Hashmask Lite ... futur Challenge.

Stephane CARPENTIER <sc@fiat-linux.fr> écrivait :

Denis CAMUS wrote:

Stephane CARPENTIER a formulé ce mardi :

Sinon, je suis surpris, le MISC hors série actuel fait un état des lieux
de la cryptographie moderne. Pourtant, je n'ai vu aucun article de toi,
ni aucun article sur tes méthodes de chiffrement.

Question d'un béochien : c'est quoi le MISC et où le trouve-t-on ?

Pour compléter la réponse d'Erwan, je dirais que c'est le magazine de
référence de sécurité informatique en français. C'est d'un autre niveau que
le virus informatique (je ne sais pas si ça existe encore).

Tu tapes MISC dans google et les trois premiers liens te donneront plus de
renseignements.

Il y existe aussi hakin9 qui est plus dur à trouver, et qui est la
traduction d'un magazine étranger.

hakin9 est polonais si je ne m'abuse...

--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé

Pour compléter la réponse d'Erwan, je dirais que c'est le magazine de
référence de sécurité informatique en français. C'est d'un autre niveau que
le virus informatique (je ne sais pas si ça existe encore).

Tu tapes MISC dans google et les trois premiers liens te donneront plus de
renseignements.

Il y existe aussi hakin9 qui est plus dur à trouver, et qui est la
traduction d'un magazine étranger.

LP : Je ne risque pas d'être dedans , a moins que Christophe HENRY prouve
que Hashmask lite est totalement invulnérable à toute attaque connue sur ce
genre de principe.La crypto pour moi , ce n'est pas mon métier , ni même un
véritable loisir , c'est juste comme ça pour décompresser un peu entre
l'écriture de deux livres.
J'ai rencontré Dimitri à cause de ma théorie sur la pyramide de Chéops et
voila , on a enchainé sur des essais de chiffrement. D'abord CENA, puis CEC
puis HasMasK. Ca occupe l'esprit d'essayer de trouver un système simple et
ultra résistant.
Personnellement , je pense que pour casser HashMask ça risque d'être dur.
C'est peut être possible mais surement pas par n'importe qui.

Denis CAMUS a présenté l'énoncé suivant :

Question d'un béochien : c'est quoi le MISC et où le trouve-t-on ?

Merci à tous pour vos réponses. Je vais squatter la maison de la presse
locale.

Denis

--
Seuls les faucons volent.
Les vrais restent au sol.

Le Tue, 08 May 2012 06:17:57 -0700, dimitri.mestdagh a écrit :

En fait, SHA-256 est cassé au sens où tu l'entends. Par exemple, à quoi
31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66
correspond ?

Il suffit de le demander à google! (gbgb)

Hmmm.... J'ai des doutes là dessus... ce qu'on trouve sur google ce sont
surtout des références de passwords classiques genre "toto", "toto1",
etc...

En effet. Donc l'utilisation de SHA256 seul ne garantit pas
l'invulnérabilité du procédé. C'est effectivement "toto" que j'avais
condensé.

Là je teste dans google quelques hash SHA-256 générés par l'outil et
aucun ne ressort comme étant connu...

Parce que les listing disponible sur Internet ne les contiennent pas.
Mais comme souvent les mots de passe sont prévisibles, du fait du manque
de vigilance, alors il est possible de remonter jusqu'au clair.

Il reste encore certainement les "rainbow tables" à exploiter mais il
faudra alors générer des tables de hash contenant toute (ou partie de)
la clé qui aura servi à saler ceux utilisés par l'outil.
(...)

C'est l'idée, mais je pense que ça ne marchera pas ici. C'est intelligent
de réutiliser la clé pour générer la suite, dans l'algo.

Ca devrait suffire à compliquer assez le process de reverse engineering
de façon à ce que le cracking ne soit pas gérable à l'échelle d'une vie
humaine... non ?

C'est vrai. Quand la porte est fermée, on passe par la fenêtre...


Je publierai mon article ce soir, comme promis.

--
Christophe HENRY
FR EO EN - http://www.sbgodin.fr

Erwan David wrote:

Stephane CARPENTIER <sc@fiat-linux.fr> écrivait :

Il y existe aussi hakin9 qui est plus dur à trouver, et qui est la
traduction d'un magazine étranger.

hakin9 est polonais si je ne m'abuse...

C'est très possible, si ce n'est pas le cas, c'est bien imité.

