nombre caracteres et bits ?

Phil l'ancien

11/09/2007 à 21:50

mpg

F. Senault

Ce n'est pas vraiment le sujet du groupe, mais si, WinRar depuis les
versions 3 crypte effectivement tout le fichier de manière forte (avec
AES, comme dit dans le premier message).

Ayant déjà eu à essayer de récupérer des archives dont j'avais perdu le
mot de passe, c'est efficace (i.e. ça demande une attaque en force
brute).

Et ça se fait, par force brute ? Je remarque que tu dis essayer...

Puisqu'on parle d'attaque par force brute, je glisse
ma question de débutant...

Disons qu'un texte clair est chiffré par un algo
qui utilise une clé.

L'attaque par force brute consiste bien à essayer
successivement toutes les clés possibles jusqu'à
trouver la bonne, n'est-ce pas ?

Mais comment le programme attaquant sait-il
qu'il a trouvé la bonne clé ?

Exemple : disons que le texte clair est :
"Attaquez demain à l'aube", et que la clé
utilisée est : "MEDOR".

J'intercepte le message chiffré, et je l'attaque
par force brute.

Pour chaque clé incorrecte que j'essaie, j'obtiens
un texte incorrectement déchiffré.

Disons qu'avec la clé "REX" j'obtiens
(par hasard) le texte incorrectement déchiffré :
"Battez en retraite mercredi".

Comment sais-je que ce n'est pas
la bonne clé, et pas le bon texte ?

Phil l'ancien-

jcharles

11/09/2007 à 21:54

"F. Senault" a écrit dans le message de news:
1u9oqrz55qs84$

Ce n'est pas vraiment le sujet du groupe, mais si, WinRar depuis les
versions 3 crypte effectivement tout le fichier de manière forte (avec
AES, comme dit dans le premier message).

Ayant déjà eu à essayer de récupérer des archives dont j'avais perdu
le
mot de passe, c'est efficace (i.e. ça demande une attaque en force
brute).

hou ! mais je ne veux attaquer personne et surtout pas par brute force
;-)

(j'avais tester et ça m'avais paru effectivement bien long et
dissuasif)

j'ai cru comprendre qu'en France on a le droit de crypter jusqu'a 128
bits ;

Cela represente quels nombre de caracteres maximum à mettre dans le
mot
de passe ???

Alain a dit

"je suppose qu'avant de prendre les caractères ils forment un hash du
mot
de passe... dans ce cas pas de limite."

Alors : pas de limite ou à quel nombre maxi de caracteres ai je droit
legalement ?
--
jcharles

jcharles

11/09/2007 à 22:04

"Phil l'ancien" a écrit dans le message de news:
46e6f172$0$25937$

Disons qu'avec la clé "REX" j'obtiens
(par hasard) le texte incorrectement déchiffré :
"Battez en retraite mercredi".
c'est comme si avec une mauvaise clé j'arrivais à ouvrir un coffre fort

et qu'a
la place des valeurs qui y sont je trouvai , à la place un kilo de
banannes.;-)
--
jcharles

Phil l'ancien

11/09/2007 à 23:20

jcharles

Phil l'ancien

Disons qu'avec la clé "REX" j'obtiens
(par hasard) le texte incorrectement déchiffré :
"Battez en retraite mercredi".

c'est comme si avec une mauvaise clé j'arrivais à ouvrir
un coffre fort et qu'a la place des valeurs qui y sont je
trouvai , à la place un kilo de banannes.;-)

Ce n'est pas vrai pour tous les algos de chiffrement.
Par exemple le xor entre le texte clair et une clé.

On tombe sur des bananes, de toute évidence.

Phil l'ancien-

Francois Grieu

12/09/2007 à 08:27

Dans l'article <46e6f172$0$25937$,
"Phil l'ancien" demance:

Disons qu'un texte clair est chiffré par un algo
qui utilise une clé.

L'attaque par force brute consiste bien à essayer
successivement toutes les clés possibles jusqu'à
trouver la bonne, n'est-ce pas ?

Oui.

Mais comment le programme attaquant sait-il
qu'il a trouvé la bonne clé ?

Il faut en effet qu'il dispose d'un test de plausibilité
du texte déchifré.

Exemple : disons que le texte clair est :
"Attaquez demain à l'aube", et que la clé
utilisée est : "MEDOR".

J'intercepte le message chiffré, et je l'attaque
par force brute.

Pour chaque clé incorrecte que j'essaie, j'obtiens
un texte incorrectement déchiffré.

Disons qu'avec la clé "REX" j'obtiens
(par hasard) le texte incorrectement déchiffré :
"Battez en retraite mercredi".

Cette hypothèse est extrèmement improbable avec un
algorithme de chiffrement "habituel", où le chiffré
a une taille de l'ordre du clair pour tous les clairs
possibles. Déjà,
"Attaquez demain à l'aube"
et "Battez en retraite mercredi"
n'ont pas la même taille, donc ne devraient pas
correspondre au même chiffré.

Surtout, avec la pluspart des bon algorithmes de
chiffrement, la correspondance clé -> clair pour un
chiffré donné ressemble à un tirage au hasard dans tous
les clairs possibles, à ceci près que pour la bonne clé,
cela donne le bon clair; en se restreignant à des clés
de 5 caractères alphabétiques en majuscule + espace,
il y a n = 27^5 clés possibles, et pour les n-1
mauvaises clé, une approximation de premier ordre des
clairs correspondants est un clair tiré au hasard.
Il est très improbable que en tirant n-1 messages de 24
caractères au hasard (toujours parmis lettres et espace),
il y en ait un seul qui fasse sens.
Très en gros, si l'on est exprèsmement tolérant sur
les fotes d'otograf et compte b=3 bits d'entropie par
caractère (cad une motyenne logarithmique de 2^b = 8
caractères admissibles pour prolonger d'un caractère
une phrase admissible), la probabilité qu'il
existe un autre clair qui fasse sens est environ
((2^b)/27)^24 * (27^5) soit 0,0003%

Bref ce n'est pas une hypothèse à redouter pour
l'attaquant. Il en irrait autrement si le clair était
comprimé avant chiffrement, puis décomprimé après
chiffrement.

