En fait, et à ma connaissance toujours, pas prouvé pour la majorité des
algos symétriques. T. Pornin en sait probablement beaucoup plus sur le
sujet.
En fait, et à ma connaissance toujours, pas prouvé pour la majorité des
algos symétriques. T. Pornin en sait probablement beaucoup plus sur le
sujet.
En fait, et à ma connaissance toujours, pas prouvé pour la majorité des
algos symétriques. T. Pornin en sait probablement beaucoup plus sur le
sujet.
Ce qu'on peut dire en
revanche, c'est que le surchiffrement n'affaiblit pas _si les clés
sont bien indépendantes_. C'est facile à prouver par l'absurde :
Supposons un instant que l'attaquant a une machine qui lui permet
de casser facilement du double-DES : si on lui donne E_K'(E_K(x))
pour un certain nombre de valeurs de x, la machine renvoie K et K' en
quelques secondes. Supposons maintenant que l'attaquant veut casser du
simple-DES : il a des E_K(x) pour un certain nombre de valeurs de x, il
veut retrouver K. Alors, il n'a qu'à choisir un K' aléatoire, calculer
E_K'(E_K(x)) pour tous ses x, et fourguer le tout à sa machine. La
machine lui renvoie K et K'. K', il s'en balance, puisqu'il l'a choisie,
mais K, voilà qui l'intéresse.
Autrement dit, une machine capable de casser du double-DES peut casser
du simple-DES aussi facilement. Donc double-DES n'est pas moins solide
que simple-DES. Que DES soit un groupe ou pas.
Je ne saisi pas bien le raisonnement.
Ce qu'on peut dire en
revanche, c'est que le surchiffrement n'affaiblit pas _si les clés
sont bien indépendantes_. C'est facile à prouver par l'absurde :
Supposons un instant que l'attaquant a une machine qui lui permet
de casser facilement du double-DES : si on lui donne E_K'(E_K(x))
pour un certain nombre de valeurs de x, la machine renvoie K et K' en
quelques secondes. Supposons maintenant que l'attaquant veut casser du
simple-DES : il a des E_K(x) pour un certain nombre de valeurs de x, il
veut retrouver K. Alors, il n'a qu'à choisir un K' aléatoire, calculer
E_K'(E_K(x)) pour tous ses x, et fourguer le tout à sa machine. La
machine lui renvoie K et K'. K', il s'en balance, puisqu'il l'a choisie,
mais K, voilà qui l'intéresse.
Autrement dit, une machine capable de casser du double-DES peut casser
du simple-DES aussi facilement. Donc double-DES n'est pas moins solide
que simple-DES. Que DES soit un groupe ou pas.
Je ne saisi pas bien le raisonnement.
Ce qu'on peut dire en
revanche, c'est que le surchiffrement n'affaiblit pas _si les clés
sont bien indépendantes_. C'est facile à prouver par l'absurde :
Supposons un instant que l'attaquant a une machine qui lui permet
de casser facilement du double-DES : si on lui donne E_K'(E_K(x))
pour un certain nombre de valeurs de x, la machine renvoie K et K' en
quelques secondes. Supposons maintenant que l'attaquant veut casser du
simple-DES : il a des E_K(x) pour un certain nombre de valeurs de x, il
veut retrouver K. Alors, il n'a qu'à choisir un K' aléatoire, calculer
E_K'(E_K(x)) pour tous ses x, et fourguer le tout à sa machine. La
machine lui renvoie K et K'. K', il s'en balance, puisqu'il l'a choisie,
mais K, voilà qui l'intéresse.
Autrement dit, une machine capable de casser du double-DES peut casser
du simple-DES aussi facilement. Donc double-DES n'est pas moins solide
que simple-DES. Que DES soit un groupe ou pas.
Je ne saisi pas bien le raisonnement.
According to Pierre Vandevenne :En fait, et à ma connaissance toujours, pas prouvé pour la majorité des
algos symétriques. T. Pornin en sait probablement beaucoup plus sur le
sujet.
C'est malin de m'invoquer comme ça. Maintenant je me sens obligé de
répondre.
According to Pierre Vandevenne <pierre@datarescue.com>:
En fait, et à ma connaissance toujours, pas prouvé pour la majorité des
algos symétriques. T. Pornin en sait probablement beaucoup plus sur le
sujet.
C'est malin de m'invoquer comme ça. Maintenant je me sens obligé de
répondre.
According to Pierre Vandevenne :En fait, et à ma connaissance toujours, pas prouvé pour la majorité des
algos symétriques. T. Pornin en sait probablement beaucoup plus sur le
sujet.
C'est malin de m'invoquer comme ça. Maintenant je me sens obligé de
répondre.
