Securité apportée par l'utilisation de deux hashs

La question n'a pas de sens pour des hash quelconques a priori, sans
précision.
En effet, un hash n'a pas de complexité a priori.

Sinon, l'étude d'une fonction x->f(g(x)) est elle plus compliquée que
l'étude de x->f(x) toute seule ou de x->g(x) toute seule... grande question

Salut,

Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.

Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la
démonstration ? ;)
Si non, quel est le niveau de securité apporté par l'utilisation de deux
hashs au lieu d'un, en fonction de la securité des deux hashs en
utilisation unique et independante ?

Je n'ai rien (re)trouvé dans les archives !

@+
Bertrand

Si tu veux comparer la difficulté d'inverser un h1=MD5(MD5(m)) par
rapport au h2=MD5(m), je pense que la difficulté est du même ordre.
En effet, le résultat de la première fonction de hachage est par
construction un message de longueur faible (MD5 128 bits, SHA1 160
bits), l'inversion d'un MD5 donné h2 (par la 2e fonction hash MD5) est
facile sachant que son résultat est de longueur 128 bits (table lookup).
Le problème n°1 (inversion, collision) est ramené au problème n°2.

Salut,

Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.

Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la
démonstration ? ;)
Si non, quel est le niveau de securité apporté par l'utilisation de deux
hashs au lieu d'un, en fonction de la securité des deux hashs en
utilisation unique et independante ?

Je n'ai rien (re)trouvé dans les archives !

@+
Bertrand

Si MD5(SHA1) était plus sur que MD5 ou SHA1, cette fonction composée
sera elle même normalisée et utilisée dans les applications, au moins
celles où on ne manque pas de ressources ou de temps (type signature sur PC)
CQFD

Salut,

Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.

Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la
démonstration ? ;)
Si non, quel est le niveau de securité apporté par l'utilisation de deux
hashs au lieu d'un, en fonction de la securité des deux hashs en
utilisation unique et independante ?

Je n'ai rien (re)trouvé dans les archives !

@+
Bertrand

Dans l'article <42bc77eb$0$29957$636a15ce@news.free.fr>,
Bertrand <usenet@cykian.net> demande:

Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.

Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ?

En un mot, il me semble que oui, au moins en theorie, mais le diable
pourrait bien être dans les détails. C'est du moins ce qu'il ressort
de la lecture de l'extrait de:

Antoine Joux: Multicollisions in Iterated Hash Functions.
Application to Cascaded Constructions. CRYPTO 2004: 306-316
http://springerlink.metapress.com/openurl.asp?genre=article&issn02-9743&volume152&spage06
[seul l'extrait est gratuit]

Encore un article qu'il faudrait que je lise.


Résumé en ligne gratuit de l'attaque de Antoine Joux dans
Stefan Lucks: Design Principles for Iterated Hash Functions
Cryptology ePrint Archive, Report 2004/253
http://eprint.iacr.org/2004/253
http://eprint.iacr.org/2004/253.pdf


François Grieu

Dans l'article <42bc77eb$0$29957$636a15ce@news.free.fr>,
Bertrand <usenet@cykian.net> demande:

Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.

Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ?

En un mot, il me semble que oui, au moins en theorie, mais le diable
pourrait bien être dans les détails. C'est du moins ce qu'il ressort
de la lecture de l'extrait de:

Antoine Joux: Multicollisions in Iterated Hash Functions.
Application to Cascaded Constructions. CRYPTO 2004: 306-316
http://springerlink.metapress.com/openurl.asp?genre=article&issn02-9743&volume152&spage06
[seul l'extrait est gratuit]

Encore un article qu'il faudrait que je lise, plutôt que de me
contenter de l'extrait et de résumé en ligne gratuits:

Stefan Lucks: Design Principles for Iterated Hash Functions
Cryptology ePrint Archive, Report 2004/253
http://eprint.iacr.org/2004/253
http://eprint.iacr.org/2004/253.pdf

John Kelsey and Bruce Schneier: Second Preimages on n-bit
Hash Functions for Much Less than 2^n Work
Cryptology ePrint Archive, Report 2004/304
http://eprint.iacr.org/2004/304
http://eprint.iacr.org/2004/304.pdf

Arjen K. Lenstra: Further progress in hashing cryptanalysis
http://cm.bell-labs.com/who/akl/hash.pdf


François Grieu