meilleur algorithme asymetrique?

On 2004-09-14, Boby <dim-mak@caramail.com> wrote:

Selon vous, quel est le meilleur algorithme entre RSA et Diffie-Hellman ?

C'est mieux un hélicoptère ou un sous-marin?

Regardes leurs utilisations respectives.

- DH: agrément d'un secret partagé (souvent une clé de session)
- RSA: Signature et chifrement à clef publique

La plupart des protocoles du monde réel (SSL/TLS, IKE, SSH...) mettent
en oeuvre les deux...

On 2004-09-14, Boby <dim-mak@caramail.com> wrote:

Selon vous, quel est le meilleur algorithme entre RSA et Diffie-Hellman ?

C'est mieux un hélicoptère ou un sous-marin?

Regardes leurs utilisations respectives.

- DH: agrément d'un secret partagé (souvent une clé de session)
- RSA: Signature et chifrement à clef publique

La plupart des protocoles du monde réel (SSL/TLS, IKE, SSH...) mettent
en oeuvre les deux...

non mais c'est parce que quand je génère une clé, PGP me demande de
choisir entre RSA et DH alors je voulais savoir lequel était le mieux.

On Wed, 15 Sep 2004 00:53:35 +0200, Boby wrote:

non mais c'est parce que quand je génère une clé, PGP me demande de
choisir entre RSA et DH alors je voulais savoir lequel était le mieux.

On préfère habituellement DH, pour plein de petites raisons :

- DH offre différentes méthodes de chiffrement (donc si l'une est
cassée, on peut toujours utiliser les autres) alors que les clés RSA
dépendent d'IDEA ;
- on peut créer une clé RSA avec un key ID ou une fingerprint donnée
(pour mettre la pagaille dans les serveurs de clés) ;
- lorsqu'on met la main sur une clé RSA (par quelque moyen que ce soit)
on peut tout faire (déchiffrement et signature) alors qu'une clé DH est
séparée en clé de chiffrement et clé de signature ;
- on peut associer plusieurs sous-clés de chiffrement à une seule clé
de signature DH.

Par ailleurs RSA n'est pas un "must have" dans le standard OpenPGP,
au contraire d'ElGamal (DH).

Sam.
--
Sam Hocevar <sam@zoy.org> <http://sam.zoy.org/>

Bonjour,

On Wed, 15 Sep 2004, Sam Hocevar wrote:

On Wed, 15 Sep 2004 00:53:35 +0200, Boby wrote:

non mais c'est parce que quand je génère une clé, PGP me demande de
choisir entre RSA et DH alors je voulais savoir lequel était le mieux.

On préfère habituellement DH, pour plein de petites raisons :

- DH offre différentes méthodes de chiffrement (donc si l'une est
cassée, on peut toujours utiliser les autres) alors que les clés RSA
dépendent d'IDEA ;

Portnawak'. On peut aussi faire de l'AES et du RSA, du DES et du RSA, du
<truc> avec du RSA, idem qu'avec du DH...

- on peut créer une clé RSA avec un key ID ou une fingerprint donnée
(pour mettre la pagaille dans les serveurs de clés) ;

Un ID donné, oui (encore que pour une clé V4, ça demande beaucoup plus de
travail). Un fingerprint donné, non (pour l'instant).

- lorsqu'on met la main sur une clé RSA (par quelque moyen que ce soit)
on peut tout faire (déchiffrement et signature) alors qu'une clé DH est
séparée en clé de chiffrement et clé de signature ;

Et? De toute façon, si on obtient la clé privée d'un utilisateur, il n'a
plus qu'à la révoquer et à en créer une nouvelle, qu'elle soit RSA ou
DH... De plus, il y a de fortes chances que si on parvient à obtenir la
clé DH d'un utilisateur, on ait *aussi* la clé DSA.

Par ailleurs RSA n'est pas un "must have" dans le standard OpenPGP,
au contraire d'ElGamal (DH).

Le support du RSA est quand même un SHOULD, et d'après la RFC2119, la
définition de ce SHOULD est:
-----
This word, or the adjective "RECOMMENDED", mean that there
may exist valid reasons in particular circumstances to ignore a
particular item, but the full implications must be understood and
carefully weighed before choosing a different course.
-----

En pratique, tout le monde supporte le RSA...

--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
J'ai une dissert' en français : "Trouvez-vous regrettable
que le camping sauvage soit interdit en France ?"
Pouvez-vous m'aider, car je n'ai jamais campé !...
-+- Laure in:Guide du Neuneu d'Usenet- Youkaidi, youkaida -+-

Erwann ABALEA wrote:

On Wed, 15 Sep 2004, Sam Hocevar wrote:

Par ailleurs RSA n'est pas un "must have" dans le standard OpenPGP,
au contraire d'ElGamal (DH).