Je ne saisis pas bien le raisonnement.
Je ne saisis pas bien le raisonnement.
Je ne saisis pas bien le raisonnement.
According to Pierre Vandevenne :En fait, et à ma connaissance toujours, pas prouvé pour la majorité des
algos symétriques. T. Pornin en sait probablement beaucoup plus sur le
sujet.
C'est malin de m'invoquer comme ça. Maintenant je me sens obligé de
répondre.
Pour la très grande majorité des algorithmes de chiffrement par blocs,
il n'est en effet pas prouvé que ces algorithmes ne sont pas des groupes
(mais c'est quand même fortement soupçonné -- disons que tomber sur une
structure de groupe serait bien étonnant, puisque rien n'a été fait
pour).
Pour un algorithme de chiffrement, je note E_K(x) = y la fonction de
chiffrement, avec K la clé, x le bloc clair et y le bloc chiffré. Quand
on parle de groupe, on parle en fait de sous-groupe du groupe des
permutations.
According to Pierre Vandevenne <pierre@datarescue.com>:
En fait, et à ma connaissance toujours, pas prouvé pour la majorité des
algos symétriques. T. Pornin en sait probablement beaucoup plus sur le
sujet.
C'est malin de m'invoquer comme ça. Maintenant je me sens obligé de
répondre.
Pour la très grande majorité des algorithmes de chiffrement par blocs,
il n'est en effet pas prouvé que ces algorithmes ne sont pas des groupes
(mais c'est quand même fortement soupçonné -- disons que tomber sur une
structure de groupe serait bien étonnant, puisque rien n'a été fait
pour).
Pour un algorithme de chiffrement, je note E_K(x) = y la fonction de
chiffrement, avec K la clé, x le bloc clair et y le bloc chiffré. Quand
on parle de groupe, on parle en fait de sous-groupe du groupe des
permutations.
According to Pierre Vandevenne :En fait, et à ma connaissance toujours, pas prouvé pour la majorité des
algos symétriques. T. Pornin en sait probablement beaucoup plus sur le
sujet.
C'est malin de m'invoquer comme ça. Maintenant je me sens obligé de
répondre.
Pour la très grande majorité des algorithmes de chiffrement par blocs,
il n'est en effet pas prouvé que ces algorithmes ne sont pas des groupes
(mais c'est quand même fortement soupçonné -- disons que tomber sur une
structure de groupe serait bien étonnant, puisque rien n'a été fait
pour).
Pour un algorithme de chiffrement, je note E_K(x) = y la fonction de
chiffrement, avec K la clé, x le bloc clair et y le bloc chiffré. Quand
on parle de groupe, on parle en fait de sous-groupe du groupe des
permutations.
Il est ainsi plutôt préférable de retenir le théorème de Maurer-Massey (cité
par Pascal Junod dans un précédent post) : "une cascade d'algorithmes de
chiffrement est au moins aussi sûre que le premier algorithme de cette
cascade" (moyennant une hypothèse tout à fait raisonnable similaire à celle
dont je faisais mention en début de post - cf. [2]).
Un corrollaire intéressant à ce théorème est : "Une cascade d'algorithmes de
chiffrement permutables est au moins aussi sûre que le plus solide des
algorithmes de chiffrement de cette cascade" (sans restriction, aucune, sur
le type d'attaque de l'opposant).
clairement établie. Par exemple, on peut mettre en cascade l'algorithme du
masque jetable (ou exclusif entre le clair et la clé à usage unique) où à
chaque étage de la cascade on emploiera une clé générée par un générateur de
nombres aléatoires de conception différente. On pourra par exemple
construire une cascade à deux étages utilisant chacun un générateur dont la
sécurité est basée pour l'un sur la difficulté de factoriser des grands
nombres et pour l'autre sur le problème des logarithmes discrets. Ainsi, la
cascade restera sûre même si les mathématiciens font une avancée majeure
concernant l'un de ces deux problèmes.
Il est ainsi plutôt préférable de retenir le théorème de Maurer-Massey (cité
par Pascal Junod dans un précédent post) : "une cascade d'algorithmes de
chiffrement est au moins aussi sûre que le premier algorithme de cette
cascade" (moyennant une hypothèse tout à fait raisonnable similaire à celle
dont je faisais mention en début de post - cf. [2]).