Comment sais-je que ce n'est pas
la bonne clé, et pas le bon texte ?

Cela dépend du contexte et du système de chiffrement.
Dans l'exemple, il suffit d'essayer toutes les clés,
de déchiffrer, et de ne garder que disons les 10 messages
clairs qui maximisent le nombre de lettres formant des
mots qui existent dans un dictionnaire.
Dans un "vrai" système, il est très fréquent que l'on
connaisse une caractéristique précise du clair, genre
un CRC, ou les premiers octets.

Au temps où la chryptographie civile Française devait
être affaiblie à 40 bits de clé, les textes exigeaient
fort logiquement qu'il existe "un test d'arrêt simple"
pour automatiser l'opération de recherche exhaustive de
la clé. Cette exigence est restée quand 40 a été remplacé
par 128, sous l'effet d'une décison gouvernementale prise
dans le but de permettre l'utilisation de cryptographie
standard (SSL 128 bits) pour les échanges par Internet.
On était donc dans la situation ubuesque où
- la loi exigeait clairement que la cryptographie civile
soit "cassable", et donnait au gouvernement la mission
de fixer le seuil de difficulté approrié;
- le gouvernement avait fixé un nouveau seuil (128 bits
de clé) qui rendait cela complètement impossible en
pratique, et pour de nombreuses années;
- l'exisgence du "test d'arrêt simple" perdurait, sans
plus avoir aucune justification pratique, dans le
même texte réglementaire que celui fixant le seuil de
128 bits.

François Grieu

Dans l'article <46e6f172$0$25937$ba4acef3@news.orange.fr>,
"Phil l'ancien" <nicetry@noway.com> demance:

Disons qu'un texte clair est chiffré par un algo
qui utilise une clé.

L'attaque par force brute consiste bien à essayer
successivement toutes les clés possibles jusqu'à
trouver la bonne, n'est-ce pas ?

Oui.

Mais comment le programme attaquant sait-il
qu'il a trouvé la bonne clé ?

Il faut en effet qu'il dispose d'un test de plausibilité
du texte déchifré.

Exemple : disons que le texte clair est :
"Attaquez demain à l'aube", et que la clé
utilisée est : "MEDOR".

J'intercepte le message chiffré, et je l'attaque
par force brute.

Pour chaque clé incorrecte que j'essaie, j'obtiens
un texte incorrectement déchiffré.

Disons qu'avec la clé "REX" j'obtiens
(par hasard) le texte incorrectement déchiffré :
"Battez en retraite mercredi".

Cette hypothèse est extrèmement improbable avec un
algorithme de chiffrement "habituel", où le chiffré
a une taille de l'ordre du clair pour tous les clairs
possibles. Déjà,
"Attaquez demain à l'aube"
et "Battez en retraite mercredi"
n'ont pas la même taille, donc ne devraient pas
correspondre au même chiffré.

Surtout, avec la pluspart des bon algorithmes de
chiffrement, la correspondance clé -> clair pour un
chiffré donné ressemble à un tirage au hasard dans tous
les clairs possibles, à ceci près que pour la bonne clé,
cela donne le bon clair; en se restreignant à des clés
de 5 caractères alphabétiques en majuscule + espace,
il y a n = 27^5 clés possibles, et pour les n-1
mauvaises clé, une approximation de premier ordre des
clairs correspondants est un clair tiré au hasard.
Il est très improbable que en tirant n-1 messages de 24
caractères au hasard (toujours parmis lettres et espace),
il y en ait un seul qui fasse sens.
Très en gros, si l'on est exprèsmement tolérant sur
les fotes d'otograf et compte b=3 bits d'entropie par
caractère (cad une motyenne logarithmique de 2^b = 8
caractères admissibles pour prolonger d'un caractère
une phrase admissible), la probabilité qu'il
existe un autre clair qui fasse sens est environ
((2^b)/27)^24 * (27^5) soit 0,0003%

Bref ce n'est pas une hypothèse à redouter pour
l'attaquant. Il en irrait autrement si le clair était
comprimé avant chiffrement, puis décomprimé après
chiffrement.

Comment sais-je que ce n'est pas
la bonne clé, et pas le bon texte ?

Cela dépend du contexte et du système de chiffrement.
Dans l'exemple, il suffit d'essayer toutes les clés,
de déchiffrer, et de ne garder que disons les 10 messages
clairs qui maximisent le nombre de lettres formant des
mots qui existent dans un dictionnaire.
Dans un "vrai" système, il est très fréquent que l'on
connaisse une caractéristique précise du clair, genre
un CRC, ou les premiers octets.

Au temps où la chryptographie civile Française devait
être affaiblie à 40 bits de clé, les textes exigeaient
fort logiquement qu'il existe "un test d'arrêt simple"
pour automatiser l'opération de recherche exhaustive de
la clé. Cette exigence est restée quand 40 a été remplacé
par 128, sous l'effet d'une décison gouvernementale prise
dans le but de permettre l'utilisation de cryptographie
standard (SSL 128 bits) pour les échanges par Internet.
On était donc dans la situation ubuesque où
- la loi exigeait clairement que la cryptographie civile
soit "cassable", et donnait au gouvernement la mission
de fixer le seuil de difficulté approrié;
- le gouvernement avait fixé un nouveau seuil (128 bits
de clé) qui rendait cela complètement impossible en
pratique, et pour de nombreuses années;
- l'exisgence du "test d'arrêt simple" perdurait, sans
plus avoir aucune justification pratique, dans le
même texte réglementaire que celui fixant le seuil de
128 bits.