Philippe Lheureux wrote:

Personnellement , je pense que pour casser HashMask ça risque d'être dur.
C'est peut être possible mais surement pas par n'importe qui.

Voilà, c'est bien ce qui t'es reproché. Que tu t'amuses à te créer tes algos
n'est pas un problème, loin de là.

Que tu affirmes qu'ils sont efficaces sans en comprendre leurs failles
(quand elles te sont expliquées) est lassant.

Je vais faire une analogie. Supposons que tu installes une porte blindée.

Quelqu'un la regarde et t'explique que la serrure est nulle. Au lieu de
remplacer la serrure, tu vas mettre du chatterton devant. La personne va
enlever le bout de chatterton, pour te montrer que la serrure est toujours
nulle.

Au lieu de remplacer la serrure, tu vas mettre 50 bouts de chatterton sur ta
porte. La personne va mettre plus de temps à trouver le bout de chatterton
qui cache la serrure. C'est vrai que ça retarde un attaquant, mais pas assez
pour dire que la serrure est bonne. L'attaquant trouvera que virer les 49
bouts de chatterton avant d'attaquer la serrure est chiant.

Au moment où tu auras mis 5000 bouts de chatterton sur ta porte, avec
toujours la même serrure, tout le monde se sera lassé. Si tu changes enfin
ta serrure, les gens voudrons savoir si tu as vraiment compris pourquoi ta
serrure initiale était mauvaise avant de se fatiguer à virer les 5000 bouts
de chatterton.

Pour ton algo, c'est pareil, les lecteurs veulent savoir pourquoi ton algo
est efficace avant de le regarder.

Quelqu'un la regarde et t'explique que la serrure est nulle. Au lieu de
remplacer la serrure, tu vas mettre du chatterton devant. La personne va
enlever le bout de chatterton, pour te montrer que la serrure est toujours
nulle.

LP : Pour l'instant , en ce qui concerne HashMask , personne n'a dit que le
système était nul.

Au lieu de remplacer la serrure, tu vas mettre 50 bouts de chatterton sur ta
porte. La personne va mettre plus de temps à trouver le bout de chatterton
qui cache la serrure. C'est vrai que ça retarde un attaquant, mais pas assez
pour dire que la serrure est bonne. L'attaquant trouvera que virer les 49
bouts de chatterton avant d'attaquer la serrure est chiant.

LP: Justement non , si tu avais lu www.superlutin.net/cec.html on a enlevé
tout le chatterton pour ne laisser que la serrure.

Au moment où tu auras mis 5000 bouts de chatterton sur ta porte, avec
toujours la même serrure, tout le monde se sera lassé. Si tu changes enfin
ta serrure, les gens voudrons savoir si tu as vraiment compris pourquoi ta
serrure initiale était mauvaise avant de se fatiguer à virer les 5000 bouts
de chatterton.

Pour ton algo, c'est pareil, les lecteurs veulent savoir pourquoi ton algo
est efficace avant de le regarder.

LP: Ce n'est pas à moi de dire s'il est efficace ou non ... dans les deux
cas , personne ne me croirait. Je pense que l'avis d'une tierce personne
comme Christophe Henry serait plus crédible.

Philippe Lheureux wrote:

LP: Ce n'est pas à moi de dire s'il est efficace ou non

Bien sûr que si.

... dans les deux
cas , personne ne me croirait.

Je ne te parle pas de l'affirmer, mais de le prouver.

Bonjour à tous,

Comme annoncé, j'ai cryptanalysé Hashmask. Par construction, cet
algorithme est à clé à usage unique. Si une clé est utilisée deux fois,
alors la porte est grande ouverte à la cryptanalyse.

La faiblesse de l'algorithme est qu'il n'y a pas besoin de clé pour
rentrer. La fenêtre grande ouverte est le masque lui-même. Avec un clair
et un chiffré, on calcule le masque. Avec le masque, on peut alors
décrypter un fichier chiffré avec la même clé. La seule restriction est
que la taille du masque accessible est limité par la longueur du clair.

Ainsi, j'ai formellement démontré que le challenge proposé par Philippe
était faisable, mais pas pour la portion de fichier au-délà du masque
calculé. Et effectivement, le fichier à déchiffrer reprend le clair qu'il
complète ensuite. Cette partie supplémentaire m'est inacessible.

