Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la
démonstration ? ;)
Si non, quel est le niveau de securité apporté par l'utilisation de deux
hashs au lieu d'un, en fonction de la securité des deux hashs en
utilisation unique et independante ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Roland Le Franc
La question n'a pas de sens pour des hash quelconques a priori, sans précision. En effet, un hash n'a pas de complexité a priori.
Sinon, l'étude d'une fonction x->f(g(x)) est elle plus compliquée que l'étude de x->f(x) toute seule ou de x->g(x) toute seule... grande question
Salut,
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la démonstration ? ;) Si non, quel est le niveau de securité apporté par l'utilisation de deux hashs au lieu d'un, en fonction de la securité des deux hashs en utilisation unique et independante ?
Je n'ai rien (re)trouvé dans les archives !
@+ Bertrand
La question n'a pas de sens pour des hash quelconques a priori, sans
précision.
En effet, un hash n'a pas de complexité a priori.
Sinon, l'étude d'une fonction x->f(g(x)) est elle plus compliquée que
l'étude de x->f(x) toute seule ou de x->g(x) toute seule... grande question
Salut,
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la
démonstration ? ;)
Si non, quel est le niveau de securité apporté par l'utilisation de deux
hashs au lieu d'un, en fonction de la securité des deux hashs en
utilisation unique et independante ?
La question n'a pas de sens pour des hash quelconques a priori, sans précision. En effet, un hash n'a pas de complexité a priori.
Sinon, l'étude d'une fonction x->f(g(x)) est elle plus compliquée que l'étude de x->f(x) toute seule ou de x->g(x) toute seule... grande question
Salut,
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la démonstration ? ;) Si non, quel est le niveau de securité apporté par l'utilisation de deux hashs au lieu d'un, en fonction de la securité des deux hashs en utilisation unique et independante ?
Je n'ai rien (re)trouvé dans les archives !
@+ Bertrand
Roland Le Franc
Si tu veux comparer la difficulté d'inverser un h1=MD5(MD5(m)) par rapport au h2=MD5(m), je pense que la difficulté est du même ordre. En effet, le résultat de la première fonction de hachage est par construction un message de longueur faible (MD5 128 bits, SHA1 160 bits), l'inversion d'un MD5 donné h2 (par la 2e fonction hash MD5) est facile sachant que son résultat est de longueur 128 bits (table lookup). Le problème n°1 (inversion, collision) est ramené au problème n°2.
Salut,
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la démonstration ? ;) Si non, quel est le niveau de securité apporté par l'utilisation de deux hashs au lieu d'un, en fonction de la securité des deux hashs en utilisation unique et independante ?
Je n'ai rien (re)trouvé dans les archives !
@+ Bertrand
Si tu veux comparer la difficulté d'inverser un h1=MD5(MD5(m)) par
rapport au h2=MD5(m), je pense que la difficulté est du même ordre.
En effet, le résultat de la première fonction de hachage est par
construction un message de longueur faible (MD5 128 bits, SHA1 160
bits), l'inversion d'un MD5 donné h2 (par la 2e fonction hash MD5) est
facile sachant que son résultat est de longueur 128 bits (table lookup).
Le problème n°1 (inversion, collision) est ramené au problème n°2.
Salut,
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la
démonstration ? ;)
Si non, quel est le niveau de securité apporté par l'utilisation de deux
hashs au lieu d'un, en fonction de la securité des deux hashs en
utilisation unique et independante ?
Si tu veux comparer la difficulté d'inverser un h1=MD5(MD5(m)) par rapport au h2=MD5(m), je pense que la difficulté est du même ordre. En effet, le résultat de la première fonction de hachage est par construction un message de longueur faible (MD5 128 bits, SHA1 160 bits), l'inversion d'un MD5 donné h2 (par la 2e fonction hash MD5) est facile sachant que son résultat est de longueur 128 bits (table lookup). Le problème n°1 (inversion, collision) est ramené au problème n°2.
Salut,
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la démonstration ? ;) Si non, quel est le niveau de securité apporté par l'utilisation de deux hashs au lieu d'un, en fonction de la securité des deux hashs en utilisation unique et independante ?
Je n'ai rien (re)trouvé dans les archives !