Le support du RSA est quand même un SHOULD, et d'après la RFC2119, la
définition de ce SHOULD est [...]

Il me semble quand même surtout peser assez lourd dans la balance qu'il
n'y a jamais eu de problème majeur avec l'implémentation de RSA,
contrairement à celle d'Elgamal, cf
"Debian Security Advisory DSA 429-1 -- New gnupg packages fix
cryptographic weakness in ElGamal signing keys"
http://www.auscert.org.au/render.html?it792&cid=1

On Wed, 15 Sep 2004 11:25:57 +0200, Erwann ABALEA wrote:

- DH offre différentes méthodes de chiffrement (donc si l'une est
cassée, on peut toujours utiliser les autres) alors que les clés RSA
dépendent d'IDEA ;

Portnawak'. On peut aussi faire de l'AES et du RSA, du DES et du RSA, du
<truc> avec du RSA, idem qu'avec du DH...

OK, je ne connais pas PGP, mais si une version récente
permet d'utiliser IDEA, je te crois ; je tirais ça de
http://www.scramdisk.clara.net/pgpfaq.html où l'auteur dit "DH keys
offer a choice of multiple ciphers. If one cipher is broken then not
all DH keys will be useless. If IDEA is broken then all RSA keys are
useless."

- on peut créer une clé RSA avec un key ID ou une fingerprint donnée
(pour mettre la pagaille dans les serveurs de clés) ;

Un ID donné, oui (encore que pour une clé V4, ça demande beaucoup plus de
travail). Un fingerprint donné, non (pour l'instant).

Il me semble bien que si. Note bien que j'ai dit un key ID _ou_ une
fingerprint (http://cypherpunks.venona.com/date/1997/06/msg00523.html).

- lorsqu'on met la main sur une clé RSA (par quelque moyen que ce soit)
on peut tout faire (déchiffrement et signature) alors qu'une clé DH est
séparée en clé de chiffrement et clé de signature ;

Et? De toute façon, si on obtient la clé privée d'un utilisateur, il n'a
plus qu'à la révoquer et à en créer une nouvelle, qu'elle soit RSA ou
DH... De plus, il y a de fortes chances que si on parvient à obtenir la
clé DH d'un utilisateur, on ait *aussi* la clé DSA.

C'est pour ça que je dis « par quelque moyen que ce soit ». On peut
imaginer mettre la main sur la clé de chiffrement par le biais d'une
vulnérabilité dans la méthode de chiffrement ; cela ne compromettrait en
rien la clé de signature.

--
Sam.

DQo+IA0KPiBJbCBtZSBzZW1ibGUgcXVhbmQgbeptZSBzdXJ0b3V0IHBlc2VyIGFzc2V6IGxvdXJk
IGRhbnMgbGEgYmFsYW5jZQ0KPiBxdSdpbCBuJ3kgYSBqYW1haXMgZXUgZGUgcHJvYmzobWUgbWFq
ZXVyIGF2ZWMgbCdpbXBs6W1lbnRhdGlvbiBkZSBSU0EsDQo+IA0KPiBjb250cmFpcmVtZW50IOAg
Y2VsbGUgZCdFbGdhbWFsLCBjZg0KDQpTaSwgdG91dCBwbGVpbiwgY29tbWUgbCdhdHRhcXVlIGRl
IFdpZW5lciBlbiAxOTg5IG91IGNlbGxlDQpkZSBCbGVpY2hlbmJhY2hlciBzdXIgU1NMIHYzLjAg
ZW4gMTk5OC4NCg0KDQotLSANCnNoZW4NClthY3UgMjAwNV0NCiJZb3Uga25vdyB3aGF0LCBJJ20g
aGFwcHkuLi4iDQoJCQlEcm9vcHkNCg==

Bonjour,

On Wed, 15 Sep 2004, Sam Hocevar wrote:

On Wed, 15 Sep 2004 11:25:57 +0200, Erwann ABALEA wrote:

- DH offre différentes méthodes de chiffrement (donc si l'une est
cassée, on peut toujours utiliser les autres) alors que les clés RSA
dépendent d'IDEA ;

Portnawak'. On peut aussi faire de l'AES et du RSA, du DES et du RSA, du
<truc> avec du RSA, idem qu'avec du DH...

OK, je ne connais pas PGP, mais si une version récente
permet d'utiliser IDEA, je te crois ; je tirais ça de

Historiquement, les premières versions de PGP (jusqu'à la 2.3a inclus, je
pense) ne savent faire que du RSA et de l'IDEA. A partir de PGP 5.x,
d'autres algos symétriques ont été ajoutés.

http://www.scramdisk.clara.net/pgpfaq.html où l'auteur dit "DH keys

Cette FAQ date de 1999, elle est donc postérieure à la RFC2440 et à PGP
5.0.

offer a choice of multiple ciphers. If one cipher is broken then not
all DH keys will be useless. If IDEA is broken then all RSA keys are
useless."

