Bonjour
J'ai entendu dire que si un ennemis s'emparait du texte chiffré ainsi
que du texte clair, il lui était possible de retrouver la clé...
Comment s'y prend-t-il concrètement?
Lorsqu'on signe un message, on chiffre le hash du message avec sa clé.
L'ennemis possede donc le message clair (le hash) et le message chiffré
(la signature).Il peut donc retrouver ma clé.
Tout ça me parait contradictoire:
Soit ce n'est qu'une rumeur, soit les signatures sont tres risqués.
Ou alors j'ai mal raisonné quelque part.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Francois Grieu
Boby demande:
J'ai entendu dire que si un ennemi s'emparait du texte chiffré ainsi que du texte clair, il lui était possible de retrouver la clé... Comment s'y prend-t-il concrètement?
Plusieurs interprétations valables de ce "on-dit"
- avec un cryptosystème classique et dont la clé est "petite" (ordre de grandeur 60 bits), une paire clair-chiffré permet de retrouver la clé, par énumération et essai des clés possibles, pour trouver celle (probablement unique) qui est compatible avec la paire. Variante, si le cryptosystème est faible (Enigma), il peut être possible de faire mieux que la recherche exhaustive.
- avec un cryptosystème RSA utilisé en signature sans aléa, il est possible avec quelques signatures de messages connus effectuées avec la même clé, de retrouver le clé publique utilisée.
On part de (h1,s1) et (h2,s2) avec s1^e = h1 mod n et s2^e = h2 mod n, pour la clé (n,e) où l'on suppose e connu (3 ou 65537 sont les e les plus courants) et n inconnu.
n divise (s1^e)-h1 et (s2^e)-h2, donc divise m = pgcd((s1^e)-h1,(s2^e)-h2) On calcule m, et on essaye d'en éliminer les petits facteurs. Avec un peu de chance on y arrive et on a trouvé n. C'est plus facile avec plus de deux couples (hj,sj) .
C'est une curiosité, pas une faille de sécurité du tout: on ne peut pas espérer récupérer les facteurs de n; et n est normalement public, comme le nom de clé publique pour (n,e) l'indique.
François Grieu
Boby <dim-mak@caramail.com> demande:
J'ai entendu dire que si un ennemi s'emparait du texte chiffré ainsi
que du texte clair, il lui était possible de retrouver la clé...
Comment s'y prend-t-il concrètement?
Plusieurs interprétations valables de ce "on-dit"
- avec un cryptosystème classique et dont la clé est "petite" (ordre
de grandeur 60 bits), une paire clair-chiffré permet de retrouver la
clé, par énumération et essai des clés possibles, pour trouver celle
(probablement unique) qui est compatible avec la paire. Variante,
si le cryptosystème est faible (Enigma), il peut être possible de
faire mieux que la recherche exhaustive.
- avec un cryptosystème RSA utilisé en signature sans aléa, il
est possible avec quelques signatures de messages connus effectuées
avec la même clé, de retrouver le clé publique utilisée.
On part de (h1,s1) et (h2,s2) avec
s1^e = h1 mod n et s2^e = h2 mod n,
pour la clé (n,e) où l'on suppose e connu (3 ou 65537 sont les e
les plus courants) et n inconnu.
n divise (s1^e)-h1 et (s2^e)-h2, donc divise
m = pgcd((s1^e)-h1,(s2^e)-h2)
On calcule m, et on essaye d'en éliminer les petits facteurs.
Avec un peu de chance on y arrive et on a trouvé n. C'est
plus facile avec plus de deux couples (hj,sj) .
C'est une curiosité, pas une faille de sécurité du tout: on ne
peut pas espérer récupérer les facteurs de n; et n est normalement
public, comme le nom de clé publique pour (n,e) l'indique.
J'ai entendu dire que si un ennemi s'emparait du texte chiffré ainsi que du texte clair, il lui était possible de retrouver la clé... Comment s'y prend-t-il concrètement?