François Grieu

Vous avez filtré cet utilisateur ! Consultez son message

Dans l'article <46e6f172$0$25937$,
"Phil l'ancien" demance:

Disons qu'un texte clair est chiffré par un algo
qui utilise une clé.

L'attaque par force brute consiste bien à essayer
successivement toutes les clés possibles jusqu'à
trouver la bonne, n'est-ce pas ?

Oui.

Mais comment le programme attaquant sait-il
qu'il a trouvé la bonne clé ?

Il faut en effet qu'il dispose d'un test de plausibilité
du texte déchifré.

Exemple : disons que le texte clair est :
"Attaquez demain à l'aube", et que la clé
utilisée est : "MEDOR".

J'intercepte le message chiffré, et je l'attaque
par force brute.

Pour chaque clé incorrecte que j'essaie, j'obtiens
un texte incorrectement déchiffré.

Disons qu'avec la clé "REX" j'obtiens
(par hasard) le texte incorrectement déchiffré :
"Battez en retraite mercredi".

Cette hypothèse est extrèmement improbable avec un
algorithme de chiffrement "habituel", où le chiffré
a une taille de l'ordre du clair pour tous les clairs
possibles. Déjà,
"Attaquez demain à l'aube"
et "Battez en retraite mercredi"
n'ont pas la même taille, donc ne devraient pas
correspondre au même chiffré.

Surtout, avec la pluspart des bon algorithmes de
chiffrement, la correspondance clé -> clair pour un
chiffré donné ressemble à un tirage au hasard dans tous
les clairs possibles, à ceci près que pour la bonne clé,
cela donne le bon clair; en se restreignant à des clés
de 5 caractères alphabétiques en majuscule + espace,
il y a n = 27^5 clés possibles, et pour les n-1
mauvaises clé, une approximation de premier ordre des
clairs correspondants est un clair tiré au hasard.
Il est très improbable que en tirant n-1 messages de 24
caractères au hasard (toujours parmis lettres et espace),
il y en ait un seul qui fasse sens.
Très en gros, si l'on est exprèsmement tolérant sur
les fotes d'otograf et compte b=3 bits d'entropie par
caractère (cad une motyenne logarithmique de 2^b = 8
caractères admissibles pour prolonger d'un caractère
une phrase admissible), la probabilité qu'il
existe un autre clair qui fasse sens est environ
((2^b)/27)^24 * (27^5) soit 0,0003%

Bref ce n'est pas une hypothèse à redouter pour
l'attaquant. Il en irrait autrement si le clair était
comprimé avant chiffrement, puis décomprimé après
chiffrement.

Comment sais-je que ce n'est pas
la bonne clé, et pas le bon texte ?

Cela dépend du contexte et du système de chiffrement.
Dans l'exemple, il suffit d'essayer toutes les clés,
de déchiffrer, et de ne garder que disons les 10 messages
clairs qui maximisent le nombre de lettres formant des
mots qui existent dans un dictionnaire.
Dans un "vrai" système, il est très fréquent que l'on
connaisse une caractéristique précise du clair, genre
un CRC, ou les premiers octets.

Au temps où la chryptographie civile Française devait
être affaiblie à 40 bits de clé, les textes exigeaient
fort logiquement qu'il existe "un test d'arrêt simple"
pour automatiser l'opération de recherche exhaustive de
la clé. Cette exigence est restée quand 40 a été remplacé
par 128, sous l'effet d'une décison gouvernementale prise
dans le but de permettre l'utilisation de cryptographie
standard (SSL 128 bits) pour les échanges par Internet.
On était donc dans la situation ubuesque où
- la loi exigeait clairement que la cryptographie civile
soit "cassable", et donnait au gouvernement la mission
de fixer le seuil de difficulté approrié;
- le gouvernement avait fixé un nouveau seuil (128 bits
de clé) qui rendait cela complètement impossible en
pratique, et pour de nombreuses années;
- l'exisgence du "test d'arrêt simple" perdurait, sans
plus avoir aucune justification pratique, dans le
même texte réglementaire que celui fixant le seuil de
128 bits.

François Grieu

Bastien Durel

12/09/2007 à 10:31

On 11/09/2007 21:54, jcharles wrote:

Alain a dit
"je suppose qu'avant de prendre les caractères ils forment un hash du
mot
de passe... dans ce cas pas de limite."

Alors : pas de limite ou à quel nombre maxi de caracteres ai je droit
legalement ?

Bonjour,

Loi ordinaire 2004-575 du 21 juin 2004
pour la confiance dans l'économie numérique (1)
[...]
TITRE III
DE LA SÉCURITÉ DANS L’ÉCONOMIE NUMÉRIQUE
CHAPITRE Ier
Moyens et prestations de cryptologie
[...]
Section 1
Utilisation, fourniture, transfert, importation
et exportation de moyens de cryptologie
Article 30
I. − L’utilisation des moyens de cryptologie est libre.

cf http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEX&nod=1LS00664
(Comme quoi il y a un article potable dans cette loi ;))

--
Bastien

Francois Grieu

12/09/2007 à 13:14

Dans l'article <46e7a3e5$0$21148$,
Bastien Durel écrit:

Alain a dit
Alors : pas de limite, ou à quel nombre maxi de caracteres
(de clé) ai je droit legalement ?