J'ai parcouru les sources d'un PGP relativement ancien (5.0, datant de
1998), et à part une compatibilité avec les clés v2 où l'algo IDEA est
forcé si on chiffre à destination d'une telle clé, je n'ai rien vu qui
associe IDEA et RSA, et à part pour cette histoire de compatibilité
ascendante, je ne vois pas pourquoi une telle association existerait.
Générer une clé RSA avec un PGP récent supprime ce comportement, donc.

- on peut créer une clé RSA avec un key ID ou une fingerprint donnée
(pour mettre la pagaille dans les serveurs de clés) ;

Un ID donné, oui (encore que pour une clé V4, ça demande beaucoup plus de
travail). Un fingerprint donné, non (pour l'instant).

Il me semble bien que si. Note bien que j'ai dit un key ID _ou_ une
fingerprint (http://cypherpunks.venona.com/date/1997/06/msg00523.html).

Bien vu. Le problème du déchiffrement qui échoue à cause du CRT qui n'aime
pas que p ou q soit trop petit est facilement contournable: ya ka pas
utiliser le CRT. Là encore, l'utilisation d'un PGP pas trop ancien (>=5.0)
permet de créer des clés au format V4 (PGPVERSION_3, je sais, c'est
bizarre), donc utilisant la nouvelle méthode de calcul du KeyID et du
fingerprint (SHA1).

- lorsqu'on met la main sur une clé RSA (par quelque moyen que ce soit)
on peut tout faire (déchiffrement et signature) alors qu'une clé DH est
séparée en clé de chiffrement et clé de signature ;

Et? De toute façon, si on obtient la clé privée d'un utilisateur, il n'a
plus qu'à la révoquer et à en créer une nouvelle, qu'elle soit RSA ou
DH... De plus, il y a de fortes chances que si on parvient à obtenir la
clé DH d'un utilisateur, on ait *aussi* la clé DSA.

C'est pour ça que je dis « par quelque moyen que ce soit ». On peut
imaginer mettre la main sur la clé de chiffrement par le biais d'une
vulnérabilité dans la méthode de chiffrement ; cela ne compromettrait en
rien la clé de signature.

Oui, c'est vrai, ça reste possible.

--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
J'ai reçu un mail parlant d'un petit garçon malade. Je l'ai transféré à
tous ceux que je connaissais. On me dit que c'est un attrape couillons.
Est-ce vrai? Suis-je vraiment aussi con que le prétend ma femme?
-+-C in GNU - Le plus dur dans le mariage, c'est d'en sortir vivant -+-

Jean-Marc Desperrier <jmdesp@alussinan.org> wrote in message news:<ci92bf$o0u$1@reader1.imaginet.fr>...

Erwann ABALEA wrote:

On Wed, 15 Sep 2004, Sam Hocevar wrote:

Par ailleurs RSA n'est pas un "must have" dans le standard OpenPGP,
au contraire d'ElGamal (DH).

Le support du RSA est quand même un SHOULD, et d'après la RFC2119, la
définition de ce SHOULD est [...]

Il me semble quand même surtout peser assez lourd dans la balance qu'il
n'y a jamais eu de problème majeur avec l'implémentation de RSA,
contrairement à celle d'Elgamal, cf
"Debian Security Advisory DSA 429-1 -- New gnupg packages fix
cryptographic weakness in ElGamal signing keys"
http://www.auscert.org.au/render.html?it792&cid=1

mui

"Phong Nguyen identified a severe bug in the way GnuPG creates and uses
ElGamal keys for signing."

Comme tu dis c'est rapport a l'implementation et pas a l'algo lui meme.

According to chaton <chaton@tristeza.org>:

"Phong Nguyen identified a severe bug in the way GnuPG creates and uses
ElGamal keys for signing."

Comme tu dis c'est rapport a l'implementation et pas a l'algo lui meme.

Nuançons néanmoins. Dans un système tel que RSA ou El Gamal, il y a un
algorithme de base, mathématique, et dans le cas d'El Gamal ça fait
vingt ans qu'on l'étudie et il a l'air bien solide.

Mais il y a aussi la mise en oeuvre. Pour RSA, il y a un standard
(PKCS#1) qui décrit le mode de padding et précisément quel octet va
où de façon non ambigüe. Il y a de plus tout un ensemble de règles,
acquises par l'expérience, qui permettent d'éviter des ennuis (comme,
par exemple, l'application d'un masquage adéquat pour contrer les
attaques par chronométrage). Grâce à ça, la plupart des programmeurs
compétents qui s'attaquent à l'implémentation de RSA arrivent à faire
un boulot correct.

On ne peut pas en dire autant d'El Gamal, et c'est bien dommage.


--Thomas Pornin