J'ai posté mon article ici :
[http://blog.sbgodin.fr/index.php?2012/05/09/00/29/56-cryptanalyse-de-
hashmask]

Les codes sources sont ici :
[https://sekur.sbgodin.fr/svn/hashmask/trunk/]

--
Christophe HENRY
FR EO EN - http://www.sbgodin.fr

Comme annoncé, j'ai cryptanalysé Hashmask.

Très belle démonstration de cryptanalyse, encore une fois. Merci pour
le temps passé à l'étude et à la rédaction.

Par construction, cet
algorithme est à clé à usage unique. Si une clé est utilisée de ux fois,
alors la porte est grande ouverte à la cryptanalyse.

Oui c'est la condition sine qua non pour assurer la sécurité du
chiffre...
Il me semble que c'est la même recommandation pour l'utilisation du
masque jetable classique, non ?

La faiblesse de l'algorithme est qu'il n'y a pas besoin de clé pour
rentrer. La fenêtre grande ouverte est le masque lui-même. Avec un cl air
et un chiffré, on calcule le masque. Avec le masque, on peut alors
décrypter un fichier chiffré avec la même clé. La seule restricti on est
que la taille du masque accessible est limité par la longueur du clair.

Ainsi, j'ai formellement démontré que le challenge proposé par Phil ippe
était faisable, mais pas pour la portion de fichier au-délà du masq ue
calculé. Et effectivement, le fichier à déchiffrer reprend le clair qu'il
complète ensuite. Cette partie supplémentaire m'est inacessible.

C'est bien l'effet recherché.

Sinon, le fait d'encapsuler (si on peut dire) le nom du fichier
original dans le chiffrement pourrait effectivement être perçu comme
une faille à exploiter ; cependant un nom de fichier n'excédant
généralement pas les 32 caractères, il ne serait véritablement
possible de s'en servir pour que pour retrouver une partie (seulement)
du dernier segment du masque, ce qui semble difficilement exploitable
en réalité : il faudrait (à condition de connaitre le nom du fichier
original, évidemment) :
- compléter ce dernier segment du masque à hauteur de 32 caractères
- utiliser le dernier segment pour en déduire le précédent
- recommencer jusqu'à obtenir le premier segment du masque (et ainsi
le masque en intégralité)

Etant donné le sel utilisé pour la création des hash SHA-256, ces deu x
derniers points semblent plus difficiles à réaliser aujourd'hui qu'une
simple brute-force sur la clé... Quant à la complétion initiale du
dernier segment, tout dépend de la longueur du nom de fichier bien
sûr, mais par exemple pour un nom de fichier de 12 caractères, il faut
encore en trouver/déduire 20 avant de pouvoir espérer en tirer quelque
chose d'éventuellement exploitable... même réflexion donc, il semble
plus judicieux d'attaquer directement la clé en brute force dans ce
cas.

Questions :

- Est-il possible de déduire la chaine commune (clé) concaténée
(successivement avec le hash précédent) à partir de tous les hash
utilisés ? par recoupement ou autres tables arc-en-ciel ?

- Le principe permettant de casser RC4 (ou le WEP) consiste à analyser
les flux de chiffrement générés afin de déterminer le vecteur commu n
(la clé) par statistiques, cependant l'opération nécessite plusieurs
échanges (quelques millions) réalisés avec une même clé. Cela per met-
il d'affirmer qu'il est absolument impossible d'opérer une quelconque
analyse à partir du moment où on n'utilise jamais deux fois la même
clé ?

Pour conclure : si j'ai bien suivi la cryptanalyse, il semble possible
d'affirmer que :
- il est possible de reconstituer le masque uniquement si on dispose à
la fois du clair et du chiffré
- reconstituer le masque ne permet pas de retrouver la clé utilisée
- reconstituer le masque ne représente pas d'intérêt si l'utilisateur
change de clé à chaque utilisation comme prévu
- exploiter le nom du fichier encapsulé dans le chiffré semble moins
efficace qu'une brute-force sur la clé
(n'hésitez pas à me dire si je me trompe...)

On parle ici d'une version "allégée" de l'algo de Philippe. La version
originale comprenait une substitution (basée sur les valeurs de la
clé) de la table ascii (utilisée pour la conversion hexa/decimal/
ascii) lors de la création du masque, ainsi qu'une substitution des
caractères en sortie. Ce principe applicatif compliquerait grandement
l'obtention du masque original dans le processus de reverse, serait-il
pertinent de le réintroduire dans la méthode ou bien ne s'agit-il
encore ici que d'une rustine (chatterton) inutile à implémenter ?

Merci pour vos réponses :)