Loi ordinaire 2004-575 du 21 juin 2004
pour la confiance dans l'économie numérique (1)
[...]
TITRE III
DE LA SÉCURITÉ DANS L’ÉCONOMIE NUMÉRIQUE
CHAPITRE Ier
Moyens et prestations de cryptologie
[...]
Section 1
Utilisation, fourniture, transfert, importation
et exportation de moyens de cryptologie
Article 30
I. - L’utilisation des moyens de cryptologie est libre.

cf http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEX&nod=1LS00664
(Comme quoi il y a un article potable dans cette loi ;))

Ce lien ne pointe pas où il faudrait, suivre celui-ci
http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEGI&nod=PCEBXXXXXXX030AAXXXXXXAA

Et il ne faut pas confondre ’utilisation libre" et "libre", car au
titre III, il est légiféré sur "la fourniture (..) d'un moyen de
cryptologie n'assurant pas exclusivement des fonctions d’authentification
ou de contrôle d’intégrité", qui sauf exemption est "soumis à une déclaration
préalable auprès du Premier ministre"; aux dernières nouvelles c'est régi par
le décret no 2007-663 du 2 mai 2007 pour les exemptions
http://www.legifrance.gouv.fr/imagesJOE/2007/0504/joe_20070504_0104_0001.pdf
et l'arrêté du 25 mai 2007 pour les formalités
http://www.legifrance.gouv.fr/imagesJOE/2007/0603/joe_20070603_0127_0001.pdf

La DCSSI a un site sur le sujet
http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto
mais il manque le tableau récapitulatif, en cours de révision.

Ma lecture des textes (qui n'engage que mon incompétente personne)
est que la fourniture et l'importation d'un moyen de chiffrement de
données arbitraires, sauf exemption particulière, est théoriquement soumise
à déclaration quelle que soit la taille de clé (et je n'arrive à me faire
une opinion sur si les formalités et limites s'imposent pour la fourniture
à soi-même).

La seule limite de taille de clé mentionnée dans un texte en vigueur
me semble celle définie pour l'exportation sans formalité:
56 bits pour les algorithmes symétriques
512 bits pour RSA et le logarithme discret

Note: le décret no 99-199 du 17 mars 1999, abrogé le 4 mai 2007,
http://www.legifrance.gouv.fr/imagesJO/1999/040/JO199904050.pdf
mentionnait une limite de 128 bits, mais cette limite était devenue
désuette depuis la publication de la LCEN le 22 juin 2004.

François Grieu

Dans l'article <46e7a3e5$0$21148$7a628cd7@news.club-internet.fr>,
Bastien Durel <bastien.durel@data.fr> écrit:

Alain a dit

Alors : pas de limite, ou à quel nombre maxi de caracteres
(de clé) ai je droit legalement ?

Loi ordinaire 2004-575 du 21 juin 2004
pour la confiance dans l'économie numérique (1)
[...]
TITRE III
DE LA SÉCURITÉ DANS L’ÉCONOMIE NUMÉRIQUE
CHAPITRE Ier
Moyens et prestations de cryptologie
[...]
Section 1
Utilisation, fourniture, transfert, importation
et exportation de moyens de cryptologie
Article 30
I. - L’utilisation des moyens de cryptologie est libre.

cf http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEX&nod=1LS00664
(Comme quoi il y a un article potable dans cette loi ;))

Ce lien ne pointe pas où il faudrait, suivre celui-ci
http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEGI&nod=PCEBXXXXXXX030AAXXXXXXAA

Et il ne faut pas confondre ’utilisation libre" et "libre", car au
titre III, il est légiféré sur "la fourniture (..) d'un moyen de
cryptologie n'assurant pas exclusivement des fonctions d’authentification
ou de contrôle d’intégrité", qui sauf exemption est "soumis à une déclaration
préalable auprès du Premier ministre"; aux dernières nouvelles c'est régi par
le décret no 2007-663 du 2 mai 2007 pour les exemptions
http://www.legifrance.gouv.fr/imagesJOE/2007/0504/joe_20070504_0104_0001.pdf
et l'arrêté du 25 mai 2007 pour les formalités
http://www.legifrance.gouv.fr/imagesJOE/2007/0603/joe_20070603_0127_0001.pdf

La DCSSI a un site sur le sujet
http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto
mais il manque le tableau récapitulatif, en cours de révision.

Ma lecture des textes (qui n'engage que mon incompétente personne)
est que la fourniture et l'importation d'un moyen de chiffrement de
données arbitraires, sauf exemption particulière, est théoriquement soumise
à déclaration quelle que soit la taille de clé (et je n'arrive à me faire
une opinion sur si les formalités et limites s'imposent pour la fourniture
à soi-même).

La seule limite de taille de clé mentionnée dans un texte en vigueur
me semble celle définie pour l'exportation sans formalité:
56 bits pour les algorithmes symétriques
512 bits pour RSA et le logarithme discret

Note: le décret no 99-199 du 17 mars 1999, abrogé le 4 mai 2007,
http://www.legifrance.gouv.fr/imagesJO/1999/040/JO199904050.pdf
mentionnait une limite de 128 bits, mais cette limite était devenue
désuette depuis la publication de la LCEN le 22 juin 2004.

François Grieu

Vous avez filtré cet utilisateur ! Consultez son message

Dans l'article <46e7a3e5$0$21148$,
Bastien Durel écrit:

Alain a dit
Alors : pas de limite, ou à quel nombre maxi de caracteres
(de clé) ai je droit legalement ?

