Qu'est-ce qu'une clé DES "faible" ou "semi faible" ?
Une clé DES "faible" a la particularité que, quand on l'utilise, chiffrer 2 fois est l'identité (ou, ce qui revient au même, le chiffrement et le déchiffrement sont la même opération). Cela arrive quand les registres C et D ont, chacun, tous leurs bits à la même valeur. On connait 4 clés DES avec cette proriété, 0101010101010101, 1F1F1F1F0E0E0E0E, et leur complément.
Une clé DES "semi-faible" a la particularité qu'elle admet une clé jumelle telle que le chiffrement avec la clé semi-faible suivi du chiffrement par la clé jumelle est l'identité. On connait 16 clés DES avec cette proriété, en comptant les 4 clés "faibles". Il serait très surprenant qu'il y en ait d'autres (quoique je n'ai jamais vu de preuve formelle).
Selon le point de vue, il est a) inutile b) indispensable de tester si l'on utilise une clé faible/semi-faible.
parce que a1) la probabilité de tomber sur une clé semi-faible est négligeable (2^-52) par rapport à d'autres catastrophes beaucoup plus plausibles (genre oblitération du dispositif par une comète avant le remplacement de la clé). a2) mener une attaque qui suppose la clé semi-faible est a peine plus efficace qu'essayer les quelques clés semi-faibles par énumération des 16 clés possibles. a3) si cette vérification est mal faite, elle peut livrer de l'information sur la clé (attaque par timing, DPA..), même si la clé passe la vérification. a4) si on applique ce test à une clé calculée, cette vérification peut être un moyen pour l'adversaire de tester l'hypothèse qu'avec telle entrée, ce calcul produit une valeur parmis 16. b1) si on ne fait pas ce test, on n'a pas pris toutes les précautions conseillées, ce qui pourrait servir d'argument à un fâcheux contestant la valeur d'une preuve cryptographique. b2) si on fait ce test, au moins on est sur que les clés "tout à 0" et "tout à 1" ne sont pas utilisées par erreur, ce qui est une erreur plausible, voire fréquente.
Ce débat et cet argumentaire se retrouve mutatis mutandis entre tenants de la génération aléatoire des premiers pour RSA, et ceux demandant de prendre en considération la factorisation de p-1, p+1, et que p et q ne sont pas trop proches.
François Grieu
Dans l'article <1138032752.516828.129240@f14g2000cwb.googlegroups.com>,
"EJA" <eric.3475@free.fr> écrit:
Qu'est-ce qu'une clé DES "faible" ou "semi faible" ?
Une clé DES "faible" a la particularité que, quand on l'utilise,
chiffrer 2 fois est l'identité (ou, ce qui revient au même,
le chiffrement et le déchiffrement sont la même opération).
Cela arrive quand les registres C et D ont, chacun, tous leurs bits
à la même valeur. On connait 4 clés DES avec cette proriété,
0101010101010101, 1F1F1F1F0E0E0E0E, et leur complément.
Une clé DES "semi-faible" a la particularité qu'elle admet une
clé jumelle telle que le chiffrement avec la clé semi-faible suivi
du chiffrement par la clé jumelle est l'identité.
On connait 16 clés DES avec cette proriété, en comptant les 4 clés
"faibles". Il serait très surprenant qu'il y en ait d'autres
(quoique je n'ai jamais vu de preuve formelle).
Selon le point de vue, il est
a) inutile
b) indispensable
de tester si l'on utilise une clé faible/semi-faible.
parce que
a1) la probabilité de tomber sur une clé semi-faible est
négligeable (2^-52) par rapport à d'autres catastrophes
beaucoup plus plausibles (genre oblitération du dispositif
par une comète avant le remplacement de la clé).
a2) mener une attaque qui suppose la clé semi-faible est
a peine plus efficace qu'essayer les quelques clés semi-faibles
par énumération des 16 clés possibles.
a3) si cette vérification est mal faite, elle peut livrer
de l'information sur la clé (attaque par timing, DPA..),
même si la clé passe la vérification.
a4) si on applique ce test à une clé calculée, cette
vérification peut être un moyen pour l'adversaire de tester
l'hypothèse qu'avec telle entrée, ce calcul produit une valeur
parmis 16.
b1) si on ne fait pas ce test, on n'a pas pris toutes les
précautions conseillées, ce qui pourrait servir d'argument
à un fâcheux contestant la valeur d'une preuve cryptographique.
b2) si on fait ce test, au moins on est sur que les clés
"tout à 0" et "tout à 1" ne sont pas utilisées par erreur,
ce qui est une erreur plausible, voire fréquente.