@+ Bertrand
Roland Le Franc
Si MD5(SHA1) était plus sur que MD5 ou SHA1, cette fonction composée sera elle même normalisée et utilisée dans les applications, au moins celles où on ne manque pas de ressources ou de temps (type signature sur PC) CQFD
Salut,
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la démonstration ? ;) Si non, quel est le niveau de securité apporté par l'utilisation de deux hashs au lieu d'un, en fonction de la securité des deux hashs en utilisation unique et independante ?
Je n'ai rien (re)trouvé dans les archives !
@+ Bertrand
Si MD5(SHA1) était plus sur que MD5 ou SHA1, cette fonction composée
sera elle même normalisée et utilisée dans les applications, au moins
celles où on ne manque pas de ressources ou de temps (type signature sur PC)
CQFD
Salut,
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la
démonstration ? ;)
Si non, quel est le niveau de securité apporté par l'utilisation de deux
hashs au lieu d'un, en fonction de la securité des deux hashs en
utilisation unique et independante ?
Si MD5(SHA1) était plus sur que MD5 ou SHA1, cette fonction composée sera elle même normalisée et utilisée dans les applications, au moins celles où on ne manque pas de ressources ou de temps (type signature sur PC) CQFD
Salut,
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ? Si oui, est-il possible de refaire la démonstration ? ;) Si non, quel est le niveau de securité apporté par l'utilisation de deux hashs au lieu d'un, en fonction de la securité des deux hashs en utilisation unique et independante ?
Je n'ai rien (re)trouvé dans les archives !
@+ Bertrand
Francois Grieu
Dans l'article <42bc77eb$0$29957$, Bertrand demande:
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ?
En un mot, il me semble que oui, au moins en theorie, mais le diable pourrait bien être dans les détails. C'est du moins ce qu'il ressort de la lecture de l'extrait de:
Antoine Joux: Multicollisions in Iterated Hash Functions. Application to Cascaded Constructions. CRYPTO 2004: 306-316 http://springerlink.metapress.com/openurl.asp?genre=article&issn02-9743&volume152&spage06 [seul l'extrait est gratuit]
Encore un article qu'il faudrait que je lise.
Résumé en ligne gratuit de l'attaque de Antoine Joux dans Stefan Lucks: Design Principles for Iterated Hash Functions Cryptology ePrint Archive, Report 2004/253 http://eprint.iacr.org/2004/253 http://eprint.iacr.org/2004/253.pdf
François Grieu
Dans l'article <42bc77eb$0$29957$636a15ce@news.free.fr>,
Bertrand <usenet@cykian.net> demande:
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ?
En un mot, il me semble que oui, au moins en theorie, mais le diable
pourrait bien être dans les détails. C'est du moins ce qu'il ressort
de la lecture de l'extrait de:
Antoine Joux: Multicollisions in Iterated Hash Functions.
Application to Cascaded Constructions. CRYPTO 2004: 306-316
http://springerlink.metapress.com/openurl.asp?genre=article&issn02-9743&volume152&spage06
[seul l'extrait est gratuit]
Encore un article qu'il faudrait que je lise.
Résumé en ligne gratuit de l'attaque de Antoine Joux dans
Stefan Lucks: Design Principles for Iterated Hash Functions
Cryptology ePrint Archive, Report 2004/253
http://eprint.iacr.org/2004/253
http://eprint.iacr.org/2004/253.pdf
Dans l'article <42bc77eb$0$29957$, Bertrand demande:
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ?
En un mot, il me semble que oui, au moins en theorie, mais le diable pourrait bien être dans les détails. C'est du moins ce qu'il ressort de la lecture de l'extrait de:
Antoine Joux: Multicollisions in Iterated Hash Functions. Application to Cascaded Constructions. CRYPTO 2004: 306-316 http://springerlink.metapress.com/openurl.asp?genre=article&issn02-9743&volume152&spage06 [seul l'extrait est gratuit]
Encore un article qu'il faudrait que je lise.
Résumé en ligne gratuit de l'attaque de Antoine Joux dans Stefan Lucks: Design Principles for Iterated Hash Functions Cryptology ePrint Archive, Report 2004/253 http://eprint.iacr.org/2004/253 http://eprint.iacr.org/2004/253.pdf
François Grieu
Francois Grieu
Dans l'article <42bc77eb$0$29957$, Bertrand demande:
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ?