Loi ordinaire 2004-575 du 21 juin 2004
pour la confiance dans l'économie numérique (1)
[...]
TITRE III
DE LA SÉCURITÉ DANS L’ÉCONOMIE NUMÉRIQUE
CHAPITRE Ier
Moyens et prestations de cryptologie
[...]
Section 1
Utilisation, fourniture, transfert, importation
et exportation de moyens de cryptologie
Article 30
I. - L’utilisation des moyens de cryptologie est libre.

cf http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEX&nod=1LS00664
(Comme quoi il y a un article potable dans cette loi ;))

Ce lien ne pointe pas où il faudrait, suivre celui-ci
http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEGI&nod=PCEBXXXXXXX030AAXXXXXXAA

Et il ne faut pas confondre ’utilisation libre" et "libre", car au
titre III, il est légiféré sur "la fourniture (..) d'un moyen de
cryptologie n'assurant pas exclusivement des fonctions d’authentification
ou de contrôle d’intégrité", qui sauf exemption est "soumis à une déclaration
préalable auprès du Premier ministre"; aux dernières nouvelles c'est régi par
le décret no 2007-663 du 2 mai 2007 pour les exemptions
http://www.legifrance.gouv.fr/imagesJOE/2007/0504/joe_20070504_0104_0001.pdf
et l'arrêté du 25 mai 2007 pour les formalités
http://www.legifrance.gouv.fr/imagesJOE/2007/0603/joe_20070603_0127_0001.pdf

La DCSSI a un site sur le sujet
http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto
mais il manque le tableau récapitulatif, en cours de révision.

Ma lecture des textes (qui n'engage que mon incompétente personne)
est que la fourniture et l'importation d'un moyen de chiffrement de
données arbitraires, sauf exemption particulière, est théoriquement soumise
à déclaration quelle que soit la taille de clé (et je n'arrive à me faire
une opinion sur si les formalités et limites s'imposent pour la fourniture
à soi-même).

La seule limite de taille de clé mentionnée dans un texte en vigueur
me semble celle définie pour l'exportation sans formalité:
56 bits pour les algorithmes symétriques
512 bits pour RSA et le logarithme discret

Note: le décret no 99-199 du 17 mars 1999, abrogé le 4 mai 2007,
http://www.legifrance.gouv.fr/imagesJO/1999/040/JO199904050.pdf
mentionnait une limite de 128 bits, mais cette limite était devenue
désuette depuis la publication de la LCEN le 22 juin 2004.

François Grieu

Arnold McDonald $AMcD$

12/09/2007 à 15:07

Mais comment le programme attaquant sait-il
qu'il a trouvé la bonne clé ?

Il faut en effet qu'il dispose d'un test de plausibilité
du texte déchifré.

Ouaip. D'ailleurs, je me suis souvent amusé avec ça. Certes, tout le monde
ne possède pas les mêmes moyens informatiques ou mathématiques que la NSA,
mais beaucoup de systèmes et méthodes qui ont aboutis à des "cassages"
restent, à mon sens, théoriques. S'il faut 8 mois à 12.000 PC utilisés en
parallèle pour factoriser UNE clé d'exemple, eh bien cela ne va pas
m'enpêcher d'utiliser (du moins pour quelques temps) l'algo "cassé". De
même, si le texte déchiffré est plus ou moins connu, devinable, si on
connaît sa langue, son contexte, etc., c'est autre chose que si on ne
connaît rien du tout ! La force brute ? Bah. Si le crypté utilise plusieurs
niveaux (deux suffisent généralement), eh bien ça ne sert à rien. Il ne faut
pas confondre cas d'école, théorique et cas pratique.

Cette hypothèse est extrèmement improbable avec un
algorithme de chiffrement "habituel", où le chiffré
a une taille de l'ordre du clair pour tous les clairs
possibles.

Improbable, mais pas impossible. Si on utilise de la compression avant le
chiffrage, on peut obtenir des différences notables, même si on ne parle que
des clairs possibles plausibles.

la probabilité qu'il
existe un autre clair qui fasse sens est environ
((2^b)/27)^24 * (27^5) soit 0,0003%

Oui, mais on peut nuancer. Si on fait tourner un soft qui aligne des lettres
au hasard, on est souvent étonné du nombre de mots "réels" qui vont être
générés. Bien sûr, celà dépend de la longueur de la "phrase" que l'on
cherche à générer aléatoirement. Mais, de mémoire, sur une trentaine de
caractères, et en anglais :-), on peut générer pas mal de courtes phrases
ayant un sens. Bon, c'est quand même théorique, on chiffre des texte un peu
plus long qu'une trentaine de caractères dans la pratique et déchiffrer
n'est pas générer aléatoirement...

Il existe des exemples célèbres de déchiffrages crédibles sur un même
chiffré de longueur respectable avec des clés différentes. Pour le OTP par
exemple. Si je ne m'abuse, un bon exemple figure dans le Brauer.

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

Mais comment le programme attaquant sait-il
qu'il a trouvé la bonne clé ?

Il faut en effet qu'il dispose d'un test de plausibilité
du texte déchifré.

Ouaip. D'ailleurs, je me suis souvent amusé avec ça. Certes, tout le monde
ne possède pas les mêmes moyens informatiques ou mathématiques que la NSA,
mais beaucoup de systèmes et méthodes qui ont aboutis à des "cassages"
restent, à mon sens, théoriques. S'il faut 8 mois à 12.000 PC utilisés en
parallèle pour factoriser UNE clé d'exemple, eh bien cela ne va pas
m'enpêcher d'utiliser (du moins pour quelques temps) l'algo "cassé". De
même, si le texte déchiffré est plus ou moins connu, devinable, si on
connaît sa langue, son contexte, etc., c'est autre chose que si on ne
connaît rien du tout ! La force brute ? Bah. Si le crypté utilise plusieurs
niveaux (deux suffisent généralement), eh bien ça ne sert à rien. Il ne faut
pas confondre cas d'école, théorique et cas pratique.