Ce débat et cet argumentaire se retrouve mutatis mutandis
entre tenants de la génération aléatoire des premiers pour RSA,
et ceux demandant de prendre en considération la factorisation
de p-1, p+1, et que p et q ne sont pas trop proches.
Qu'est-ce qu'une clé DES "faible" ou "semi faible" ?
Une clé DES "faible" a la particularité que, quand on l'utilise, chiffrer 2 fois est l'identité (ou, ce qui revient au même, le chiffrement et le déchiffrement sont la même opération). Cela arrive quand les registres C et D ont, chacun, tous leurs bits à la même valeur. On connait 4 clés DES avec cette proriété, 0101010101010101, 1F1F1F1F0E0E0E0E, et leur complément.
Une clé DES "semi-faible" a la particularité qu'elle admet une clé jumelle telle que le chiffrement avec la clé semi-faible suivi du chiffrement par la clé jumelle est l'identité. On connait 16 clés DES avec cette proriété, en comptant les 4 clés "faibles". Il serait très surprenant qu'il y en ait d'autres (quoique je n'ai jamais vu de preuve formelle).
Selon le point de vue, il est a) inutile b) indispensable de tester si l'on utilise une clé faible/semi-faible.
parce que a1) la probabilité de tomber sur une clé semi-faible est négligeable (2^-52) par rapport à d'autres catastrophes beaucoup plus plausibles (genre oblitération du dispositif par une comète avant le remplacement de la clé). a2) mener une attaque qui suppose la clé semi-faible est a peine plus efficace qu'essayer les quelques clés semi-faibles par énumération des 16 clés possibles. a3) si cette vérification est mal faite, elle peut livrer de l'information sur la clé (attaque par timing, DPA..), même si la clé passe la vérification. a4) si on applique ce test à une clé calculée, cette vérification peut être un moyen pour l'adversaire de tester l'hypothèse qu'avec telle entrée, ce calcul produit une valeur parmis 16. b1) si on ne fait pas ce test, on n'a pas pris toutes les précautions conseillées, ce qui pourrait servir d'argument à un fâcheux contestant la valeur d'une preuve cryptographique. b2) si on fait ce test, au moins on est sur que les clés "tout à 0" et "tout à 1" ne sont pas utilisées par erreur, ce qui est une erreur plausible, voire fréquente.
Ce débat et cet argumentaire se retrouve mutatis mutandis entre tenants de la génération aléatoire des premiers pour RSA, et ceux demandant de prendre en considération la factorisation de p-1, p+1, et que p et q ne sont pas trop proches.
Hum la définition (le 2006/01/23 à 17:49 GMT) des clés semi-faibles (présente dans la version Française uniquement) est erronée:
"Les clés semi-faibles de DES sont des clés K_1 et K_2 satisfaisant la propriété suivante : E_{K_1}(M) = E_{K_2}(M) où E est l'opération de chiffrement DES. Cela signifie que deux clés vont produire la même sortie quel que soit le message en entrée."
Déjà il faudrait dire K1!=K2, sinon toute clé satisfait à cette définition. Et surtout, avec cette correction, c'est la définition de clés équivalentes. Et dans DES, il n'y en a pas. Ou alors, ce serait un vrai scoop.