En un mot, il me semble que oui, au moins en theorie, mais le diable pourrait bien être dans les détails. C'est du moins ce qu'il ressort de la lecture de l'extrait de:
Antoine Joux: Multicollisions in Iterated Hash Functions. Application to Cascaded Constructions. CRYPTO 2004: 306-316 http://springerlink.metapress.com/openurl.asp?genre=article&issn02-9743&volume152&spage06 [seul l'extrait est gratuit]
Encore un article qu'il faudrait que je lise, plutôt que de me contenter de l'extrait et de résumé en ligne gratuits:
Stefan Lucks: Design Principles for Iterated Hash Functions Cryptology ePrint Archive, Report 2004/253 http://eprint.iacr.org/2004/253 http://eprint.iacr.org/2004/253.pdf
John Kelsey and Bruce Schneier: Second Preimages on n-bit Hash Functions for Much Less than 2^n Work Cryptology ePrint Archive, Report 2004/304 http://eprint.iacr.org/2004/304 http://eprint.iacr.org/2004/304.pdf
Arjen K. Lenstra: Further progress in hashing cryptanalysis http://cm.bell-labs.com/who/akl/hash.pdf
François Grieu
Dans l'article <42bc77eb$0$29957$636a15ce@news.free.fr>,
Bertrand <usenet@cykian.net> demande:
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs
mois où on montrait que la securité "totale" apportée par l'utilisation
conjointe de deux hashs pour authentifier un message n'était pas
supérieure à l'utilisation simple du hash (parmi les deux proposés)
apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait
louche, je dois mal me souvenir) ?
En un mot, il me semble que oui, au moins en theorie, mais le diable
pourrait bien être dans les détails. C'est du moins ce qu'il ressort
de la lecture de l'extrait de:
Antoine Joux: Multicollisions in Iterated Hash Functions.
Application to Cascaded Constructions. CRYPTO 2004: 306-316
http://springerlink.metapress.com/openurl.asp?genre=article&issn02-9743&volume152&spage06
[seul l'extrait est gratuit]
Encore un article qu'il faudrait que je lise, plutôt que de me
contenter de l'extrait et de résumé en ligne gratuits:
Stefan Lucks: Design Principles for Iterated Hash Functions
Cryptology ePrint Archive, Report 2004/253
http://eprint.iacr.org/2004/253
http://eprint.iacr.org/2004/253.pdf
John Kelsey and Bruce Schneier: Second Preimages on n-bit
Hash Functions for Much Less than 2^n Work
Cryptology ePrint Archive, Report 2004/304
http://eprint.iacr.org/2004/304
http://eprint.iacr.org/2004/304.pdf
Arjen K. Lenstra: Further progress in hashing cryptanalysis
http://cm.bell-labs.com/who/akl/hash.pdf
Dans l'article <42bc77eb$0$29957$, Bertrand demande:
Je crois me souvenir avoir lu sur ce groupe un post il y a plusieurs mois où on montrait que la securité "totale" apportée par l'utilisation conjointe de deux hashs pour authentifier un message n'était pas supérieure à l'utilisation simple du hash (parmi les deux proposés) apportant la meilleure securité.
Deja, est ce que ce prédicat est exact à première vue (ca me parait louche, je dois mal me souvenir) ?
En un mot, il me semble que oui, au moins en theorie, mais le diable pourrait bien être dans les détails. C'est du moins ce qu'il ressort de la lecture de l'extrait de:
Antoine Joux: Multicollisions in Iterated Hash Functions. Application to Cascaded Constructions. CRYPTO 2004: 306-316 http://springerlink.metapress.com/openurl.asp?genre=article&issn02-9743&volume152&spage06 [seul l'extrait est gratuit]
Encore un article qu'il faudrait que je lise, plutôt que de me contenter de l'extrait et de résumé en ligne gratuits:
Stefan Lucks: Design Principles for Iterated Hash Functions Cryptology ePrint Archive, Report 2004/253 http://eprint.iacr.org/2004/253 http://eprint.iacr.org/2004/253.pdf
John Kelsey and Bruce Schneier: Second Preimages on n-bit Hash Functions for Much Less than 2^n Work Cryptology ePrint Archive, Report 2004/304 http://eprint.iacr.org/2004/304 http://eprint.iacr.org/2004/304.pdf
Arjen K. Lenstra: Further progress in hashing cryptanalysis http://cm.bell-labs.com/who/akl/hash.pdf