Cette hypothèse est extrèmement improbable avec un
algorithme de chiffrement "habituel", où le chiffré
a une taille de l'ordre du clair pour tous les clairs
possibles.

Improbable, mais pas impossible. Si on utilise de la compression avant le
chiffrage, on peut obtenir des différences notables, même si on ne parle que
des clairs possibles plausibles.

la probabilité qu'il
existe un autre clair qui fasse sens est environ
((2^b)/27)^24 * (27^5) soit 0,0003%

Oui, mais on peut nuancer. Si on fait tourner un soft qui aligne des lettres
au hasard, on est souvent étonné du nombre de mots "réels" qui vont être
générés. Bien sûr, celà dépend de la longueur de la "phrase" que l'on
cherche à générer aléatoirement. Mais, de mémoire, sur une trentaine de
caractères, et en anglais :-), on peut générer pas mal de courtes phrases
ayant un sens. Bon, c'est quand même théorique, on chiffre des texte un peu
plus long qu'une trentaine de caractères dans la pratique et déchiffrer
n'est pas générer aléatoirement...

Il existe des exemples célèbres de déchiffrages crédibles sur un même
chiffré de longueur respectable avec des clés différentes. Pour le OTP par
exemple. Si je ne m'abuse, un bon exemple figure dans le Brauer.

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

Vous avez filtré cet utilisateur ! Consultez son message

Mais comment le programme attaquant sait-il
qu'il a trouvé la bonne clé ?

Il faut en effet qu'il dispose d'un test de plausibilité
du texte déchifré.

Ouaip. D'ailleurs, je me suis souvent amusé avec ça. Certes, tout le monde
ne possède pas les mêmes moyens informatiques ou mathématiques que la NSA,
mais beaucoup de systèmes et méthodes qui ont aboutis à des "cassages"
restent, à mon sens, théoriques. S'il faut 8 mois à 12.000 PC utilisés en
parallèle pour factoriser UNE clé d'exemple, eh bien cela ne va pas
m'enpêcher d'utiliser (du moins pour quelques temps) l'algo "cassé". De
même, si le texte déchiffré est plus ou moins connu, devinable, si on
connaît sa langue, son contexte, etc., c'est autre chose que si on ne
connaît rien du tout ! La force brute ? Bah. Si le crypté utilise plusieurs
niveaux (deux suffisent généralement), eh bien ça ne sert à rien. Il ne faut
pas confondre cas d'école, théorique et cas pratique.

Cette hypothèse est extrèmement improbable avec un
algorithme de chiffrement "habituel", où le chiffré
a une taille de l'ordre du clair pour tous les clairs
possibles.

Improbable, mais pas impossible. Si on utilise de la compression avant le
chiffrage, on peut obtenir des différences notables, même si on ne parle que
des clairs possibles plausibles.

la probabilité qu'il
existe un autre clair qui fasse sens est environ
((2^b)/27)^24 * (27^5) soit 0,0003%

Oui, mais on peut nuancer. Si on fait tourner un soft qui aligne des lettres
au hasard, on est souvent étonné du nombre de mots "réels" qui vont être
générés. Bien sûr, celà dépend de la longueur de la "phrase" que l'on
cherche à générer aléatoirement. Mais, de mémoire, sur une trentaine de
caractères, et en anglais :-), on peut générer pas mal de courtes phrases
ayant un sens. Bon, c'est quand même théorique, on chiffre des texte un peu
plus long qu'une trentaine de caractères dans la pratique et déchiffrer
n'est pas générer aléatoirement...

Il existe des exemples célèbres de déchiffrages crédibles sur un même
chiffré de longueur respectable avec des clés différentes. Pour le OTP par
exemple. Si je ne m'abuse, un bon exemple figure dans le Brauer.

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

Francois Grieu

12/09/2007 à 16:07

Dans l'article <46e7a3e5$0$21148$,
Bastien Durel écrit:

Alain a dit
Alors : pas de limite, ou à quel nombre maxi de caracteres
(de clé) ai je droit legalement ?

Loi ordinaire 2004-575 du 21 juin 2004
pour la confiance dans l'économie numérique (1)
[...]
TITRE III
DE LA SÉCURITÉ DANS L’ÉCONOMIE NUMÉRIQUE
CHAPITRE Ier
Moyens et prestations de cryptologie
[...]
Section 1
Utilisation, fourniture, transfert, importation
et exportation de moyens de cryptologie
Article 30
I. - L’utilisation des moyens de cryptologie est libre.

cf http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEX&nod=1LS00664
(Comme quoi il y a un article potable dans cette loi ;))

Ce lien ne pointe pas où il faudrait, suivre celui-ci
http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEGI&nod=PCEBXXXXXXX030AAXXXXXXAA

Et il ne faut pas confondre "utilisation libre" et "libre", car au
titre III, il est légiféré sur "la fourniture (..) d'un moyen de
cryptologie n'assurant pas exclusivement des fonctions d’authentification
ou de contrôle d’intégrité", qui sauf exemption est "soumis à une déclaration
préalable auprès du Premier ministre"; aux dernières nouvelles c'est régi par
le décret no 2007-663 du 2 mai 2007 pour les exemptions
http://www.legifrance.gouv.fr/imagesJOE/2007/0504/joe_20070504_0104_0001.pdf
et l'arrêté du 25 mai 2007 pour les formalités
http://www.legifrance.gouv.fr/imagesJOE/2007/0603/joe_20070603_0127_0001.pdf

La DCSSI a un site sur le sujet
http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto
mais il manque le tableau récapitulatif, en cours de révision.