Plusieurs interprétations valables de ce "on-dit"
- avec un cryptosystème classique et dont la clé est "petite" (ordre de grandeur 60 bits), une paire clair-chiffré permet de retrouver la clé, par énumération et essai des clés possibles, pour trouver celle (probablement unique) qui est compatible avec la paire. Variante, si le cryptosystème est faible (Enigma), il peut être possible de faire mieux que la recherche exhaustive.
- avec un cryptosystème RSA utilisé en signature sans aléa, il est possible avec quelques signatures de messages connus effectuées avec la même clé, de retrouver le clé publique utilisée.
On part de (h1,s1) et (h2,s2) avec s1^e = h1 mod n et s2^e = h2 mod n, pour la clé (n,e) où l'on suppose e connu (3 ou 65537 sont les e les plus courants) et n inconnu.
n divise (s1^e)-h1 et (s2^e)-h2, donc divise m = pgcd((s1^e)-h1,(s2^e)-h2) On calcule m, et on essaye d'en éliminer les petits facteurs. Avec un peu de chance on y arrive et on a trouvé n. C'est plus facile avec plus de deux couples (hj,sj) .
C'est une curiosité, pas une faille de sécurité du tout: on ne peut pas espérer récupérer les facteurs de n; et n est normalement public, comme le nom de clé publique pour (n,e) l'indique.
François Grieu
Boby
Boby demande:
J'ai entendu dire que si un ennemi s'emparait du texte chiffré ainsi que du texte clair, il lui était possible de retrouver la clé... Comment s'y prend-t-il concrètement?
Plusieurs interprétations valables de ce "on-dit"
- avec un cryptosystème classique et dont la clé est "petite" (ordre de grandeur 60 bits), une paire clair-chiffré permet de retrouver la clé, par énumération et essai des clés possibles, pour trouver celle (probablement unique) qui est compatible avec la paire. Variante, si le cryptosystème est faible (Enigma), il peut être possible de faire mieux que la recherche exhaustive.
En gros on a besoin d'un message clair et d'un message chiffré pour
pourvoir casser la clé par force brute, c'est bien ça? Mais est-il possible de la casser en connaissant uniquement le message chiffré?
- avec un cryptosystème RSA utilisé en signature sans aléa, il est possible avec quelques signatures de messages connus effectuées avec la même clé, de retrouver le clé publique utilisée. Quel interet à retrouver la clé publique alors qu'elle est distribuée
publiquement?
On part de (h1,s1) et (h2,s2) avec s1^e = h1 mod n et s2^e = h2 mod n, pour la clé (n,e) où l'on suppose e connu (3 ou 65537 sont les e les plus courants) et n inconnu.
n divise (s1^e)-h1 et (s2^e)-h2, donc divise m = pgcd((s1^e)-h1,(s2^e)-h2) On calcule m, et on essaye d'en éliminer les petits facteurs. Avec un peu de chance on y arrive et on a trouvé n. C'est plus facile avec plus de deux couples (hj,sj) .
C'est une curiosité, pas une faille de sécurité du tout: on ne peut pas espérer récupérer les facteurs de n; et n est normalement public, comme le nom de clé publique pour (n,e) l'indique.
Bon en fait c'etait bien une rumeur alors, me voila rassuré :)
François Grieu
Boby <dim-mak@caramail.com> demande:
J'ai entendu dire que si un ennemi s'emparait du texte chiffré ainsi
que du texte clair, il lui était possible de retrouver la clé...
Comment s'y prend-t-il concrètement?
Plusieurs interprétations valables de ce "on-dit"
- avec un cryptosystème classique et dont la clé est "petite" (ordre
de grandeur 60 bits), une paire clair-chiffré permet de retrouver la
clé, par énumération et essai des clés possibles, pour trouver celle
(probablement unique) qui est compatible avec la paire. Variante,
si le cryptosystème est faible (Enigma), il peut être possible de
faire mieux que la recherche exhaustive.