François Grieu
Dans l'article <m3wtgqkh0c.fsf@alussinan.org>,
Michel Arboi <arboi@alussinan.org> a signalé:
Hum la définition (le 2006/01/23 à 17:49 GMT) des clés semi-faibles
(présente dans la version Française uniquement) est erronée:
"Les clés semi-faibles de DES sont des clés K_1 et K_2 satisfaisant
la propriété suivante : E_{K_1}(M) = E_{K_2}(M)
où E est l'opération de chiffrement DES. Cela signifie que deux clés
vont produire la même sortie quel que soit le message en entrée."
Déjà il faudrait dire K1!=K2, sinon toute clé satisfait à cette
définition. Et surtout, avec cette correction, c'est la définition
de clés équivalentes. Et dans DES, il n'y en a pas. Ou alors, ce serait
un vrai scoop.
Hum la définition (le 2006/01/23 à 17:49 GMT) des clés semi-faibles (présente dans la version Française uniquement) est erronée:
"Les clés semi-faibles de DES sont des clés K_1 et K_2 satisfaisant la propriété suivante : E_{K_1}(M) = E_{K_2}(M) où E est l'opération de chiffrement DES. Cela signifie que deux clés vont produire la même sortie quel que soit le message en entrée."
Déjà il faudrait dire K1!=K2, sinon toute clé satisfait à cette définition. Et surtout, avec cette correction, c'est la définition de clés équivalentes. Et dans DES, il n'y en a pas. Ou alors, ce serait un vrai scoop.
François Grieu
EJA
Merci beaucoup pour vos réponses Comme elles cryptent aussi, pourquoi ces clés doivent-elle être éviter, en quoi ça les rend plus facile à trouver ? parce que les cryptanalistes les essaient habituellement en premier ? parce que la chaîne de 0 et de 1 résultant d'un DES ou 3DES via une clé faible ou semi faible est reconnaissable ? Merci beaucoup à nouveau pour vos réponses. Eric JA
Merci beaucoup pour vos réponses
Comme elles cryptent aussi, pourquoi ces clés doivent-elle être
éviter, en quoi
ça les rend plus facile à trouver ? parce que les cryptanalistes les
essaient
habituellement en premier ? parce que la chaîne de 0 et de 1
résultant d'un
DES ou 3DES via une clé faible ou semi faible est reconnaissable ?
Merci beaucoup à nouveau pour vos réponses.
Eric JA
Merci beaucoup pour vos réponses Comme elles cryptent aussi, pourquoi ces clés doivent-elle être éviter, en quoi ça les rend plus facile à trouver ? parce que les cryptanalistes les essaient habituellement en premier ? parce que la chaîne de 0 et de 1 résultant d'un DES ou 3DES via une clé faible ou semi faible est reconnaissable ? Merci beaucoup à nouveau pour vos réponses. Eric JA
Francois Grieu
Dans l'article , "EJA" a écrit:
Comme elles (les clés DES faibles ou semi faibles) cryptent aussi, pourquoi ces clés doivent-elle être évitées ?
AMHA il n'y a pas de **bonne** raison **théorique** d'éviter ces clés, mais ce vieux débat ne peut être tranché dans un sens ou dans l'autre sans considération de l'environnement. Je tentais de l'expliquer un peu dans l'article
François Grieu
Dans l'article <1138227130.007038.299920@g47g2000cwa.googlegroups.com>,
"EJA" <eric.pc3475@free.fr> a écrit:
Comme elles (les clés DES faibles ou semi faibles) cryptent aussi,
pourquoi ces clés doivent-elle être évitées ?
AMHA il n'y a pas de **bonne** raison **théorique** d'éviter ces clés,
mais ce vieux débat ne peut être tranché dans un sens ou dans l'autre
sans considération de l'environnement. Je tentais de l'expliquer un
peu dans l'article <fgrieu-C6607D.18475423012006@news5-e.proxad.net>
Comme elles (les clés DES faibles ou semi faibles) cryptent aussi, pourquoi ces clés doivent-elle être évitées ?
AMHA il n'y a pas de **bonne** raison **théorique** d'éviter ces clés, mais ce vieux débat ne peut être tranché dans un sens ou dans l'autre sans considération de l'environnement. Je tentais de l'expliquer un peu dans l'article