Ma lecture des textes (qui n'engage que mon incompétente personne)
est que la fourniture et l'importation d'un moyen de chiffrement de
données arbitraires, sauf exemption particulière, est théoriquement soumise
à déclaration quelle que soit la taille de clé (et je n'arrive à me faire
une opinion sur si les formalités et limites s'imposent pour la fourniture
à soi-même, et au logiciels du domaine public, voir ci-après).

La seule limite de taille de clé mentionnée dans un texte en vigueur
me semble celle définie pour l'exportation sans formalité:
56 bits pour les algorithmes symétriques
512 bits pour RSA et le logarithme discret dans Z/pZ
112 bits pour le logarithme discret dans un autre groupe,
par exemple courbes elliptiques.
Ces limites, reprises par le décret no 2007-663 du 2 mai 2007,
sont celles de l'annexe 1 au règlement européen n°1334/2000.
http://eur-lex.europa.eu/LexUriServ/site/fr/oj/2000/l_159/l_15920000630fr00010215.pdf

Note: le décret no 99-199 du 17 mars 1999, abrogé le 4 mai 2007,
http://www.legifrance.gouv.fr/imagesJO/1999/040/JO199904050.pdf
mentionnait une limite de 128 bits, mais cette limite était devenue
théoriquement désuette depuis la publication de la LCEN le 22 juin 2004.

Note: sont exempts des restrictions à l'exportation prévues par le
règlement européen n°1334/2000 précité, les logiciels (y compris de
chiffrement) qui sont du domaine public, définis comme ceux
"ayant été rendus acessibles sans qu'il ait été apporté de restrictions
à sa (sic) diffusion ultérieure" autres que "les restrictions relevant
du droit d'auteur".
Cette définition est large (il me semble qu'elle inclu nombre de
logiciel commerciaux protégés par le droit d'auteur, exemple Vista),
mais cela
- ne vise que l'exportation, pas l'importation ni la fourniture;
- ne semble pas transcrit en droit Français (j'ignore si cela
a la moindre importance)

François Grieu
[reposté avec correction et extensions]

Dans l'article <46e7a3e5$0$21148$7a628cd7@news.club-internet.fr>,
Bastien Durel <bastien.durel@data.fr> écrit:

Alain a dit

Alors : pas de limite, ou à quel nombre maxi de caracteres
(de clé) ai je droit legalement ?

Loi ordinaire 2004-575 du 21 juin 2004
pour la confiance dans l'économie numérique (1)
[...]
TITRE III
DE LA SÉCURITÉ DANS L’ÉCONOMIE NUMÉRIQUE
CHAPITRE Ier
Moyens et prestations de cryptologie
[...]
Section 1
Utilisation, fourniture, transfert, importation
et exportation de moyens de cryptologie
Article 30
I. - L’utilisation des moyens de cryptologie est libre.

cf http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEX&nod=1LS00664
(Comme quoi il y a un article potable dans cette loi ;))

Ce lien ne pointe pas où il faudrait, suivre celui-ci
http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEGI&nod=PCEBXXXXXXX030AAXXXXXXAA

Et il ne faut pas confondre "utilisation libre" et "libre", car au
titre III, il est légiféré sur "la fourniture (..) d'un moyen de
cryptologie n'assurant pas exclusivement des fonctions d’authentification
ou de contrôle d’intégrité", qui sauf exemption est "soumis à une déclaration
préalable auprès du Premier ministre"; aux dernières nouvelles c'est régi par
le décret no 2007-663 du 2 mai 2007 pour les exemptions
http://www.legifrance.gouv.fr/imagesJOE/2007/0504/joe_20070504_0104_0001.pdf
et l'arrêté du 25 mai 2007 pour les formalités
http://www.legifrance.gouv.fr/imagesJOE/2007/0603/joe_20070603_0127_0001.pdf

La DCSSI a un site sur le sujet
http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto
mais il manque le tableau récapitulatif, en cours de révision.

Ma lecture des textes (qui n'engage que mon incompétente personne)
est que la fourniture et l'importation d'un moyen de chiffrement de
données arbitraires, sauf exemption particulière, est théoriquement soumise
à déclaration quelle que soit la taille de clé (et je n'arrive à me faire
une opinion sur si les formalités et limites s'imposent pour la fourniture
à soi-même, et au logiciels du domaine public, voir ci-après).

La seule limite de taille de clé mentionnée dans un texte en vigueur
me semble celle définie pour l'exportation sans formalité:
56 bits pour les algorithmes symétriques
512 bits pour RSA et le logarithme discret dans Z/pZ
112 bits pour le logarithme discret dans un autre groupe,
par exemple courbes elliptiques.
Ces limites, reprises par le décret no 2007-663 du 2 mai 2007,
sont celles de l'annexe 1 au règlement européen n°1334/2000.
http://eur-lex.europa.eu/LexUriServ/site/fr/oj/2000/l_159/l_15920000630fr00010215.pdf

Note: le décret no 99-199 du 17 mars 1999, abrogé le 4 mai 2007,
http://www.legifrance.gouv.fr/imagesJO/1999/040/JO199904050.pdf
mentionnait une limite de 128 bits, mais cette limite était devenue
théoriquement désuette depuis la publication de la LCEN le 22 juin 2004.