En gros on a besoin d'un message clair et d'un message chiffré pour
pourvoir casser la clé par force brute, c'est bien ça?
Mais est-il possible de la casser en connaissant uniquement le message
chiffré?
- avec un cryptosystème RSA utilisé en signature sans aléa, il
est possible avec quelques signatures de messages connus effectuées
avec la même clé, de retrouver le clé publique utilisée.
Quel interet à retrouver la clé publique alors qu'elle est distribuée
publiquement?
On part de (h1,s1) et (h2,s2) avec
s1^e = h1 mod n et s2^e = h2 mod n,
pour la clé (n,e) où l'on suppose e connu (3 ou 65537 sont les e
les plus courants) et n inconnu.
n divise (s1^e)-h1 et (s2^e)-h2, donc divise
m = pgcd((s1^e)-h1,(s2^e)-h2)
On calcule m, et on essaye d'en éliminer les petits facteurs.
Avec un peu de chance on y arrive et on a trouvé n. C'est
plus facile avec plus de deux couples (hj,sj) .
C'est une curiosité, pas une faille de sécurité du tout: on ne
peut pas espérer récupérer les facteurs de n; et n est normalement
public, comme le nom de clé publique pour (n,e) l'indique.
Bon en fait c'etait bien une rumeur alors, me voila rassuré :)
J'ai entendu dire que si un ennemi s'emparait du texte chiffré ainsi que du texte clair, il lui était possible de retrouver la clé... Comment s'y prend-t-il concrètement?
Plusieurs interprétations valables de ce "on-dit"
- avec un cryptosystème classique et dont la clé est "petite" (ordre de grandeur 60 bits), une paire clair-chiffré permet de retrouver la clé, par énumération et essai des clés possibles, pour trouver celle (probablement unique) qui est compatible avec la paire. Variante, si le cryptosystème est faible (Enigma), il peut être possible de faire mieux que la recherche exhaustive.
En gros on a besoin d'un message clair et d'un message chiffré pour
pourvoir casser la clé par force brute, c'est bien ça? Mais est-il possible de la casser en connaissant uniquement le message chiffré?
- avec un cryptosystème RSA utilisé en signature sans aléa, il est possible avec quelques signatures de messages connus effectuées avec la même clé, de retrouver le clé publique utilisée. Quel interet à retrouver la clé publique alors qu'elle est distribuée
publiquement?
On part de (h1,s1) et (h2,s2) avec s1^e = h1 mod n et s2^e = h2 mod n, pour la clé (n,e) où l'on suppose e connu (3 ou 65537 sont les e les plus courants) et n inconnu.
n divise (s1^e)-h1 et (s2^e)-h2, donc divise m = pgcd((s1^e)-h1,(s2^e)-h2) On calcule m, et on essaye d'en éliminer les petits facteurs. Avec un peu de chance on y arrive et on a trouvé n. C'est plus facile avec plus de deux couples (hj,sj) .
C'est une curiosité, pas une faille de sécurité du tout: on ne peut pas espérer récupérer les facteurs de n; et n est normalement public, comme le nom de clé publique pour (n,e) l'indique.
Bon en fait c'etait bien une rumeur alors, me voila rassuré :)
François Grieu
Francois Grieu
avec un cryptosystème classique et dont la clé est "petite" (ordre de grandeur 60 bits), une paire clair-chiffré permet de retrouver la clé, par énumération et essai des clés possibles, pour trouver celle (probablement unique) qui est compatible avec la paire.
En gros on a besoin d'un message clair et d'un message chiffré pour pourvoir casser la clé par force brute, c'est bien ça? Mais est-il possible de la casser en connaissant uniquement le message chiffré?
