ai manqué une étape vraiment importante.
Bref, je serais root sur un système où quelqu'un a des données assez confidentielles pour utiliser un volume crypté, et je serais malveillant, je ne pense pas que c'est le déchiffré d'une suite de zéros qui m'intéresserait le plus mais bien les données déchiffrées qui sont à côté, et auxquelles on suppose visiblement que j'ai accès.
En tout cas ceci me semble totalement indépendant du fait qu'il y a un suite de zéros ou une suite pseudo-aléatoire de bits de bonne qualité : ça reste dans les deux cas une attaque à clair connu.
ya un problème de clarté et de stabilité du problème exprimé....
on a l'air aussi de voulor chercher les clés. or d'après certains, il suffit à root de les demander... mais ca je crois c'est évitable en changeant le soft.
J'avoue que si j'utilisais des volumes cryptées, je préférerais que root ne
puisse pas demander les clés. J'espère donc qu'il existe en effet de tels softs (il me semble que la clé n'a pas à être stockée de façon permanente sur le disque : on peut demander un mot de passe à l'utilisateur).
reste que je persiste que l'attaque la plus logique dans ce cas est une attaque à clair choisi. on écrit sur une des partition chiffré ou pas, et on voir le résulat sur l'autre.
Visiblement, si on suppose que l'attaquant peut effectuer une attaque à
clair connu, parce qu'il est root, il faut aussi alors supposer qu'il peut mener aussi une attaque à clair choisi est c'est alors sa meilleure chance.
Manuel.
Al
ben vu que le type est connecté en root il peut lire la partition déchiffrée ... ce qui donne le déchiffrement des zéro.
Et qui donne aussi le déchiffrement des données intéressantes, que l'on
cherchait à protéger. Ou alors j'ai manqué une étape vraiment importante.
en fait j'expliquait que ce qu'on cherchait c'est la clé.
et c'est vrai que l'intérêt de la clé c'est de déchiffrer les données actuelles ou futures du disque (même s'il est encore plein de bruit - les défiffrés de zero- que l'on s'empressera d'écraser).
mais c'est vrai que on est d'abbord que l'attaque clair choisi est bien plus intéressante.
avec de la cryptanalyse différentielle ou linéaire on pourrait espérer... sauf que AES doit résister. mais yen a peut être d'autres plus puissantes dans ce genre.
ben vu que le type est connecté en root il peut lire la partition
déchiffrée ...
ce qui donne le déchiffrement des zéro.
Et qui donne aussi le déchiffrement des données intéressantes, que l'on
cherchait à protéger. Ou alors j'ai manqué une étape vraiment importante.
en fait j'expliquait que ce qu'on cherchait c'est la clé.
et c'est vrai que l'intérêt de la clé c'est de déchiffrer les données
actuelles ou futures du disque (même s'il est encore plein de bruit -
les défiffrés de zero- que l'on s'empressera d'écraser).
mais c'est vrai que on est d'abbord que l'attaque clair choisi est bien
plus intéressante.
avec de la cryptanalyse différentielle ou linéaire on pourrait
espérer... sauf que AES doit résister. mais yen a peut être d'autres
plus puissantes dans ce genre.
ben vu que le type est connecté en root il peut lire la partition déchiffrée ... ce qui donne le déchiffrement des zéro.
Et qui donne aussi le déchiffrement des données intéressantes, que l'on
cherchait à protéger. Ou alors j'ai manqué une étape vraiment importante.
en fait j'expliquait que ce qu'on cherchait c'est la clé.
et c'est vrai que l'intérêt de la clé c'est de déchiffrer les données actuelles ou futures du disque (même s'il est encore plein de bruit - les défiffrés de zero- que l'on s'empressera d'écraser).
mais c'est vrai que on est d'abbord que l'attaque clair choisi est bien plus intéressante.
avec de la cryptanalyse différentielle ou linéaire on pourrait espérer... sauf que AES doit résister. mais yen a peut être d'autres plus puissantes dans ce genre.
mpg
Le (on) samedi 12 janvier 2008 16:27, Al a écrit (wrote) :
Et qui donne aussi le déchiffrement des données intéressantes, que l'on cherchait à protéger. Ou alors j'ai manqué une étape vraiment importante.
en fait j'expliquait que ce qu'on cherchait c'est la clé.
et c'est vrai que l'intérêt de la clé c'est de déchiffrer les données actuelles ou futures du disque (même s'il est encore plein de bruit - les défiffrés de zero- que l'on s'empressera d'écraser).
Oki, c'est ça l'étape que j'avais manquée. On suppose qu'à un instant T,
l'attaquant a accès au clair et au chiffré, mais qu'à un instant T+n il n'a plus accès qu'au chiffré : peut-il alors utiliser l'information obtenue à l'instant T pour monter une attaque ? Vu comme ça, je comprend.
Manuel.
Le (on) samedi 12 janvier 2008 16:27, Al a écrit (wrote) :
Et qui donne aussi le déchiffrement des données intéressantes, que l'on
cherchait à protéger. Ou alors j'ai manqué une étape vraiment importante.
en fait j'expliquait que ce qu'on cherchait c'est la clé.
et c'est vrai que l'intérêt de la clé c'est de déchiffrer les données
actuelles ou futures du disque (même s'il est encore plein de bruit -
les défiffrés de zero- que l'on s'empressera d'écraser).
Oki, c'est ça l'étape que j'avais manquée. On suppose qu'à un instant T,
l'attaquant a accès au clair et au chiffré, mais qu'à un instant T+n il n'a
plus accès qu'au chiffré : peut-il alors utiliser l'information obtenue à
l'instant T pour monter une attaque ? Vu comme ça, je comprend.
Le (on) samedi 12 janvier 2008 16:27, Al a écrit (wrote) :
Et qui donne aussi le déchiffrement des données intéressantes, que l'on cherchait à protéger. Ou alors j'ai manqué une étape vraiment importante.
en fait j'expliquait que ce qu'on cherchait c'est la clé.
et c'est vrai que l'intérêt de la clé c'est de déchiffrer les données actuelles ou futures du disque (même s'il est encore plein de bruit - les défiffrés de zero- que l'on s'empressera d'écraser).
Oki, c'est ça l'étape que j'avais manquée. On suppose qu'à un instant T,
l'attaquant a accès au clair et au chiffré, mais qu'à un instant T+n il n'a plus accès qu'au chiffré : peut-il alors utiliser l'information obtenue à l'instant T pour monter une attaque ? Vu comme ça, je comprend.