Note: sont exempts des restrictions à l'exportation prévues par le
règlement européen n°1334/2000 précité, les logiciels (y compris de
chiffrement) qui sont du domaine public, définis comme ceux
"ayant été rendus acessibles sans qu'il ait été apporté de restrictions
à sa (sic) diffusion ultérieure" autres que "les restrictions relevant
du droit d'auteur".
Cette définition est large (il me semble qu'elle inclu nombre de
logiciel commerciaux protégés par le droit d'auteur, exemple Vista),
mais cela
- ne vise que l'exportation, pas l'importation ni la fourniture;
- ne semble pas transcrit en droit Français (j'ignore si cela
a la moindre importance)

François Grieu
[reposté avec correction et extensions]

Vous avez filtré cet utilisateur ! Consultez son message

Dans l'article <46e7a3e5$0$21148$,
Bastien Durel écrit:

Alain a dit
Alors : pas de limite, ou à quel nombre maxi de caracteres
(de clé) ai je droit legalement ?

Loi ordinaire 2004-575 du 21 juin 2004
pour la confiance dans l'économie numérique (1)
[...]
TITRE III
DE LA SÉCURITÉ DANS L’ÉCONOMIE NUMÉRIQUE
CHAPITRE Ier
Moyens et prestations de cryptologie
[...]
Section 1
Utilisation, fourniture, transfert, importation
et exportation de moyens de cryptologie
Article 30
I. - L’utilisation des moyens de cryptologie est libre.

cf http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEX&nod=1LS00664
(Comme quoi il y a un article potable dans cette loi ;))

Ce lien ne pointe pas où il faudrait, suivre celui-ci
http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEGI&nod=PCEBXXXXXXX030AAXXXXXXAA

Et il ne faut pas confondre "utilisation libre" et "libre", car au
titre III, il est légiféré sur "la fourniture (..) d'un moyen de
cryptologie n'assurant pas exclusivement des fonctions d’authentification
ou de contrôle d’intégrité", qui sauf exemption est "soumis à une déclaration
préalable auprès du Premier ministre"; aux dernières nouvelles c'est régi par
le décret no 2007-663 du 2 mai 2007 pour les exemptions
http://www.legifrance.gouv.fr/imagesJOE/2007/0504/joe_20070504_0104_0001.pdf
et l'arrêté du 25 mai 2007 pour les formalités
http://www.legifrance.gouv.fr/imagesJOE/2007/0603/joe_20070603_0127_0001.pdf

La DCSSI a un site sur le sujet
http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto
mais il manque le tableau récapitulatif, en cours de révision.

Ma lecture des textes (qui n'engage que mon incompétente personne)
est que la fourniture et l'importation d'un moyen de chiffrement de
données arbitraires, sauf exemption particulière, est théoriquement soumise
à déclaration quelle que soit la taille de clé (et je n'arrive à me faire
une opinion sur si les formalités et limites s'imposent pour la fourniture
à soi-même, et au logiciels du domaine public, voir ci-après).

La seule limite de taille de clé mentionnée dans un texte en vigueur
me semble celle définie pour l'exportation sans formalité:
56 bits pour les algorithmes symétriques
512 bits pour RSA et le logarithme discret dans Z/pZ
112 bits pour le logarithme discret dans un autre groupe,
par exemple courbes elliptiques.
Ces limites, reprises par le décret no 2007-663 du 2 mai 2007,
sont celles de l'annexe 1 au règlement européen n°1334/2000.
http://eur-lex.europa.eu/LexUriServ/site/fr/oj/2000/l_159/l_15920000630fr00010215.pdf

Note: le décret no 99-199 du 17 mars 1999, abrogé le 4 mai 2007,
http://www.legifrance.gouv.fr/imagesJO/1999/040/JO199904050.pdf
mentionnait une limite de 128 bits, mais cette limite était devenue
théoriquement désuette depuis la publication de la LCEN le 22 juin 2004.

Note: sont exempts des restrictions à l'exportation prévues par le
règlement européen n°1334/2000 précité, les logiciels (y compris de
chiffrement) qui sont du domaine public, définis comme ceux
"ayant été rendus acessibles sans qu'il ait été apporté de restrictions
à sa (sic) diffusion ultérieure" autres que "les restrictions relevant
du droit d'auteur".
Cette définition est large (il me semble qu'elle inclu nombre de
logiciel commerciaux protégés par le droit d'auteur, exemple Vista),
mais cela
- ne vise que l'exportation, pas l'importation ni la fourniture;
- ne semble pas transcrit en droit Français (j'ignore si cela
a la moindre importance)

François Grieu
[reposté avec correction et extensions]

Francois Grieu

12/09/2007 à 16:21

Suite à la discussion

Disons qu'avec la clé "REX" j'obtiens
(par hasard) le texte incorrectement déchiffré :
"Battez en retraite mercredi".

qui m'a fait écrire

Cette hypothèse est extrèmement improbable avec un
algorithme de chiffrement "habituel", où le chiffré
a une taille de l'ordre du clair pour tous les clairs
possibles.

"Arnold McDonald (AMcD)" a dit:

Improbable, mais pas impossible. Si on utilise de la compression
avant le chiffrage, on peut obtenir des différences notables,
même si on ne parle que des clairs possibles plausibles.

Si l'on utilise une compression avant chiffrage, le chiffré
a une taille nettement inférieure au clair pour de
nombreux clairs possible, et ce cas est explictement exclu
de mon affirmation. On est donc tout à fait d'accord.

Il existe des exemples célèbres de déchiffrages crédibles
sur un même chiffré de longueur respectable avec des clés
différentes. Pour le OTP par exemple.

Avec OTP, tous les textes clairs sont possibles, et la force
brute est non applicable.

Si je ne m'abuse, un bon exemple figure dans le Brauer.

Connais pas. Si l'exemple
- est un fait historique
- n'utilise pas une forme de compression (dictionnaire)
- a une clé nettement plus courte que le chiffré
ce serait très remarquable, et pour tout dire je doute
que ces trois conditions soient réunies.

François Grieu

nombre caracteres et bits ?

10 réponses

Veuillez sélectionner un problème