Un bloc de clair-chiffré (P1,C1) permet un test très simple, genre pour chaque clé K si ENC(K,P1)=Á afficher la clé K
mais on n'a pas BESOIN d'un bloc de clair; il suffit de savoir quelque chose d'exploitable sur le clair (par exemple qu'il est alphabétique), et d'avoir plusieurs blocs de chiffré, ça marche presque aussi bien: pour chaque clé K si DEC(K,C1) est alphabétique si DEC(K,C2) est alphabétique si DEC(K,C3) est alphabétique afficher la clé K, DEC(K,C1), DEC(K,C2), DEC(K,C3)
Note: le nombre de déchiffrements est peu augmenté, mais le test "est alphabétique" devient une part significative du coût de l'attaque.
Note: j'ai simplifié en supposant un chiffrement direct par bloc, sans chaînage. En mode CBC, ça marche aussi.
Par contre si on ne sait rien d'exploitable sur le clair (par exemple si le clair est le hash d'un long texte inconnu), on a beau avoir le chiffré, rien à faire pour trouver la clé.
François Grieu
avec un cryptosystème classique et dont la clé est "petite" (ordre
de grandeur 60 bits), une paire clair-chiffré permet de retrouver la
clé, par énumération et essai des clés possibles, pour trouver celle
(probablement unique) qui est compatible avec la paire.
En gros on a besoin d'un message clair et d'un message chiffré pour
pourvoir casser la clé par force brute, c'est bien ça?
Mais est-il possible de la casser en connaissant uniquement le
message chiffré?
Un bloc de clair-chiffré (P1,C1) permet un test très simple, genre
pour chaque clé K
si ENC(K,P1)=Á
afficher la clé K
mais on n'a pas BESOIN d'un bloc de clair; il suffit de savoir quelque
chose d'exploitable sur le clair (par exemple qu'il est alphabétique),
et d'avoir plusieurs blocs de chiffré, ça marche presque aussi bien:
pour chaque clé K
si DEC(K,C1) est alphabétique
si DEC(K,C2) est alphabétique
si DEC(K,C3) est alphabétique
afficher la clé K, DEC(K,C1), DEC(K,C2), DEC(K,C3)
Note: le nombre de déchiffrements est peu augmenté, mais le test
"est alphabétique" devient une part significative du coût
de l'attaque.
Note: j'ai simplifié en supposant un chiffrement direct par
bloc, sans chaînage. En mode CBC, ça marche aussi.
Par contre si on ne sait rien d'exploitable sur le clair
(par exemple si le clair est le hash d'un long texte inconnu),
on a beau avoir le chiffré, rien à faire pour trouver la clé.
avec un cryptosystème classique et dont la clé est "petite" (ordre de grandeur 60 bits), une paire clair-chiffré permet de retrouver la clé, par énumération et essai des clés possibles, pour trouver celle (probablement unique) qui est compatible avec la paire.
En gros on a besoin d'un message clair et d'un message chiffré pour pourvoir casser la clé par force brute, c'est bien ça? Mais est-il possible de la casser en connaissant uniquement le message chiffré?
Un bloc de clair-chiffré (P1,C1) permet un test très simple, genre pour chaque clé K si ENC(K,P1)=Á afficher la clé K
mais on n'a pas BESOIN d'un bloc de clair; il suffit de savoir quelque chose d'exploitable sur le clair (par exemple qu'il est alphabétique), et d'avoir plusieurs blocs de chiffré, ça marche presque aussi bien: pour chaque clé K si DEC(K,C1) est alphabétique si DEC(K,C2) est alphabétique si DEC(K,C3) est alphabétique afficher la clé K, DEC(K,C1), DEC(K,C2), DEC(K,C3)
Note: le nombre de déchiffrements est peu augmenté, mais le test "est alphabétique" devient une part significative du coût de l'attaque.
Note: j'ai simplifié en supposant un chiffrement direct par bloc, sans chaînage. En mode CBC, ça marche aussi.