Un corrollaire intéressant à ce théorème est : "Une cascade d'algorithmes de
chiffrement permutables est au moins aussi sûre que le plus solide des
algorithmes de chiffrement de cette cascade" (sans restriction, aucune, sur
le type d'attaque de l'opposant).
clairement établie. Par exemple, on peut mettre en cascade l'algorithme du
masque jetable (ou exclusif entre le clair et la clé à usage unique) où à
chaque étage de la cascade on emploiera une clé générée par un générateur de
nombres aléatoires de conception différente. On pourra par exemple
construire une cascade à deux étages utilisant chacun un générateur dont la
sécurité est basée pour l'un sur la difficulté de factoriser des grands
nombres et pour l'autre sur le problème des logarithmes discrets. Ainsi, la
cascade restera sûre même si les mathématiciens font une avancée majeure
concernant l'un de ces deux problèmes.
Il est ainsi plutôt préférable de retenir le théorème de Maurer-Massey (cité
par Pascal Junod dans un précédent post) : "une cascade d'algorithmes de
chiffrement est au moins aussi sûre que le premier algorithme de cette
cascade" (moyennant une hypothèse tout à fait raisonnable similaire à celle
dont je faisais mention en début de post - cf. [2]).
Un corrollaire intéressant à ce théorème est : "Une cascade d'algorithmes de
chiffrement permutables est au moins aussi sûre que le plus solide des
algorithmes de chiffrement de cette cascade" (sans restriction, aucune, sur
le type d'attaque de l'opposant).
clairement établie. Par exemple, on peut mettre en cascade l'algorithme du
masque jetable (ou exclusif entre le clair et la clé à usage unique) où à
chaque étage de la cascade on emploiera une clé générée par un générateur de
nombres aléatoires de conception différente. On pourra par exemple
construire une cascade à deux étages utilisant chacun un générateur dont la
sécurité est basée pour l'un sur la difficulté de factoriser des grands
nombres et pour l'autre sur le problème des logarithmes discrets. Ainsi, la
cascade restera sûre même si les mathématiciens font une avancée majeure
concernant l'un de ces deux problèmes.
Un corrollaire intéressant à ce théorème est : "Une cascade d'algorithmes
de
chiffrement permutables est au moins aussi sûre que le plus solide des
algorithmes de chiffrement de cette cascade" (sans restriction, aucune,
sur
le type d'attaque de l'opposant).
Pas correct. Ce "corollaire" est seulement valable si les ciphers sont
commutatifs... (ca serait le cas de stream ciphers, mais pour les blocks
ciphers, ca ne marche quasiment jamais).
C'est ce que je voulais dire par "algorithmes de chiffrement _permutables_".
Un corrollaire intéressant à ce théorème est : "Une cascade d'algorithmes
de
chiffrement permutables est au moins aussi sûre que le plus solide des
algorithmes de chiffrement de cette cascade" (sans restriction, aucune,
sur
le type d'attaque de l'opposant).
Pas correct. Ce "corollaire" est seulement valable si les ciphers sont
commutatifs... (ca serait le cas de stream ciphers, mais pour les blocks
ciphers, ca ne marche quasiment jamais).
C'est ce que je voulais dire par "algorithmes de chiffrement _permutables_".
Un corrollaire intéressant à ce théorème est : "Une cascade d'algorithmes
de
chiffrement permutables est au moins aussi sûre que le plus solide des
algorithmes de chiffrement de cette cascade" (sans restriction, aucune,
sur
le type d'attaque de l'opposant).
Pas correct. Ce "corollaire" est seulement valable si les ciphers sont
commutatifs... (ca serait le cas de stream ciphers, mais pour les blocks
ciphers, ca ne marche quasiment jamais).
C'est ce que je voulais dire par "algorithmes de chiffrement _permutables_".
Pas correct. Ce "corollaire" est seulement valable si les ciphers sont
commutatifs... (ca serait le cas de stream ciphers, mais pour les blocks
ciphers, ca ne marche quasiment jamais).
C'est ce que je voulais dire par "algorithmes de chiffrement _permutables_".
Mais c'est vrai que le terme était peut-être mal choisi et que cà aurait
mérité d'être d'avantage explicité.
Pas correct. Ce "corollaire" est seulement valable si les ciphers sont
commutatifs... (ca serait le cas de stream ciphers, mais pour les blocks
ciphers, ca ne marche quasiment jamais).
C'est ce que je voulais dire par "algorithmes de chiffrement _permutables_".
Mais c'est vrai que le terme était peut-être mal choisi et que cà aurait
mérité d'être d'avantage explicité.
Pas correct. Ce "corollaire" est seulement valable si les ciphers sont
commutatifs... (ca serait le cas de stream ciphers, mais pour les blocks
ciphers, ca ne marche quasiment jamais).
C'est ce que je voulais dire par "algorithmes de chiffrement _permutables_".
Mais c'est vrai que le terme était peut-être mal choisi et que cà aurait
mérité d'être d'avantage explicité.