Par contre si on ne sait rien d'exploitable sur le clair (par exemple si le clair est le hash d'un long texte inconnu), on a beau avoir le chiffré, rien à faire pour trouver la clé.
La quasi totalite des cryptosystemes sont bases sur une impossibilite mathematique. Dans le cas des systemes a cle publique comme RSA, la securite du systeme est egale a l'infactorabilite du module (le n de francois grieu, que je remercie soit dit en passant pour les ref sur les collisions MD5 et SHA-0 :D )...le nombre est theoriquement factorisable, mais difficilement en pratique ( on parle d'entiers enormes ici, hors de toute capacite de calcul humain). Il est donc POSSIBLE que la cle soit factorisee, ce qui compromettrait entierement le systeme(dans le cas de RSA), puisque le deuxieme entier (un inverse modulaire modulo Phi(n), ou Phi est la fonction phi de Euler), facile a calculer avec n'importe quel programme de calcul symbolique).
La quasi totalite des cryptosystemes sont bases sur une impossibilite
mathematique. Dans le cas des systemes a cle publique comme RSA, la
securite du systeme est egale a l'infactorabilite du module (le n de
francois grieu, que je remercie soit dit en passant pour les ref sur les
collisions MD5 et SHA-0 :D )...le nombre est theoriquement factorisable,
mais difficilement en pratique ( on parle d'entiers enormes ici, hors de
toute capacite de calcul humain). Il est donc POSSIBLE que la cle soit
factorisee, ce qui compromettrait entierement le systeme(dans le cas de
RSA), puisque le deuxieme entier (un inverse modulaire modulo Phi(n), ou
Phi est la fonction phi de Euler), facile a calculer avec n'importe quel
programme de calcul symbolique).
La quasi totalite des cryptosystemes sont bases sur une impossibilite mathematique. Dans le cas des systemes a cle publique comme RSA, la securite du systeme est egale a l'infactorabilite du module (le n de francois grieu, que je remercie soit dit en passant pour les ref sur les collisions MD5 et SHA-0 :D )...le nombre est theoriquement factorisable, mais difficilement en pratique ( on parle d'entiers enormes ici, hors de toute capacite de calcul humain). Il est donc POSSIBLE que la cle soit factorisee, ce qui compromettrait entierement le systeme(dans le cas de RSA), puisque le deuxieme entier (un inverse modulaire modulo Phi(n), ou Phi est la fonction phi de Euler), facile a calculer avec n'importe quel programme de calcul symbolique).
chaton
"Bill Helem" wrote in message news:<01c4903c$50b20ce0$...
La quasi totalite des cryptosystemes sont bases sur une impossibilite mathematique. [...]
... des cryptosystemes a clef publique, les cryptosystemes a clef secrete qui se basent sur des problemes mathematiques difficiles sont beaucoup moins nombreux que ceux qui se basent sur des fonctions simples et rapides ne posant pas le moindre probleme mathematique.
"Bill Helem" <gi_j00NOSPAM@hotmail.com> wrote in message news:<01c4903c$50b20ce0$c96dfdcf@node42>...
La quasi totalite des cryptosystemes sont bases sur une impossibilite
mathematique. [...]
... des cryptosystemes a clef publique, les cryptosystemes a clef
secrete qui se basent sur des problemes mathematiques difficiles sont
beaucoup moins nombreux que ceux qui se basent sur des fonctions
simples et rapides ne posant pas le moindre probleme mathematique.
"Bill Helem" wrote in message news:<01c4903c$50b20ce0$...
La quasi totalite des cryptosystemes sont bases sur une impossibilite mathematique. [...]
... des cryptosystemes a clef publique, les cryptosystemes a clef secrete qui se basent sur des problemes mathematiques difficiles sont beaucoup moins nombreux que ceux qui se basent sur des fonctions simples et rapides ne posant pas le moindre probleme mathematique.
